親身經(jīng)歷了AMAZON的最新騙術(shù),有感而發(fā)

事情是這樣子的:

在家這幾天在中國(guó)亞馬遜上買了些書,前前后后買了十幾本。

一直覺得亞馬遜沒有太多的廣告和噱頭,送貨速度雖然趕不上某東,但服務(wù)什么的都還算可以。

昨天晚上臨睡前逛了下亞馬遜,下了個(gè)訂單,買了些書。由于過了零點(diǎn)下單,所以下單日期也是9月22日。(下兩張圖是我自己下的訂單)




晚上剛吃完飯,接到個(gè)陌生手機(jī)號(hào),由于工作時(shí)候一直會(huì)受到陌生電話,同時(shí)手機(jī)管家未顯示是騷擾或者詐騙電話,于是就接起來(lái)了。


騙子: 您是XXX先生嗎(真實(shí)姓名)??

(但是一聽到不是標(biāo)準(zhǔn)的普通話,感覺是詐騙電話,留了個(gè)心眼。)

本人:是的

騙子: 你在亞馬遜上是不是下了個(gè)訂單,內(nèi)容是四本書。

本人:是的

騙子:我們庫(kù)房準(zhǔn)備給你發(fā)貨,但是發(fā)現(xiàn)訂單被取消了

(這個(gè)騙術(shù)之前看過,基本斷定是騙子了。但好奇他到底怎么實(shí)現(xiàn)的,所以暫時(shí)也沒掛電話)

本人:我沒取消啊

騙子:你是下了個(gè)訂單,四本書,用的是禮品卡支付的吧

本人:是的

騙子:你現(xiàn)在登陸下亞馬遜,看下訂單狀態(tài)。

本人:好的,我看下。

(和之前劇本一樣……知道不要輸入銀行賬號(hào)密碼就行,按部就班去看了)

發(fā)現(xiàn)的的確確有個(gè)異常訂單。



尚未支付?我明明之前就支付了。不過等等。。

為什么付款方式是支付寶?我明明是用禮品卡支付的。(整個(gè)訂單100+軟妹幣,昨天晚上自己下完單后只剩下了30多)

然后再仔細(xì)看下訂單其他內(nèi)容,發(fā)現(xiàn)有幾個(gè)問題:

1、付款方式不同(真訂單:賬戶余額;騙子訂單:支付寶)

2、訂單編號(hào)不同

3、訂單金額不同(真訂單:112.10;騙子訂單:113.70) -----有本書漲價(jià)了……


騙子:您看到了那個(gè)訂單了嗎?沒看到的話,你也可以看下郵件。

我看了下郵件。


特地留意了郵件頭,發(fā)現(xiàn)的的確確是amazon發(fā)出來(lái)的,但是注意,這只是一封確認(rèn)郵件!


騙子:這樣子,我們幫你安排退款。

(狐貍尾巴露出來(lái)了)

本人:我該怎么做?

騙子:你點(diǎn)下購(gòu)物車旁邊的心愿單。

點(diǎn)了之后,如下圖(到目前位置,所有的操作都是在amazon的官網(wǎng)上做的)。


騙子:看到了系統(tǒng)公告了嗎?

(其實(shí)心愿單的作用是一個(gè)可自定義的收藏夾,而且很少人用這個(gè)功能……)

本人:看到了

騙子:你看到上面怎么寫的了嗎?

隨后騙子會(huì)逐一和你確認(rèn)你看到的內(nèi)容,個(gè)人覺得是騙子要確認(rèn)用戶的確看到了,沒有在騙他...)

騙子:您看下,公告里的電話,就是我打給你的這個(gè)電話吧?

本人:是的。

騙子:那好你進(jìn)入一下那個(gè)網(wǎng)址,我們給你退款



到此為止,騙子的伎倆差不多結(jié)束了,引誘用戶到外部鏈接之后,就是輸用戶名、密碼等操作……辦理所謂的“退款”

隨后找了個(gè)理由,說(shuō)在公司,有些網(wǎng)站上不去(感謝深信服……)。騙子問我什么時(shí)候可以上,我說(shuō)回家吧,11-12點(diǎn)的樣子。于是他還不死心,說(shuō)待會(huì)兒再給我電話……

后面所有的電話都沒接,然后就沒有然后了……


如果不是之前在微信朋友圈上看到過這個(gè)騙術(shù),真搞不好會(huì)中招。

梳理下,騙子整個(gè)行騙流程是:

1、通過某個(gè)網(wǎng)站獲取用戶的用戶名(郵箱)、密碼等基本信息,可能還有手機(jī)、地址或者其他基本的個(gè)人信息字段。

2、由于大多數(shù)用戶會(huì)使用相同的郵箱+密碼登陸若干個(gè)網(wǎng)站,如果網(wǎng)站本身認(rèn)證機(jī)制不夠完善的話,那就全球通了。

3、騙子在確認(rèn)可以登錄AMAZON后,制造假訂單欺騙用戶。

有點(diǎn)需要注意下:之前的騙術(shù)里是使用隱藏訂單的功能,amazon應(yīng)該已經(jīng)取消了這個(gè)功能,所以用戶還是可以直接看到自己的真實(shí)訂單。因此,務(wù)必確認(rèn)你看到的就是你自己下的。很多時(shí)候差異都存在在細(xì)節(jié)里,如支付方式、金額、訂單號(hào)等……

4、騙子在確信你信了這個(gè)訂單有問題之后,就引導(dǎo)你進(jìn)行”退款“。使用amazon的”心愿單“功能,制造假的公告和退款鏈接。

以下,所有的操作都在amazon網(wǎng)站內(nèi)部完成(的的確確在官網(wǎng),增加了可信度)

5、公告中的鏈接是個(gè)短鏈接,輸入之后,進(jìn)入釣魚網(wǎng)站,然后讓用戶以為自己在退款…… 而卡號(hào)、密碼等等的信息,一不小心就泄露了……


以下,有感而發(fā):

一:對(duì)于騙子:現(xiàn)在的騙術(shù)越來(lái)越高明(未必有太多的技術(shù)含量)

360度無(wú)死角的利用了社會(huì)工程學(xué),利用用戶對(duì)官方網(wǎng)站的信任,在官方網(wǎng)站上植入釣魚網(wǎng)站鏈接。

二:對(duì)于AMAZON:認(rèn)證技術(shù)需要提高

除了用戶名密碼,亞馬遜偶爾使用了雙因素認(rèn)證,觸發(fā)條件目測(cè)是你換了新電腦或者用了新的IP。但是,目前我碰到的雙因素認(rèn)證的問題是:

您的以0065結(jié)尾的手機(jī)號(hào)是?

這種字段可以很輕易的和用戶的用戶名、郵箱、密碼一起拿到。畢竟把身份證和銀行卡放在一起是一件很不安全的事情。

三:對(duì)于用戶:提高安全意識(shí),便捷與安全總是相對(duì)的。

工作中一直碰到用戶抱怨:

1、為什么又要改密碼?

2、我的密碼能不能設(shè)置為永不過期?

3、我能不能不該密碼?我們Team幾個(gè)人都用同一個(gè)賬號(hào),一改就鎖。

記得有一次給用戶分配FTP賬戶,分配了一個(gè)16位的強(qiáng)密碼,大致像這種:?Fm\mX.*g[;Kp0Ng,然后用戶直接爆粗口,各種抱怨

一般公司都是使用強(qiáng)密碼策略:

a. 密碼歷史要求:新密碼在最近的X次內(nèi)未被使用過

b. 密碼長(zhǎng)度要求:密碼必須X位數(shù)以上

c. 復(fù)雜性要求:密碼必須包含大寫字母,小寫字母,數(shù)字,特殊符號(hào)中的至少三種

d. 密碼鎖定策略:輸錯(cuò)X次密碼賬戶被鎖

等等等等……

的確很麻煩,但是便捷與安全總是相對(duì)的。這就好比是保險(xiǎn),沒人希望用到,但人人都會(huì)買各種各樣的保險(xiǎn):意外險(xiǎn)、重疾險(xiǎn)、養(yǎng)老險(xiǎn)……?


四:經(jīng)驗(yàn)總結(jié)

1、定期更改密碼

2、使用強(qiáng)密碼

3、不同網(wǎng)站使用不同的密碼

4、確定你看到的事物(如訂單)的準(zhǔn)確性,真實(shí)性

5、認(rèn)清釣魚網(wǎng)站,不隨便進(jìn)外鏈

6、凡是需要輸入敏感信息的(卡號(hào)、密碼等)留一萬(wàn)個(gè)心眼




以上,不說(shuō)了,默默的改密碼去……


Shawn Cai

2016-9-22




最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

推薦閱讀更多精彩內(nèi)容