网友“风过无痕”: 最近在网上下单了一件商品,十几分钟后就有“客服”打电话来索要银行卡号、身份证号码,而且还能准确的报出自己买了什么,收货地址在哪等详细信息。虽然我知道这是诈骗手段,但是我的订单信息是谁泄漏的呢?是网购平台,还是卖家?
互联网黑产观察员(追踪最新的互联网安全热点,揭开网络地下产业链条的神秘面纱。搜索微信公众号“互联网黑产观察员”关注):
一般来说,订单泄漏的原因可以总结为以下几种:
4、卖家使用了有后门的第三方服务软件;
5、卖家监守自盗。
如果是快递单泄漏,骗子只会知道地址、姓名、电话,不可能说出你在什么时间买了什么商品。而且时间也不会那么快,下单十几分钟就接到电话,这个时候信息应该还没有到物流的环节。但上述2、3、4、5条原因都是有可能的。
这里分享一个真实案例,给大家介绍订单信息的黑色产业链。
网购平台订单泄漏 第三方软件是元凶
去年,我们接到用户反馈网购订单被泄露,买家下单后几分钟就会接到诈骗电话,互联网黑产观察员立即联系卖家和买家,对此进行了调查。
经过调查发现,涉案卖家都是用了同一款免费的订单管理软件,该软件在使用时,需要通过软件登录卖家管理权限,随后软件会每分钟扫描一次卖家的订单,并对新增订单进行自动发货,并自动填写打印快递单,能够大大节省了卖家的工作量。
但是这款软件存在后门,在服务的同时把卖家的帐号密码和扫描到的订单信息全部发送给了软件作者,如此一来,用户的信息自然就被泄漏了。
信息泄漏后会被用来做什么
订单信息在泄漏后,大多会被软件作者出售给诈骗团伙和营销团伙。现在市面上的网购订单数据价格在2.5元/条上下浮动。经过调查发现,一般的软件每天能够收集500-3000条订单数据,那么坏人一天的收益大约就在1000-7500元左右,如此丰厚的回报,自然能吸引人去作恶。
骗子买到用户的订单信息后,会直接通过订单上的信息给用户打电话,以“卡单”、“无货”,要给用户退款的幌子来博取信任。随后给用户发送钓鱼链接,并引导用户在网站上填入或直接骗取银行卡号、支付密码等信息,最后通过购买虚拟商品、直接转账等方式进行套现。
还有一种方式是直接在电话里骗取,骗子假冒客服,直接通过电话索要银行卡号、身份证、手机验证码等,然后绑定快捷支付直接转账。
除了诈骗,用户的信息还会被用来精准营销。这也是为什么大家经常刚办了信用卡,就被推荐买保险,刚买了车,就被推销各种汽车用品的原因。
该如何防范信息泄露?
隐私泄漏的原因可能是多方面的,很多时候是发生在我们不知情的情况下。所以在呼吁、推动各个互联企业规范使用并严格保护用户隐私信息的同时,自身也要提高安全意识。
首先得增强隐私保护意识,不随意填写个人信息。现在有很多小调查,小接力的活动,会诱导用户填写个人信息,这其实是很危险的。
之前有朋友参加了一个为爷爷奶奶传递爱的活动,让他填写爷爷奶奶的联系方式,活动组织者会亲自送上礼品。结果第二天他奶奶就接到电话被推销“保健品”,被骗了3万多。所以大家一定不要把自己或家人的隐私信息轻易泄漏出去。
此外,遇到任何问题,务必在官方平台解决,不接受私聊。以前面提到的案例为例,下单之后接到“客服”电话,无论是要退款还是什么,都可以自己登录网购平台直接操作。或者自己联系在线客服、打电话咨询。对于这种主动上门的“服务”,大家还是要多留个心眼。