50名“小紅書(shū)”用戶(hù)被騙近88萬(wàn)元 受騙者質(zhì)問(wèn):我的信息到底是怎么泄露的
3月14日,直到銀行卡提示被劃走了40087元,26歲的馬琳才意識(shí)到自己被騙了。
2016年12月28日,在北京工作的馬琳在“小紅書(shū)”上購(gòu)買(mǎi)了洗面奶,“小紅書(shū)客服”精確地報(bào)出了她在小紅書(shū)的消費(fèi)信息,這是她認(rèn)為自己被騙的主要原因。
“盡管說(shuō)泄露信息的渠道很多,但是這么大面積的小紅書(shū)消費(fèi)者被騙,只能說(shuō)明是小紅書(shū)造成的信息泄露!瘪R琳說(shuō),騙子掌握了小紅書(shū)后臺(tái)用戶(hù)幾乎所有信息,包括身份證信息,這些都是在小紅書(shū)注冊(cè)時(shí)必填的,“這說(shuō)明小紅書(shū)后臺(tái)已沒(méi)有保密性”。
而就在3月13日,西北民族大學(xué)研一學(xué)生李西(化名)接到“小紅書(shū)客服”電話(huà),在理賠過(guò)程中,李西根據(jù)“客服”指示,最終被騙18100元。
4月20日,李西的遭遇被本報(bào)報(bào)道后,截至5月31日,先后有50名受騙者聯(lián)系本報(bào)。她們的經(jīng)歷和遭遇極其相似,都是因?yàn)樵谛〖t書(shū)上有網(wǎng)購(gòu)經(jīng)歷,最后都接到自稱(chēng)是“小紅書(shū)客服”的電話(huà),以購(gòu)買(mǎi)商品存在質(zhì)量問(wèn)題退款為由被騙。據(jù)統(tǒng)計(jì),50人受騙總額為879163.58元。
讓人不敢想象的是,除了這50名受騙者,可能還有更多人受騙,還有更多人接到或者正在接到詐騙電話(huà)。
小紅書(shū)用戶(hù)信息大面積泄露
26歲的鄭葉收到了“小紅書(shū)客服”發(fā)給她的通知書(shū),通知書(shū)很正式,左上角還有一個(gè)小紅書(shū)的標(biāo)志。鄭葉信以為真。
通知書(shū)說(shuō):“尊敬的用戶(hù),由于您近期在我們店鋪購(gòu)買(mǎi)的商品出現(xiàn)質(zhì)量問(wèn)題,現(xiàn)需全部退回,請(qǐng)通過(guò)我們合作第三方平臺(tái):招聯(lián)好期貸、螞蟻借唄、來(lái)分期,掃二維碼進(jìn)行接收賠付款,我們客服人員會(huì)及時(shí)跟您聯(lián)系,給您造成不便深表歉意,感謝您的支持和信賴(lài)!
通知書(shū)還稱(chēng):“重要通知:因?yàn)橥诉款是第三方合作平臺(tái)預(yù)先把店鋪金額退還到您的支付寶余額上,您再進(jìn)行還款,如果您收到款項(xiàng)不配合還款,導(dǎo)致還款通道關(guān)閉,您個(gè)人賬戶(hù)逾期,跟您的個(gè)人征信是關(guān)聯(lián)的,您到時(shí)將被索賠雙倍賠償款,并支付相應(yīng)的利息。”
據(jù)統(tǒng)計(jì),這50名受騙者都是年輕女性,其中有22名大學(xué)生。受騙者年齡在19歲到31歲之間,平均年齡是23歲。她們?cè)谛〖t書(shū)上購(gòu)買(mǎi)的產(chǎn)品基本上都是化妝品。
受騙時(shí)間分布在3月、4月、5月這3個(gè)月,其中3月受騙16人,4月受騙23人,5月受騙11人。受騙人數(shù)最多的是3月27日,有6人;4月17日有3人受騙;4月19日有4人受騙;就在4月20日本報(bào)刊發(fā)報(bào)道當(dāng)天,還有4人被騙。
50名受騙者受騙總金額為879163.58元,受騙1萬(wàn)元以下的有25人,受騙1萬(wàn)~2萬(wàn)元的有11人,受騙2萬(wàn)~3萬(wàn)元的有4人,受騙3萬(wàn)~4萬(wàn)元的有3人,受騙4萬(wàn)~5萬(wàn)元的有4人,5萬(wàn)元以上的有3人。最多的一人被騙9.13萬(wàn)元。
從購(gòu)買(mǎi)時(shí)間來(lái)看,2016年12月和2017年1月各有1人被騙,有13人購(gòu)買(mǎi)時(shí)間是在2月,有23人購(gòu)買(mǎi)時(shí)間在3月,有8人購(gòu)買(mǎi)時(shí)間在4月,有4人購(gòu)買(mǎi)時(shí)間是在5月。
今年5月18日,26歲的網(wǎng)友“木易”在小紅書(shū)購(gòu)買(mǎi)了沐浴乳和潤(rùn)膚露。6天后,她接到“小紅書(shū)客服”電話(huà),最后被騙4.3萬(wàn)元。中國(guó)青年報(bào)·中青在線(xiàn)記者發(fā)現(xiàn),從在小紅書(shū)購(gòu)買(mǎi)商品日期,到被騙日期的間隔時(shí)間來(lái)統(tǒng)計(jì),最短的只有6天,多數(shù)時(shí)間間隔是一個(gè)月左右。
根據(jù)收貨郵件地址,受騙者遍布全國(guó)14省份。其中廣東有9人被騙,江蘇有7人被騙,浙江有6人被騙,北京有5人受騙,武漢有3人受騙,沈陽(yáng)、重慶、成都、合肥各有兩人受騙。
馬琳說(shuō),受騙者數(shù)量龐大。從最早的3月到現(xiàn)在,人數(shù)每天都在上升,這是源頭出了問(wèn)題,而不是小紅書(shū)官方指出“用戶(hù)自己的快遞單亂扔”等原因那么簡(jiǎn)單。受騙者遍布全國(guó)各地,收貨地址不同,基本排除了消費(fèi)者泄露信息的可能性。
被利用的弱點(diǎn)
26歲的鄭葉在接電話(huà)時(shí),發(fā)現(xiàn)對(duì)方可能是騙子,掛斷電話(huà)。沒(méi)想到,她還收到了“客服”的“威脅短信”:“女士,那我們就取消您的訂單了,月底您就自行承單(短信原文——記者注)這個(gè)3萬(wàn)元的賠償以及起訴信!”
螞蟻金服安全管理部相關(guān)人士介紹,事實(shí)上,冒充客服進(jìn)行詐騙,如何給消費(fèi)者“下套”,這些都是話(huà)術(shù),專(zhuān)門(mén)針對(duì)消費(fèi)者不同時(shí)期的心理,還會(huì)有專(zhuān)門(mén)的機(jī)構(gòu)培訓(xùn)做話(huà)術(shù)。臺(tái)灣專(zhuān)門(mén)有人賣(mài)話(huà)術(shù),一套7萬(wàn)多元。
一位業(yè)內(nèi)人士分析,這種詐騙之所以能夠頻頻順利得手,第一步就是受騙者的交易清單!斑@些交易清單能夠清楚地顯示受騙者購(gòu)物的時(shí)間和購(gòu)買(mǎi)的物品,騙子一旦能夠準(zhǔn)確說(shuō)出這些內(nèi)容,受騙者一般很難會(huì)懷疑小紅書(shū)客服的身份!
中國(guó)青年報(bào)·中青在線(xiàn)記者發(fā)現(xiàn),此次50名受騙者受騙一共涉及21個(gè)網(wǎng)絡(luò)理財(cái)平臺(tái),每個(gè)人受騙可能會(huì)涉及多個(gè)平臺(tái),這些平臺(tái)琳瑯滿(mǎn)目。
據(jù)統(tǒng)計(jì),通過(guò)“來(lái)分期”有20人受騙,通過(guò)“招聯(lián)好期貸”有15人受騙,通過(guò)“螞蟻借唄”有14人受騙,有8人通過(guò)“支付寶轉(zhuǎn)賬”被騙,有10人通過(guò)“安逸花”被騙,通過(guò)“馬上金融”有6人受騙,“微信轉(zhuǎn)賬”和“親密付”各有4人受騙,“華夏基金”有3人受騙,微信財(cái)付通有兩人受騙,另外網(wǎng)商銀行、中銀快付、徽商銀行的徽常有財(cái)理財(cái)平臺(tái)、趣店、現(xiàn)金巴士、微信微粒貸、翼支付、甜橙理財(cái)、富國(guó)基金、沃百富各有1人受騙。
“這種騙貸手段是網(wǎng)絡(luò)購(gòu)物詐騙最新類(lèi)型!蔽浵伣鸱囊晃还ぷ魅藛T介紹,“騙子主要利用 老百姓 對(duì)網(wǎng)購(gòu)?fù)丝盍鞒桃约耙恍┬碌木W(wǎng)絡(luò)消費(fèi)金融平臺(tái)不熟悉的弱點(diǎn)。同時(shí),還利用受騙者對(duì)芝麻信用分?jǐn)?shù)似懂非懂,以提高信用分才能退款為名,一步步引誘受騙者上當(dāng)!
騙子口中的“招聯(lián)好期貸”“螞蟻借唄”“來(lái)分期”都是互聯(lián)網(wǎng)金融借貸平臺(tái),均可通過(guò)支付寶進(jìn)行個(gè)人消費(fèi)借貸,無(wú)需擔(dān)保、抵押。“即便受騙者自己沒(méi)有錢(qián),騙子也可以誘騙受騙者在這些平臺(tái)上借貸進(jìn)行詐騙!
事實(shí)上,這些受騙者大多是信用記錄良好(信用不好的人借不到錢(qián)),有穩(wěn)定收入或家庭條件不錯(cuò)的年輕女性用戶(hù),有多年網(wǎng)購(gòu)經(jīng)歷,金融機(jī)構(gòu)對(duì)她們的個(gè)人授信實(shí)際上是對(duì)其信用的肯定。
有法律人士認(rèn)為,此種詐騙手段已從騙取個(gè)人錢(qián)財(cái)升級(jí)為詐騙金融機(jī)構(gòu),其中,好期貸的錢(qián)源自 招商銀行 ,螞蟻借唄的錢(qián)來(lái)自網(wǎng)商銀行,均屬于金融機(jī)構(gòu)。此種詐騙屬于以非法占有為目的,詐騙銀行或者其他金融機(jī)構(gòu)的貸款且數(shù)額較大,屬于金融犯罪的一種。
小紅書(shū)稱(chēng)未發(fā)現(xiàn)近期有批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象
今年3月29日,27歲的李女士在小紅書(shū)購(gòu)買(mǎi)了防曬霜,4月17日接到“小紅書(shū)客服”電話(huà)。
“客服”在支付寶上直接把她的訂單號(hào)發(fā)給她,里面有她在蘇州的詳細(xì)收貨地址、購(gòu)買(mǎi)商品信息,甚至包含著她的小紅書(shū)登錄賬號(hào)和密碼。
對(duì)“客服”的身份確認(rèn)無(wú)疑后,李女士被騙3.8萬(wàn)元!俺宋易约,誰(shuí)會(huì)掌握我的賬號(hào)和密碼?”李女士至今疑惑不解。
4月21日,小紅書(shū)通過(guò)一家媒體回應(yīng)稱(chēng),公司了解情況后第一時(shí)間進(jìn)行了內(nèi)部驗(yàn)證與技術(shù)排查,并未發(fā)現(xiàn)近期有批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象。
據(jù)介紹,小紅書(shū)已經(jīng)制訂了一系列風(fēng)險(xiǎn)規(guī)則、安全驗(yàn)證方式和登錄限制,以防范用戶(hù)敏感信息在其他渠道泄露導(dǎo)致的相應(yīng)風(fēng)險(xiǎn)。未來(lái),小紅書(shū)還將采取一些特別的措施,防止詐騙團(tuán)伙冒充公司客服。
值得一提的是,在50名受騙者中,還有16人是在小紅書(shū)采取“特別措施”之后被騙。
這家媒體還報(bào)道稱(chēng),受理此案件的黃浦公安表示,該案件目前正在進(jìn)一步偵查中。在網(wǎng)購(gòu)的過(guò)程中,所有接觸到用戶(hù)信息的環(huán)節(jié),從手機(jī)軟件、網(wǎng)站、快遞物流到顧客本身,都存在信息泄露的可能性。因此,警方建議消費(fèi)者在網(wǎng)購(gòu)時(shí)要多提高安全意識(shí),如為不同的網(wǎng)站設(shè)置不同的密碼、不以常用密碼作為支付密碼、及時(shí)銷(xiāo)毀快遞單據(jù)等。
游俠安全網(wǎng)創(chuàng)始人張百川分析說(shuō),小紅書(shū)稱(chēng)沒(méi)有發(fā)現(xiàn)“批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象”。這就意味著排除了“掃號(hào)撞庫(kù)”的可能性。
“撞庫(kù)”和“掃號(hào)”都是黑客手段專(zhuān)用術(shù)語(yǔ)。跟它相關(guān)的,還有“拖庫(kù)”。簡(jiǎn)單來(lái)說(shuō),拖庫(kù)就是黑客用技術(shù)手段入侵一些安全防范不是很高的中小網(wǎng)站,取得大量用戶(hù)注冊(cè)名和密碼數(shù)據(jù),然后再把這些用戶(hù)名及密碼跟網(wǎng)絡(luò)銀行、支付寶、淘寶等有價(jià)值的網(wǎng)站進(jìn)行匹配登錄,這就是“撞庫(kù)”。實(shí)際操作中,黑客往往是通過(guò)專(zhuān)門(mén)的“掃號(hào)”軟件,批量驗(yàn)證賬號(hào)密碼是否有價(jià)值。
張百川認(rèn)為,信息外露的途徑有很多,只要是牽扯到輸入的地方,都有可能產(chǎn)生輸出。眾多消費(fèi)者集體信息泄露,隨后遭遇詐騙,發(fā)生時(shí)間集中,基本排除數(shù)據(jù)傳輸和消費(fèi)者自身信息泄露的可能!叭绻蔷W(wǎng)購(gòu)平臺(tái)大批量出現(xiàn)問(wèn)題,第一有可能是他們的系統(tǒng)有漏洞,遭到黑客攻擊,竊取了用戶(hù)信息;第二也有可能是內(nèi)部人員非法兜售用戶(hù)的個(gè)人信息。”
“每一個(gè)環(huán)節(jié)都有一大幫人做這件事情,是產(chǎn)業(yè)化的方式。”螞蟻金服安全管理部相關(guān)負(fù)責(zé)人稱(chēng),這些案子背后的黑色產(chǎn)業(yè)鏈非常復(fù)雜,可以從網(wǎng)上買(mǎi)到相關(guān)信息,然后會(huì)有專(zhuān)用的作案工具,包括手機(jī)、電腦、上網(wǎng)卡、銀行卡,等等,專(zhuān)門(mén)有一個(gè)卡商回收涉案的卡券,通過(guò)發(fā)送二維碼的形式銷(xiāo)贓,最后通過(guò)其他平臺(tái)把這些騙取的資金消掉。
誰(shuí)該為消息泄露負(fù)責(zé)
李西的遭遇被報(bào)道后,也引起小紅書(shū)的關(guān)注。4月21日,上海一家媒體刊發(fā)報(bào)道《小紅書(shū)愛(ài)心款助受騙學(xué)生渡難關(guān)》。文中提到,小紅書(shū)客戶(hù)服務(wù)部負(fù)責(zé)人胡先生稱(chēng),小紅書(shū)客服同事們了解到李西家在農(nóng)村,家境不好,母親去年因病住院,還有一個(gè)妹妹在讀高三,這次受騙給她的家人帶來(lái)了不小的經(jīng)濟(jì)壓力。
“聽(tīng)完這位用戶(hù)的故事,我們都想幫助她和家人渡過(guò)難關(guān)。因?yàn)轵_子是打著小紅書(shū)客服的名義詐騙,所以我也向李西道歉并取得了她的諒解。我們客服部的同事們還在內(nèi)部發(fā)起了一次募捐,總共湊了2.11萬(wàn)元,在上海市公安部門(mén)確認(rèn)受騙人賬號(hào)后,這筆愛(ài)心捐款目前已經(jīng)轉(zhuǎn)到了李西的銀行卡上!焙壬f(shuō)。
有律師認(rèn)為,如果電商平臺(tái)提供了保護(hù)措施,但還是被黑客入侵,這屬于不可抗力,不用承擔(dān)責(zé)任。如果因平臺(tái)存在漏洞而導(dǎo)致信息泄露,那么平臺(tái)就要負(fù)責(zé)。電商平臺(tái)會(huì)獲取個(gè)人信息,它們有保護(hù)個(gè)人信息的義務(wù)和責(zé)任。
現(xiàn)實(shí)中最尷尬的問(wèn)題是,信息泄露后,往往很難判斷是哪個(gè)環(huán)節(jié)出問(wèn)題,對(duì)責(zé)任的界定和處罰不明確,從取證到用戶(hù)的維權(quán)成本都很高。
如今,小紅書(shū)把“皮球”推給了警方。
小紅書(shū)相關(guān)部門(mén)負(fù)責(zé)人王先生告訴中國(guó)青年報(bào)·中青在線(xiàn)記者,相信警方可以調(diào)查清楚,找到盜取用戶(hù)信息的幕后主使。
現(xiàn)實(shí)中,這些受騙者的維權(quán)并不順利。受騙者孟浩報(bào)警時(shí),警方就直接告訴她,這種案子不容易破案,尤其是全國(guó)各地發(fā)生,也不容易并案。警察還告訴她,有人被騙幾千萬(wàn)元都找不回來(lái)。
一位受騙者給“小紅書(shū)客服”打了電話(huà),客服只是例行公事地問(wèn)了情況,重點(diǎn)強(qiáng)調(diào)了他們絕對(duì)不會(huì)泄露個(gè)人隱私,也絕對(duì)不會(huì)給予任何賠償。
“不是只有我一人發(fā)生這種情況,你去微博搜搜,大批量的用戶(hù)信息被泄露,這和你們一點(diǎn)關(guān)系都沒(méi)有?你們是否犯了‘侵害公民個(gè)人信息罪’?”受騙者在電話(huà)中有點(diǎn)發(fā)火。
對(duì)方質(zhì)問(wèn):你有證據(jù)嗎?這位受騙者無(wú)言以對(duì)。
“的確,我拿不出任何證據(jù),既然無(wú)法舉證,也只能任由自己的信息泄露!边@個(gè)受騙者說(shuō),可她還是迫切想知道,她在小紅書(shū)的購(gòu)物信息、電話(huà)、支付寶綁定的銀行卡,到底是怎么泄露出去的?
聯(lián)系本報(bào)的部分受騙者信息
姓名 | 年齡 | 何時(shí)被騙 | 何時(shí)購(gòu)買(mǎi)物品 | 受騙金額(元) | 城市 |
林某 | 25 | 3月12日 | 3月初 | 37961 | 天津 |
陳某 | 23 | 3月13日 | 2月12日 | 22600 | 深圳 |
李某 | 25 | 3月13日 | 1月9日 | 18100 | 蘭州 |
馬某 | 26 | 3月14日 | 2016年12月28日 | 40087.93 | 北京 |
梁某某 | 20 | 3月15日 | 3月3日 | 5151 | 江門(mén) |
陳某某 | 22 | 3月18日 | 2月5號(hào) | 13258 | 泉州 |
溫某某 | 21 | 3月19日 | 2月12日 | 5700 | 廣州 |
鄒某某 | 22 | 3月26日 | 3月2日 | 9857 | 茂名 |
劉某 | 20 | 3月26日 | 2月19日 | 5800 | 武漢 |
鄭某某 | 27 | 3月27日 | 2月19日 | 980.98 | 佛山 |
張某 | 19 | 3月27日 | 2月底 | 1000 | 武漢 |
朱某某 | 24 | 3月27日 | 2月20日 | 1960 | 蘇州 |
彭某某 | 22 | 3月27日 | 2月19日 | 4527 | 重慶 |
潘某某 | 21 | 3月27日 | 3月2日 | 4427 | 麗水 |
鄭某某 | 25 | 3月27日 | 3月19日 | 53400 | 西安 |
馬某某 | 25 | 3月28日 | 3月2日 | 4000 | 沈陽(yáng) |
鐘某某 | 21 | 4月2日 | 2月20日 | 7689 | 成都 |
吳某某 | 30 | 4月3日 | 3月13日 | 90000 | 成都 |
李某 | 19 | 4月9日 | 2月14日 | 30000 | 上海 |
陳某某 | 23 | 4月11日 | 2月7日 | 6000 | 重慶 |
陳某某 | 21 | 4月14日 | 4月5日 | 10551 | 合肥 |
董某某 | 21 | 4月17日 | 3月1號(hào) | 13000 | 北京 |
堵某某 | 23 | 4月17日 | 3月18日 | 600 | 無(wú)錫 |
李某 | 27 | 4月17日 | 3月29日 | 38000 | 蘇州 |
楚某某 | 20 | 4月18日 | 3月16日 | 8950 | 北京 |
王某 | 26 | 4月18日 | 2月6日 | 25000 | 蕪湖 |
李某某 | 19 | 4月19日 | 3月19日 | 10744 | 上海 |
佩某 | 23 | 4月19日 | 3月7日 | 7572 | 廣東 |
付某 | 22 | 4月19日 | 3月16日 | 4500 | 沈陽(yáng) |
伏某某 | 22 | 4月19日 | 3月8日 | 8226 | 北京 |
李某某 | 22 | 4月20日 | 4月6號(hào) | 980 | 杭州 |
李某 | 24 | 4月20日 | 3月5日 | 1000 | 南通 |
陳某 | 23 | 4月20日 | 3月8日 | 1934 | 蘇州 |
張某某 | 26 | 4月20日 | 3月21日 | 5250 | 深圳 |
孟某 | 28 | 4月23日 | 5月12日 | 19507 | 長(zhǎng)春 |
王某 | 27 | 4月23日 | 4月1日 | 2300 | 北京 |
程某某 | 31 | 4月25日 | 3月份 | 3920 | 成都 |
朱某某 | 20 | 4月28日 | 3月2日 | 11662 | 溫州 |
截至5月31日的受騙者信息