3月14日,直到銀行卡提示被劃走了40087元,26歲的馬琳才意識到自己被騙了。
2016年12月28日,在北京工作的馬琳在“小紅書”上購買了洗面奶,“小紅書客服”精確地報出了她在小紅書的消費資訊,這是她認為自己被騙的主要原因。
“儘管説洩露資訊的渠道很多,但是這麼大面積的小紅書消費者被騙,只能説明是小紅書造成的資訊洩露。”馬琳説,騙子掌握了小紅書後臺用戶幾乎所有資訊,包括身份證資訊,這些都是在小紅書註冊時必填的,“這説明小紅書後臺已沒有保密性”。
而就在3月13日,西北民族大學研一學生李西(化名)接到“小紅書客服”電話,在理賠過程中,李西根據“客服”指示,最終被騙18100元。
4月20日,李西的遭遇被本報報道後,截至5月31日,先後有50名受騙者聯繫本報。她們的經歷和遭遇極其相似,都是因為在小紅書上有網購經歷,最後都接到自稱是“小紅書客服”的電話,以購買商品存在品質問題退款為由被騙。據統計,50人受騙總額為879163.58元。
讓人不敢想像的是,除了這50名受騙者,可能還有更多人受騙,還有更多人接到或者正在接到詐騙電話。
小紅書用戶資訊大面積洩露
26歲的鄭葉收到了“小紅書客服”發給她的通知書,通知書很正式,左上角還有一個小紅書的標誌。鄭葉信以為真。
通知書説:“尊敬的用戶,由於您近期在我們店舖購買的商品出現品質問題,現需全部退回,請通過我們合作第三方平臺:招聯好期貸、螞蟻借唄、來分期,掃二維碼進行接收賠付款,我們客服人員會及時跟您聯繫,給您造成不便深表歉意,感謝您的支援和信賴。”
通知書還稱:“重要通知:因為退還款是第三方合作平臺預先把店舖金額退還到您的支付寶餘額上,您再進行還款,如果您收到款項不配合還款,導致還款通道關閉,您個人賬戶逾期,跟您的個人徵信是關聯的,您到時將被索賠雙倍賠償款,並支付相應的利息。”
據統計,這50名受騙者都是年輕女性,其中有22名大學生。受騙者年齡在19歲到31歲之間,平均年齡是23歲。她們在小紅書上購買的産品基本上都是化粧品。
受騙時間分佈在3月、4月、5月這3個月,其中3月受騙16人,4月受騙23人,5月受騙11人。受騙人數最多的是3月27日,有6人;4月17日有3人受騙;4月19日有4人受騙;就在4月20日本報刊發報道當天,還有4人被騙。
50名受騙者受騙總金額為879163.58元,受騙1萬元以下的有25人,受騙1萬~2萬元的有11人,受騙2萬~3萬元的有4人,受騙3萬~4萬元的有3人,受騙4萬~5萬元的有4人,5萬元以上的有3人。最多的一人被騙9.13萬元。
從購買時間來看,2016年12月和2017年1月各有1人被騙,有13人購買時間是在2月,有23人購買時間在3月,有8人購買時間在4月,有4人購買時間是在5月。
今年5月18日,26歲的網友“木易”在小紅書購買了沐浴乳和潤膚露。6天后,她接到“小紅書客服”電話,最後被騙4.3萬元。中國青年報�中青線上記者發現,從在小紅書購買商品日期,到被騙日期的間隔時間來統計,最短的只有6天,多數時間間隔是一個月左右。
根據收貨郵件地址,受騙者遍佈全國14省份。其中廣東有9人被騙,江蘇有7人被騙,浙江有6人被騙,北京有5人受騙,武漢有3人受騙,瀋陽、重慶、成都、合肥各有兩人受騙。
馬琳説,受騙者數量龐大。從最早的3月到現在,人數每天都在上升,這是源頭出了問題,而不是小紅書官方指出“用戶自己的快遞單亂扔”等原因那麼簡單。受騙者遍佈全國各地,收貨地址不同,基本排除了消費者洩露資訊的可能性。
被利用的弱點
26歲的鄭葉在接電話時,發現對方可能是騙子,挂斷電話。沒想到,她還收到了“客服”的“威脅短信”:“女士,那我們就取消您的訂單了,月底您就自行承單(短信原文——記者注)這個3萬元的賠償以及起訴信!”
螞蟻金服安全管理部相關人士介紹,事實上,冒充客服進行詐騙,如何給消費者“下套”,這些都是話術,專門針對消費者不同時期的心理,還會有專門的機構培訓做話術。臺灣專門有人賣話術,一套7萬多元。
一位業內人士分析,這種詐騙之所以能夠頻頻順利得手,第一步就是受騙者的交易清單。“這些交易清單能夠清楚地顯示受騙者購物的時間和購買的物品,騙子一旦能夠準確説出這些內容,受騙者一般很難會懷疑小紅書客服的身份。”
中國青年報�中青線上記者發現,此次50名受騙者受騙一共涉及21個網路理財平臺,每個人受騙可能會涉及多個平臺,這些平臺琳瑯滿目。
據統計,通過“來分期”有20人受騙,通過“招聯好期貸”有15人受騙,通過“螞蟻借唄”有14人受騙,有8人通過“支付寶轉賬”被騙,有10人通過“安逸花”被騙,通過“馬上金融”有6人受騙,“微信轉賬”和“親密付”各有4人受騙,“華夏基金”有3人受騙,微信財付通有兩人受騙,另外網商銀行、中銀快付、徽商銀行的徽常有財理財平臺、趣店、現金巴士、微信微粒貸、翼支付、甜橙理財、富國基金、沃百富各有1人受騙。
“這種騙貸手段是網路購物詐騙最新類型。”螞蟻金服的一位工作人員介紹,“騙子主要利用老百姓對網購退款流程以及一些新的網路消費金融平臺不熟悉的弱點。同時,還利用受騙者對芝麻信用分數似懂非懂,以提高信用分才能退款為名,一步步引誘受騙者上當。”
騙子口中的“招聯好期貸”“螞蟻借唄”“來分期”都是網際網路金融借貸平臺,均可通過支付寶進行個人消費借貸,無需擔保、抵押。“即便受騙者自己沒有錢,騙子也可以誘騙受騙者在這些平臺上借貸進行詐騙。”
事實上,這些受騙者大多是信用記錄良好(信用不好的人借不到錢),有穩定收入或家庭條件不錯的年輕女性用戶,有多年網購經歷,金融機構對她們的個人授信實際上是對其信用的肯定。
有法律人士認為,此種詐騙手段已從騙取個人錢財升級為詐騙金融機構,其中,好期貸的錢源自招商銀行,螞蟻借唄的錢來自網商銀行,均屬於金融機構。此種詐騙屬於以非法佔有為目的,詐騙銀行或者其他金融機構的貸款且數額較大,屬於金融犯罪的一種。
小紅書稱未發現近期有批量賬號敏感數據洩露現象
今年3月29日,27歲的李女士在小紅書購買了防曬霜,4月17日接到“小紅書客服”電話。
“客服”在支付寶上直接把她的訂單號發給她,裏面有她在蘇州的詳細收貨地址、購買商品資訊,甚至包含著她的小紅書登錄賬號和密碼。
對“客服”的身份確認無疑後,李女士被騙3.8萬元。“除了我自己,誰會掌握我的賬號和密碼?”李女士至今疑惑不解。
4月21日,小紅書通過一家媒體回應稱,公司了解情況後第一時間進行了內部驗證與技術排查,並未發現近期有批量賬號敏感數據洩露現象。
據介紹,小紅書已經制訂了一系列風險規則、安全驗證方式和登錄限制,以防範用戶敏感資訊在其他渠道洩露導致的相應風險。未來,小紅書還將採取一些特別的措施,防止詐騙團夥冒充公司客服。
值得一提的是,在50名受騙者中,還有16人是在小紅書採取“特別措施”之後被騙。
這家媒體還報道稱,受理此案件的黃浦公安表示,該案件目前正在進一步偵查中。在網購的過程中,所有接觸到用戶資訊的環節,從手機軟體、網站、快遞物流到顧客本身,都存在資訊洩露的可能性。因此,警方建議消費者在網購時要多提高安全意識,如為不同的網站設置不同的密碼、不以常用密碼作為支付密碼、及時銷毀快遞單據等。
遊俠安全網創始人張百川分析説,小紅書稱沒有發現“批量賬號敏感數據洩露現象”。這就意味著排除了“掃號撞庫”的可能性。
“撞庫”和“掃號”都是駭客手段專用術語。跟它相關的,還有“拖庫”。簡單來説,拖庫就是駭客用技術手段入侵一些安全防範不是很高的中小網站,取得大量用戶註冊名和密碼數據,然後再把這些用戶名及密碼跟網路銀行、支付寶、淘寶等有價值的網站進行匹配登錄,這就是“撞庫”。實際操作中,駭客往往是通過專門的“掃號”軟體,批量驗證賬號密碼是否有價值。
張百川認為,資訊外露的途徑有很多,只要是牽扯到輸入的地方,都有可能産生輸出。眾多消費者集體資訊洩露,隨後遭遇詐騙,發生時間集中,基本排除數據傳輸和消費者自身資訊洩露的可能。“如果是網購平臺大批量出現問題,第一有可能是他們的系統有漏洞,遭到駭客攻擊,竊取了用戶資訊;第二也有可能是內部人員非法兜售用戶的個人資訊。”
“每一個環節都有一大幫人做這件事情,是産業化的方式。”螞蟻金服安全管理部相關負責人稱,這些案子背後的黑色産業鏈非常複雜,可以從網上買到相關資訊,然後會有專用的作案工具,包括手機、電腦、上網卡、銀行卡,等等,專門有一個卡商回收涉案的卡券,通過發送二維碼的形式銷贓,最後通過其他平臺把這些騙取的資金消掉。
誰該為消息洩露負責
李西的遭遇被報道後,也引起小紅書的關注。4月21日,上海一家媒體刊發報道《小紅書愛心款助受騙學生渡難關》。文中提到,小紅書客戶服務部負責人胡先生稱,小紅書客服同事們了解到李西家在農村,家境不好,母親去年因病住院,還有一個妹妹在讀高三,這次受騙給她的家人帶來了不小的經濟壓力。
“聽完這位用戶的故事,我們都想幫助她和家人渡過難關。因為騙子是打著小紅書客服的名義詐騙,所以我也向李西道歉並取得了她的諒解。我們客服部的同事們還在內部發起了一次募捐,總共湊了2.11萬元,在上海市公安部門確認受騙人賬號後,這筆愛心捐款目前已經轉到了李西的銀行卡上。”胡先生説。
有律師認為,如果電商平臺提供了保護措施,但還是被駭客入侵,這屬於不可抗力,不用承擔責任。如果因平臺存在漏洞而導致資訊洩露,那麼平臺就要負責。電商平臺會獲取個人資訊,它們有保護個人資訊的義務和責任。
現實中最尷尬的問題是,資訊洩露後,往往很難判斷是哪個環節出問題,對責任的界定和處罰不明確,從取證到用戶的維權成本都很高。
如今,小紅書把“皮球”推給了警方。
小紅書相關部門負責人王先生告訴中國青年報�中青線上記者,相信警方可以調查清楚,找到盜取用戶資訊的幕後主使。
現實中,這些受騙者的維權並不順利。受騙者孟浩報警時,警方就直接告訴她,這種案子不容易破案,尤其是全國各地發生,也不容易並案。警察還告訴她,有人被騙幾千萬元都找不回來。
一位受騙者給“小紅書客服”打了電話,客服只是例行公事地問了情況,重點強調了他們絕對不會洩露個人隱私,也絕對不會給予任何賠償。
“不是只有我一人發生這種情況,你去微博搜搜,大批量的用戶資訊被洩露,這和你們一點關係都沒有?你們是否犯了‘侵害公民個人資訊罪’?”受騙者在電話中有點發火。
對方質問:你有證據嗎?這位受騙者無言以對。
“的確,我拿不出任何證據,既然無法舉證,也只能任由自己的資訊洩露。”這個受騙者説,可她還是迫切想知道,她在小紅書的購物資訊、電話、支付寶綁定的銀行卡,到底是怎麼洩露出去的?
聯繫本報的部分受騙者資訊
| 姓名 | 年齡 | 何時被騙 | 何時購買物品 | 受騙金額(元) | 城市 |
| 林某 | 25 | 3月12日 | 3月初 | 37961 | 天津 |
| 陳某 | 23 | 3月13日 | 2月12日 | 22600 | 深圳 |
| 李某 | 25 | 3月13日 | 1月9日 | 18100 | 蘭州 |
| 馬某 | 26 | 3月14日 | 2016年12月28日 | 40087.93 | 北京 |
| 梁某某 | 20 | 3月15日 | 3月3日 | 5151 | 江門 |
| 陳某某 | 22 | 3月18日 | 2月5號 | 13258 | 泉州 |
| 溫某某 | 21 | 3月19日 | 2月12日 | 5700 | 廣州 |
| 鄒某某 | 22 | 3月26日 | 3月2日 | 9857 | 茂名 |
| 劉某 | 20 | 3月26日 | 2月19日 | 5800 | 武漢 |
| 鄭某某 | 27 | 3月27日 | 2月19日 | 980.98 | 佛山 |
| 張某 | 19 | 3月27日 | 2月底 | 1000 | 武漢 |
| 朱某某 | 24 | 3月27日 | 2月20日 | 1960 | 蘇州 |
| 彭某某 | 22 | 3月27日 | 2月19日 | 4527 | 重慶 |
| 潘某某 | 21 | 3月27日 | 3月2日 | 4427 | 麗水 |
| 鄭某某 | 25 | 3月27日 | 3月19日 | 53400 | 西安 |
| 馬某某 | 25 | 3月28日 | 3月2日 | 4000 | 瀋陽 |
| 鐘某某 | 21 | 4月2日 | 2月20日 | 7689 | 成都 |
| 吳某某 | 30 | 4月3日 | 3月13日 | 90000 | 成都 |
| 李某 | 19 | 4月9日 | 2月14日 | 30000 | 上海 |
| 陳某某 | 23 | 4月11日 | 2月7日 | 6000 | 重慶 |
| 陳某某 | 21 | 4月14日 | 4月5日 | 10551 | 合肥 |
| 董某某 | 21 | 4月17日 | 3月1號 | 13000 | 北京 |
| 堵某某 | 23 | 4月17日 | 3月18日 | 600 | 無錫 |
| 李某 | 27 | 4月17日 | 3月29日 | 38000 | 蘇州 |
| 楚某某 | 20 | 4月18日 | 3月16日 | 8950 | 北京 |
| 王某 | 26 | 4月18日 | 2月6日 | 25000 | 蕪湖 |
| 李某某 | 19 | 4月19日 | 3月19日 | 10744 | 上海 |
| 佩某 | 23 | 4月19日 | 3月7日 | 7572 | 廣東 |
| 付某 | 22 | 4月19日 | 3月16日 | 4500 | 瀋陽 |
| 伏某某 | 22 | 4月19日 | 3月8日 | 8226 | 北京 |
| 李某某 | 22 | 4月20日 | 4月6號 | 980 | 杭州 |
| 李某 | 24 | 4月20日 | 3月5日 | 1000 | 南通 |
| 陳某 | 23 | 4月20日 | 3月8日 | 1934 | 蘇州 |
| 張某某 | 26 | 4月20日 | 3月21日 | 5250 | 深圳 |
| 孟某 | 28 | 4月23日 | 5月12日 | 19507 | 長春 |
| 王某 | 27 | 4月23日 | 4月1日 | 2300 | 北京 |
| 程某某 | 31 | 4月25日 | 3月份 | 3920 | 成都 |
| 朱某某 | 20 | 4月28日 | 3月2日 | 11662 | 溫州 |
截至5月31日的受騙者資訊,由李超、蔣豐蔓統計
[責任編輯:張曉靜]
京ICP證130248號京公網安備110102003391