事情是這樣子的:
在家這幾天在中國(guó)亞馬遜上買了些書,前前后后買了十幾本。
一直覺得亞馬遜沒有太多的廣告和噱頭,送貨速度雖然趕不上某東,但服務(wù)什么的都還算可以。
昨天晚上臨睡前逛了下亞馬遜,下了個(gè)訂單,買了些書。由于過了零點(diǎn)下單,所以下單日期也是9月22日。(下兩張圖是我自己下的訂單)
晚上剛吃完飯,接到個(gè)陌生手機(jī)號(hào),由于工作時(shí)候一直會(huì)受到陌生電話,同時(shí)手機(jī)管家未顯示是騷擾或者詐騙電話,于是就接起來(lái)了。
騙子: 您是XXX先生嗎(真實(shí)姓名)??
(但是一聽到不是標(biāo)準(zhǔn)的普通話,感覺是詐騙電話,留了個(gè)心眼。)
本人:是的
騙子: 你在亞馬遜上是不是下了個(gè)訂單,內(nèi)容是四本書。
本人:是的
騙子:我們庫(kù)房準(zhǔn)備給你發(fā)貨,但是發(fā)現(xiàn)訂單被取消了
(這個(gè)騙術(shù)之前看過,基本斷定是騙子了。但好奇他到底怎么實(shí)現(xiàn)的,所以暫時(shí)也沒掛電話)
本人:我沒取消啊
騙子:你是下了個(gè)訂單,四本書,用的是禮品卡支付的吧
本人:是的
騙子:你現(xiàn)在登陸下亞馬遜,看下訂單狀態(tài)。
本人:好的,我看下。
(和之前劇本一樣……知道不要輸入銀行賬號(hào)密碼就行,按部就班去看了)
發(fā)現(xiàn)的的確確有個(gè)異常訂單。
尚未支付?我明明之前就支付了。不過等等。。
為什么付款方式是支付寶?我明明是用禮品卡支付的。(整個(gè)訂單100+軟妹幣,昨天晚上自己下完單后只剩下了30多)
然后再仔細(xì)看下訂單其他內(nèi)容,發(fā)現(xiàn)有幾個(gè)問題:
1、付款方式不同(真訂單:賬戶余額;騙子訂單:支付寶)
2、訂單編號(hào)不同
3、訂單金額不同(真訂單:112.10;騙子訂單:113.70) -----有本書漲價(jià)了……
騙子:您看到了那個(gè)訂單了嗎?沒看到的話,你也可以看下郵件。
我看了下郵件。
特地留意了郵件頭,發(fā)現(xiàn)的的確確是amazon發(fā)出來(lái)的,但是注意,這只是一封確認(rèn)郵件!
騙子:這樣子,我們幫你安排退款。
(狐貍尾巴露出來(lái)了)
本人:我該怎么做?
騙子:你點(diǎn)下購(gòu)物車旁邊的心愿單。
點(diǎn)了之后,如下圖(到目前位置,所有的操作都是在amazon的官網(wǎng)上做的)。
騙子:看到了系統(tǒng)公告了嗎?
(其實(shí)心愿單的作用是一個(gè)可自定義的收藏夾,而且很少人用這個(gè)功能……)
本人:看到了
騙子:你看到上面怎么寫的了嗎?
(隨后騙子會(huì)逐一和你確認(rèn)你看到的內(nèi)容,個(gè)人覺得是騙子要確認(rèn)用戶的確看到了,沒有在騙他...)
騙子:您看下,公告里的電話,就是我打給你的這個(gè)電話吧?
本人:是的。
騙子:那好你進(jìn)入一下那個(gè)網(wǎng)址,我們給你退款
到此為止,騙子的伎倆差不多結(jié)束了,引誘用戶到外部鏈接之后,就是輸用戶名、密碼等操作……辦理所謂的“退款”
隨后找了個(gè)理由,說(shuō)在公司,有些網(wǎng)站上不去(感謝深信服……)。騙子問我什么時(shí)候可以上,我說(shuō)回家吧,11-12點(diǎn)的樣子。于是他還不死心,說(shuō)待會(huì)兒再給我電話……
后面所有的電話都沒接,然后就沒有然后了……
如果不是之前在微信朋友圈上看到過這個(gè)騙術(shù),真搞不好會(huì)中招。
梳理下,騙子整個(gè)行騙流程是:
1、通過某個(gè)網(wǎng)站獲取用戶的用戶名(郵箱)、密碼等基本信息,可能還有手機(jī)、地址或者其他基本的個(gè)人信息字段。
2、由于大多數(shù)用戶會(huì)使用相同的郵箱+密碼登陸若干個(gè)網(wǎng)站,如果網(wǎng)站本身認(rèn)證機(jī)制不夠完善的話,那就全球通了。
3、騙子在確認(rèn)可以登錄AMAZON后,制造假訂單欺騙用戶。
有點(diǎn)需要注意下:之前的騙術(shù)里是使用隱藏訂單的功能,amazon應(yīng)該已經(jīng)取消了這個(gè)功能,所以用戶還是可以直接看到自己的真實(shí)訂單。因此,務(wù)必確認(rèn)你看到的就是你自己下的。很多時(shí)候差異都存在在細(xì)節(jié)里,如支付方式、金額、訂單號(hào)等……
4、騙子在確信你信了這個(gè)訂單有問題之后,就引導(dǎo)你進(jìn)行”退款“。使用amazon的”心愿單“功能,制造假的公告和退款鏈接。
以下,所有的操作都在amazon網(wǎng)站內(nèi)部完成(的的確確在官網(wǎng),增加了可信度)
5、公告中的鏈接是個(gè)短鏈接,輸入之后,進(jìn)入釣魚網(wǎng)站,然后讓用戶以為自己在退款…… 而卡號(hào)、密碼等等的信息,一不小心就泄露了……
以下,有感而發(fā):
一:對(duì)于騙子:現(xiàn)在的騙術(shù)越來(lái)越高明(未必有太多的技術(shù)含量)
360度無(wú)死角的利用了社會(huì)工程學(xué),利用用戶對(duì)官方網(wǎng)站的信任,在官方網(wǎng)站上植入釣魚網(wǎng)站鏈接。
二:對(duì)于AMAZON:認(rèn)證技術(shù)需要提高
除了用戶名密碼,亞馬遜偶爾使用了雙因素認(rèn)證,觸發(fā)條件目測(cè)是你換了新電腦或者用了新的IP。但是,目前我碰到的雙因素認(rèn)證的問題是:
您的以0065結(jié)尾的手機(jī)號(hào)是?
這種字段可以很輕易的和用戶的用戶名、郵箱、密碼一起拿到。畢竟把身份證和銀行卡放在一起是一件很不安全的事情。
三:對(duì)于用戶:提高安全意識(shí),便捷與安全總是相對(duì)的。
工作中一直碰到用戶抱怨:
1、為什么又要改密碼?
2、我的密碼能不能設(shè)置為永不過期?
3、我能不能不該密碼?我們Team幾個(gè)人都用同一個(gè)賬號(hào),一改就鎖。
記得有一次給用戶分配FTP賬戶,分配了一個(gè)16位的強(qiáng)密碼,大致像這種:?Fm\mX.*g[;Kp0Ng,然后用戶直接爆粗口,各種抱怨
一般公司都是使用強(qiáng)密碼策略:
a. 密碼歷史要求:新密碼在最近的X次內(nèi)未被使用過
b. 密碼長(zhǎng)度要求:密碼必須X位數(shù)以上
c. 復(fù)雜性要求:密碼必須包含大寫字母,小寫字母,數(shù)字,特殊符號(hào)中的至少三種
d. 密碼鎖定策略:輸錯(cuò)X次密碼賬戶被鎖
等等等等……
的確很麻煩,但是便捷與安全總是相對(duì)的。這就好比是保險(xiǎn),沒人希望用到,但人人都會(huì)買各種各樣的保險(xiǎn):意外險(xiǎn)、重疾險(xiǎn)、養(yǎng)老險(xiǎn)……?
四:經(jīng)驗(yàn)總結(jié)
1、定期更改密碼
2、使用強(qiáng)密碼
3、不同網(wǎng)站使用不同的密碼
4、確定你看到的事物(如訂單)的準(zhǔn)確性,真實(shí)性
5、認(rèn)清釣魚網(wǎng)站,不隨便進(jìn)外鏈
6、凡是需要輸入敏感信息的(卡號(hào)、密碼等)留一萬(wàn)個(gè)心眼
以上,不說(shuō)了,默默的改密碼去……
Shawn Cai
2016-9-22