频发假冒电商客服诈骗案 七成因商家、物流泄露用户信息

原标题：频发假冒电商客服诈骗案 七成因商家、物流泄露用户信息

近年来，因用户信息泄露诱发的诈骗案屡见不鲜，通常会给受骗者造成几百过千，甚至上万甚至十几万、几十万的资损。双11临近，安全专家提示消费者不要接陌生人电话，不要点开陌生人发送的链接、文档，以防遭遇假冒客服等形式的诈骗。

假冒电商客服诈骗就是极为典型的电信诈骗类型。电商平台中，无论是万能的淘宝还是自营的京东，亦或亚马逊等，都深受这类黑灰产侵扰，深层原因就在于黑产者通过各种方式获取了用户信息。

据中国互联网协会发布《中国网民权益保护调查报告2016》不完全统计数据显示，去年中国有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成915亿元经济损失，全国人均损失133元。

而电子商务生态安全联盟（SAEE）今年7月发布的《2017电商安全白皮书》（下称《白皮书》）研究报告则指出，电商生态产业中“平台”、“商家”、以及为商家服务的第三方“ISV”（即服务商）与物流等各环节，都存在不同程度的用户信息泄露风险，这给不法分子留下了诈骗获利空间。其中，商家端和物流端的用户信息泄露占比最高，二者总和就超过了70%。

如何治理电商生态领域复杂的信息泄露问题，成了备受关注的焦点。

女大学生遇诈骗资损一年学费

周玲（化名）是山东某大学的一名在校生，8月2日她在网上给表妹买了衣服鞋子，因表妹回老家，她又联系商家将收货地址从西安改成了四川。

当天下午，一个陌生电话打过来告知周玲称，其购买的货物丢失需加微信给予赔偿。接收到对方发来的二维码后，周玲点击识别立马显示货物订单异常。

随后，周玲按照对方要求，又通过二维码输入了支付宝账号，刚收到验证码，语音就提示绑定支付宝的银行卡被冻结，无法打进赔偿款。

见银行卡冻结，慌乱之际周玲又听信对方要求，将6700元红包转入对方卡中试图解冻。想到自己被冻卡中也就700元，周玲没有犹豫均悉数照做。

未曾料想，对方早已将其余额宝里的5989元转到了被冻结的银行卡上，致使谎称是随口说的6700元被真的转走。

诈骗者并未立刻收手，而是主动让周玲获悉余额宝钱款不见的事实，继而以其余额宝也被冻结为由，指导其在一家借贷店铺申请1500元借贷，并表示之后可将货物赔偿款和已被转走的钱，一并还给周玲。

再次按提示完成操作后，周玲才发现这是一个骗局，自己总计被骗走了8200元，对于她而言，这相当于一年的学费。最终，她无奈选择报警。

经西安警方侦查发现，周玲提出更换收货地址后，商家曾将她的相关信息发送至了有物流人员和黑产者在内的QQ群。

办案民警介绍称，黑产人员往往会通过搜索类似“物流”、“快递”等关键词，加入到物流快递QQ群，用户信息也因此容易被黑产者盗取并贩卖。警方初步判断,该类QQ群是周玲信息被泄露的根源。

事后，经公安机关全力调查，才帮助周玲追回了被骗的8200元。

商家泄露用户信息主因“内鬼

近年，像周玲因网络购物遭遇诈骗的经历并不少见。无论是京东还是亚马逊等电商平台，同样面临用户信息被泄露，遭遇假冒电商客服诈骗买家的困扰。

2013年以来，京东几乎每年都会对外发布声明，称接到消费者反映有不法分子打着京东名义，通过京东客服电话极为相似的号码向消费者索要银行卡和手机验证码，或声称消费者中奖、向消费者电话推销打折卡等实施诈骗。

据电子商务生态安全联盟发布的《白皮书》报告分析称，整个电商生态中，从平台到商家再到ISV和物流，都会有信息泄露风险。

这些环节信息泄露的比例依次为10%、36%、19%和35%。其中，商家和物流是泄露用户信息的主体，二者总和高达71%。

商家泄露信息大部分是因内部人员和账号出问题，即通常所说的“内鬼”。如商家内部员工为谋取私利，通过直接出售数据或账号给诈骗分子，从中获取非法收入。

此外，黑产分子还会伪装称客服上门应聘，在获取账号权限后批量下载数据再借机离开，这类情况通常发生在商家聚集的广东地区，且多为团伙流窜作案。

今年3月，嫌疑人刘斌（化名）就用假身份证应聘了某网店客服岗位，并利用商家提供的子账号，盗取了商家已卖出货物的订单信息，再通过网络等途径将订单数据发送给团伙内其他人员。

数据得手后，刘斌以吃饭、买东西为由快速离开现场。几小时后，卖家就收到买家反馈被冒充商家客服诈骗的投诉，待商家发现问题时，恶意假冒客服早已逃之夭夭。

“假冒买家的骗子还会通过其他聊天软件，给商家客服发送会触发木马下载的文档或图片等，并谎称是自己需要购买的货品清单，没有防备的商家客服往往会顺势点开中招。”一位业内资深安全专家介绍称，这类内鬼风险也是主要的信息泄露源，占到商家信息泄露的56%。

服务商泄露信息可能殃及多家平台

在物流环节，因物流公司大部分采取加盟模式，部分仓库、网点存在仓内局域网作业情况，导致应用系统呈现多级数据存储的架构，极大增加了数据管理的复杂程度。

同时，物流从业人员流动性大，尤其是在历年大促期间，大量临时的分拣、派件人员加大了电商交易信息在物流环节发生信息泄露的不可控因素，常见的人员问题包括面单拍照、账号买卖、内部人员批量数据导出等情形。

安全专家建议，物流快递行业要加强从业人员管理，进行数据安全相关法律法规培训，并能遵从电子商务生态安全联盟（SAEE）上发布的《物流快递行业安全等级划分技术规范》和《物流快递行业安全审计日志接入规范》，设定数据泄漏追溯查证机制等，降低数据泄露事件的发生。

ISV（服务商）在电商生态中，主要会给商家提供开发应用系统，如进行商品、会员和订单的管理。这一环节掌握着各电商平台的不同商家订单信息。

无论是京东、淘宝还是亚马逊等电商平台商家，通常存在使用相同ISV的情况，意味着一旦这些跨店铺、跨平台的ISV服务商出现信息泄露，往往会殃及多家平台。

通常情况，骗子在掌握了详细或部分受害者信息后，会通过电话、短信等方式联系受害者，用掌握的受害者信息获取信任，然后引导受害者进行扫码支付、在线转账、ATM机转账、在钓鱼网站中填写资金账户信息、从借贷产品借出资金，并将资金转入骗子账户或者在线进行虚拟商品消费或购买基金产品。

资金到达骗子账户后诈骗者会迅速将资金分拆转入二级、三级黑卡，然后进行消费或由专门的黑产者在全球各地取现。骗子的借口各式各样，目的都是骗取受害者卡中的钱款和诱导借贷出来的钱款。

经SAEE调查发现，目前北京、上海、广东、浙江、江苏、山东、河北、江西等省市欺诈事件较为频发且资损较大，但诈骗者来源地则主要集中在福建和广东两省。

安全专家提示不要点陌生链接转款

信息泄露治理是一个和黑产持续对抗的过程，随着黑产作案手段的不断升级，传统安全防御技术已不足以保障核心数据安全，快速的风险分析发现和预警就显得格外重要。

为解决上述问题，各大电商平台也都在发力。以行业领跑者阿里巴巴的防控经验为例，近年，阿里巴巴集团就基于自身实践，针对数据安全风险的防范，提炼出了一套数据安全能力成熟度模型（DSMM），用来评估企业和机构在数据安全整体上的能力水平，指导电子商务生态内的各类企业和机构进行数据安全体系建设工作。

御城河数据安全防控体系能从30多个维度对商家、服务商、物流等环节的数据访问风险进行授权检测。

另外，阿里集团安全部还建立了一套全链路数据安全防控技术与产品体系——御城河。

该体系会围绕商家、物流、服务商、跨境等，对阿里平台内产生的核心交易数据，进行风险建模和防护。其中，御城河的数据泄露风险检测及溯源技术，可预警商家、服务商、物流环节在内的内鬼操作、帐号风险、异常访问行为、木马风险等各类数据风险。

记者获悉，御城河系统每天会帮助服务商分析6.5亿次核心数据访问行为并拦截风险，每天帮助物流商分析6000万次核心数据访问行为。已有超过300万商家的近800万终端也在使用受御城河保护的服务商或物流应用。

不仅如此，御城河的防御技术能力还能帮助电商生态领域之外的OTA平台、房产、医院、酒店、学校等行业领域，进行授权后的数据风险检测和预警，达到保护数据安全的目的。

业内一位常年研究诈骗黑产的安全专家表示，消费者在线上购物时，只要提高警惕也能很大程度降低自己受骗的风险。

如在网上购物后，若接到自称客服退款等陌生电话，一律不要轻信，也不要加QQ或微信私聊。遇到这类诈骗，一定要仔细核实对方身份，与电商平台客服或在线网店客服进行确认，对方一旦要求操作转账或申请借贷产品，通通不要理会；验证码和各类密码更要小心保管，也不要点开对方发来的退款链接。

如果用户钱款已被诈骗，也千万不要再次联系诈骗电话。业内安全专家表示，从众多被骗案例分析来看，多次给陌生账号汇款的受骗者数量惊人。

“骗子贪婪的本性，让他们不会放过任何一个好骗的羔羊，他们会编造各种借口让受害者不断汇款转账。”该安全专家强调说，陌生人发来的任何网页或二维码链接都不要轻易点击查看。

遇到诈骗后，应该及时保留证据并立即报警。条件允许，应该尽快和钱款流向机构取得联系，尽量争取冻结对方账户，就能最大限度挽回损失。

(编辑：鑫果）