小白女友遭遇网购诈骗,我感到很惭愧

2018 年 8 月 22 日 黑客技术与网络安全

来自:FreeBuf.COM

作者:Andy.i


人不会两次掉进同一个坑,但第二次掉进去的可能是你的女朋友。近期,笔者一向机灵的女朋友却一时犯了傻,让骗子钻了空子……

前段时间,我正在外地出差,晚上跟朋友一起吃饭的时候,突然微信消息弹窗,女朋友微信刚发来了视频通话,不过显示已结束。

跟平常一样,我回复之后就继续吃饭了。饭局结束,我立马发视频过去。

对方已拒绝???

正当我一脸懵逼的时候,女朋友发来一条语音,说她现在在派出所。

我顿时一惊,怎么会在派出所,下意识的看了一下时间,晚上22:31,这个时间点会发生什么,才有必要去派出所。

骑车撞人?拦路抢劫?家里被洗劫……从不那么好的到坏到极致的,你们能想到的所有场景在那一瞬间都在我脑子里过了一遍,奈何我现在只能焦急地等待回复。

终于等来了一张截图:

看到这个,我算是平静许多了,还好还好,刚刚在派出所做笔录,应该是遇到诈骗了,被骗了2000块。但是短信中明明提醒在重置密码以及在转账,怎么还会被骗呢?对于这一点,我至今无法理解,事后她也说“银行短信已经明确提醒了,为什么自己却看不见呢,真的是傻”。

网购诈骗的套路也会“与时俱进”

因为一直以来在我眼中,女朋友都是比较聪明机灵的,处事比较理性,一般的诈骗套路她连理都不带理的直接忽略,究竟是哪路神仙从她手上诈走这2000元呢?

在听她讲述完之后,我竟然惊讶的发现是跟我四年前遭遇的网购诈骗套路几乎如出一辙,我坚信很多人见过或者真实经历过这种套路。

当初,我还是个单纯(chǔn)的小男生,对这大千网络世界充满了迷恋。一次跟朋友一起在某宝买了衣服,在等待收获的过程中,突然接到电话,自称淘宝客服的人称我的订单异常需要申请退款。本来想去某宝直接在线询问店主,而骗子准确的说出了我的姓名、手机号、收件地址以及购买的物品,一下让我猝不及防。

碍于帮基友买了东西,不好意思耽搁。于是按她的操作一步一步将钱送进了她的口袋,那是我半个月的粮草……

QQ加好友———进入她给的网站(清晰记得网站上醒目的支付宝LOGO)——填写姓名、银行卡号、密码、手机号、短信验证码——收到扣款短信

在收到扣款短信之后,世界都变的明朗了,可惜已经晚了。骗子企图继续套我其他银行卡上的钱,假称刚刚的扣款只是暂时冻结,需要用另一张银行卡验证身份之后才能解冻并全部返还。

很后悔当时没有狂喷一顿再挂电话。

正是在那一次诈骗遭遇之后不久,用户在某宝、或者某猫购物付款完成之后会有警惕“冒充淘宝客服退款诈骗”的提示信息,或者下单之后,卖家会自动发送一条这类诈骗的提醒信息。

下单后,用QQ给您发链接办理退款的都是骗子!X猫不存在系统升级、订单异常等问题,谨防假冒客服电话诈骗!

之后回想中间的过程,存在疑点的地方是在太多太多:

1.淘宝客服为何使用普通的手机号打电话给我?

2.淘宝客服为何后续要求QQ跟我联系?

3.无论是什么理由,某宝也没有可能会要求用户提供银行密码如此重要的信息

4.如果稍微注意一下网站的地址栏,能够轻易发现并非是“taobao.com”的域名

……

除了自己警惕性太弱,轻易被骗子带节奏之外,没有其他理由了。而那次诈骗经历我是跟女朋友讲过的,就是现任这位。

四年过去了,我确实没再中过招,没想到自己女朋友却掉进坑了。虽然是同样的套路,但显然骗子也是知道“与时俱进”的,仿真工作也做的有模有样。

她跟我说起诈骗经过,我都忍不住笑她傻。晚上8点多,她在家里看电视,她煲起剧来为了不被打扰,连我的电话打进来都直接挂掉继续看,我只能识趣地不再打扰。而这个骗子可以说挑对了一个非常好的时间点,同样的套路,打电话冒充淘宝客服如实的对了一遍收件人、收货地址、订单号等信息,表示订单异常需要手动申请退款处理。但是我女朋友嫌麻烦,而且觉得只是一件衣服没关系了,可以等我回来再处理,还是看电视要紧,就直接婉拒了。

骗子就开启了电话轰炸+装可怜的模式,一连打了7个电话进来,被打扰到实在不耐烦了,女朋友终于还是接了电话,直接表示拒绝处理之后,骗子称如果不处理自己会被扣工资。

我的天,对我的时候也没表现出那么大的善心,突然对一个打扰自己看电视的陌生人发起了善心,乖乖的加了微信(骗子还是不用阿里旺旺,不知道是不是旺旺有关键词监测),于是开始一步步走近骗子设下的陷阱。

在加完微信之后,骗子不再是直接发一个链接进去填表了,而是打开支付宝添加好友搜索框中输入刚刚打电话进来的手机号,就会搜到一个昵称为“琼”的账号,而且能看到其发布的唯一一条动态,是一张二维码并配文“支付宝理赔中心”,长按识别二维码就可以进入一个网站。

相比我之前直接发给我链接直接在浏览器打开,这种可能忽悠不少人了。在普通人看来,这是从支付宝里打开的,跟淘宝是一家,可信度瞬间提升了。但其实只是支付宝内置有浏览器可以打开链接,本质上是跟支付宝独立的,跟微信内置浏览器一样。关键是,这个内置浏览器打开网站后并不会显示网址,除非点击右上角的图标选择“复制网址”,粘贴出来才能看到。

我在之后的测试中找到网址: http://www.ibtubsd.cn.com/zfb ,但目前已经打不开了。

另外,这个页面伪装成“支付宝理赔中心”,下方还有“支付宝担保”等内容,其实你点一下“立即申请”的按钮会发现, 根本没有任何反应,除了登录框是可用的,下方只是一整张图片。这种钓鱼网站放在Freebuf网友面前简直就是用来侮辱智商的。

后面的剧情基本大家也猜到了,登录支付宝账号(这一步可能已经泄漏账户密码),填写身份信息、银行卡、密码、手机号、验证码等等所有私密信息。一条短信,卡里的钱全部被转走。在输入银行卡密码的那一刻,不知道她有没有犹豫一下。索性,银行卡里剩余的钱不多,其他的都在支付宝里买了基金,没办法被转走。

其实,女朋友还是有一些警戒的,她之前用几张很久没用而且也没有余额的银行卡去填信息,却一直提交失败。骗子有不停的通过语音电话来骚扰,致其无法跟其他人交流。而最后填写的那张卡她以为没多少钱了才填进去,没想到竟然有2000块。

在第一次成功过转走之后,骗子想继续忽悠,称资金只是暂时扣除,需要解除才会退回,也就是需要其他途径的验证。不过2000块已经足够让我女朋友清醒过来,便不再相信,包括之后骗子试图利用蚂蚁借呗套现均没有成功。如果一旦按其操作去做,骗子可以从蚂蚁借呗等多种信贷渠道利用你的身份套现, 最终只能有你自己还款,将损失更多钱财,现实已经出现许许多多这样的例子。

实名制下,虚假身份成为骗子的隐身衣

之后便出现了女朋友去派出所录笔录一事,警察询问更多的骗子身份细节或者证据的时候,我女朋友可能当时还没有彻底捋清楚,便没有太多的证据提供。

通过女朋友提供的骗子的信息,我之后进行了一番简单的调查,但其实并没有什么用。骗子的微信昵称“余茜筱”基本不能算作一条线索,手机号现在到处都是黑卡或者利用其他人身份代办。而通过手机号搜索到的那个支付宝账户,我突然想起来支付宝在转账时存在真实姓名验证的机制,我便尝试给骗子账户转账,显示“*琼”,发现是两个字的名字,一个一个试常见的姓氏,最终“吴琼”成功通过验证。

还有,女朋友银行卡中的余额是通过手机银行实时转账完成的,第二天去银行找回手机银行账户密码之后,查看交易记录收款人却又是“余茜筱”、“吴琼”之外的第三个名字“梁永琛”。虽然把这些信息全部提供给了警察,但除了之后的一次按例回访之后再也没有音讯,基本上这2000块就石沉大海,而这所谓三个名字信息极有可能全部都是假的或者是冒用其他人身份。而骗子又去寻找下一个目标……

除了女朋友和我之外,这种退款诈骗已经让越来越多的人上当。作为受害者之一,防范意识薄弱、容易被骗子带节奏进坑之外确实是需要注意的地方。但确实会存在一种巧合或者某种特殊的时间点让你失去基本的理性,造成不同程度的损失。

而至于骗子是如何知道网购平台订单信息的,这已经是存在已久的问题,究竟是谁的责任,淘宝店家?账号被钓鱼?好像至今是个说不清的问题。而实名制之后,虽网络诈骗案已久不得缓解,用户除了注意隐私保护之外,相关机构是不是也需要继续做点什么?

警惕网购诈骗的建议,欢迎各位补充

最后,我也相结合自己经历的这两次诈骗经历给出一些建议:

1.无论是哪个平台基本不会出现订单异常的情况,要求提供银行卡支付密码以及银行短信验证码的200%是骗子;

2.银行转帐支持24小时内撤销的仅仅是通过ATM机取到转账,而手机银行实施转账时不支持撤销的;

3.接到普通手机号来电自称某官方客服的请直接挂电话;

4.关于网购订单的情况,一定在官方渠道跟卖家沟通核实;

5.访问网站填写私密信息操作请务必确认网址;

6.这一条是给支付宝的建议,针对这种识别二维码跳转网站的套路,建议支付宝后期加上关于跳转外链的安全警示,用户手动确认后才能继续跳转。



●编号683,输入编号直达本文

●输入m获取文章目录

推荐↓↓↓

Web开发

更多推荐18个技术类公众微信

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

登录查看更多
0

相关内容

商业数据分析,39页ppt
专知会员服务
160+阅读 · 2020年6月2日
《代码整洁之道》:5大基本要点
专知会员服务
49+阅读 · 2020年3月3日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
手把手教你用Python做一个哄女友神器,小白可上手
网易智能菌
5+阅读 · 2019年6月15日
我是怎么走上推荐系统这条(不归)路的……
全球人工智能
11+阅读 · 2019年4月9日
已删除
雪球
6+阅读 · 2018年8月19日
抖音完了!这次道歉也没用了
今日互联网头条
9+阅读 · 2018年7月2日
朋友圈新功能,治愈大波强迫症患者
腾讯
4+阅读 · 2017年7月14日
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
为什么不能和阿里巴巴好好说话呢?
创业邦杂志
3+阅读 · 2017年7月3日
Arxiv
4+阅读 · 2019年12月2日
Arxiv
3+阅读 · 2018年10月25日
Arxiv
3+阅读 · 2018年3月29日
VIP会员
相关资讯
手把手教你用Python做一个哄女友神器,小白可上手
网易智能菌
5+阅读 · 2019年6月15日
我是怎么走上推荐系统这条(不归)路的……
全球人工智能
11+阅读 · 2019年4月9日
已删除
雪球
6+阅读 · 2018年8月19日
抖音完了!这次道歉也没用了
今日互联网头条
9+阅读 · 2018年7月2日
朋友圈新功能,治愈大波强迫症患者
腾讯
4+阅读 · 2017年7月14日
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
为什么不能和阿里巴巴好好说话呢?
创业邦杂志
3+阅读 · 2017年7月3日
相关论文
Top
微信扫码咨询专知VIP会员