事情是這樣子的：

在家這幾天在中國(guó)亞馬遜上買了些書，前前后后買了十幾本。

一直覺得亞馬遜沒有太多的廣告和噱頭，送貨速度雖然趕不上某東，但服務(wù)什么的都還算可以。

昨天晚上臨睡前逛了下亞馬遜，下了個(gè)訂單，買了些書。由于過了零點(diǎn)下單，所以下單日期也是9月22日。（下兩張圖是我自己下的訂單）

晚上剛吃完飯，接到個(gè)陌生手機(jī)號(hào)，由于工作時(shí)候一直會(huì)受到陌生電話，同時(shí)手機(jī)管家未顯示是騷擾或者詐騙電話，于是就接起來(lái)了。

騙子： 您是XXX先生嗎（真實(shí)姓名）？?

（但是一聽到不是標(biāo)準(zhǔn)的普通話，感覺是詐騙電話，留了個(gè)心眼。）

本人：是的

騙子： 你在亞馬遜上是不是下了個(gè)訂單，內(nèi)容是四本書。

本人：是的

騙子：我們庫(kù)房準(zhǔn)備給你發(fā)貨，但是發(fā)現(xiàn)訂單被取消了

（這個(gè)騙術(shù)之前看過，基本斷定是騙子了。但好奇他到底怎么實(shí)現(xiàn)的，所以暫時(shí)也沒掛電話）

本人：我沒取消啊

騙子：你是下了個(gè)訂單，四本書，用的是禮品卡支付的吧

本人：是的

騙子：你現(xiàn)在登陸下亞馬遜，看下訂單狀態(tài)。

本人：好的，我看下。

（和之前劇本一樣……知道不要輸入銀行賬號(hào)密碼就行，按部就班去看了）

發(fā)現(xiàn)的的確確有個(gè)異常訂單。

尚未支付？我明明之前就支付了。不過等等。。

為什么付款方式是支付寶？我明明是用禮品卡支付的。（整個(gè)訂單100+軟妹幣，昨天晚上自己下完單后只剩下了30多）

然后再仔細(xì)看下訂單其他內(nèi)容，發(fā)現(xiàn)有幾個(gè)問題:

1、付款方式不同（真訂單：賬戶余額；騙子訂單：支付寶）

2、訂單編號(hào)不同

3、訂單金額不同（真訂單：112.10；騙子訂單：113.70） -----有本書漲價(jià)了……

騙子：您看到了那個(gè)訂單了嗎？沒看到的話，你也可以看下郵件。

我看了下郵件。

特地留意了郵件頭，發(fā)現(xiàn)的的確確是amazon發(fā)出來(lái)的，但是注意，這只是一封確認(rèn)郵件！

騙子：這樣子，我們幫你安排退款。

（狐貍尾巴露出來(lái)了）

本人：我該怎么做？

騙子：你點(diǎn)下購(gòu)物車旁邊的心愿單。

點(diǎn)了之后，如下圖（到目前位置，所有的操作都是在amazon的官網(wǎng)上做的）。

騙子：看到了系統(tǒng)公告了嗎？

（其實(shí)心愿單的作用是一個(gè)可自定義的收藏夾，而且很少人用這個(gè)功能……）

本人：看到了

騙子：你看到上面怎么寫的了嗎？

（隨后騙子會(huì)逐一和你確認(rèn)你看到的內(nèi)容，個(gè)人覺得是騙子要確認(rèn)用戶的確看到了，沒有在騙他...)

騙子：您看下，公告里的電話，就是我打給你的這個(gè)電話吧？

本人：是的。

騙子：那好你進(jìn)入一下那個(gè)網(wǎng)址，我們給你退款

到此為止，騙子的伎倆差不多結(jié)束了，引誘用戶到外部鏈接之后，就是輸用戶名、密碼等操作……辦理所謂的“退款”

隨后找了個(gè)理由，說(shuō)在公司，有些網(wǎng)站上不去（感謝深信服……）。騙子問我什么時(shí)候可以上，我說(shuō)回家吧，11-12點(diǎn)的樣子。于是他還不死心，說(shuō)待會(huì)兒再給我電話……

后面所有的電話都沒接，然后就沒有然后了……

如果不是之前在微信朋友圈上看到過這個(gè)騙術(shù)，真搞不好會(huì)中招。

梳理下，騙子整個(gè)行騙流程是：

1、通過某個(gè)網(wǎng)站獲取用戶的用戶名（郵箱）、密碼等基本信息，可能還有手機(jī)、地址或者其他基本的個(gè)人信息字段。

2、由于大多數(shù)用戶會(huì)使用相同的郵箱+密碼登陸若干個(gè)網(wǎng)站，如果網(wǎng)站本身認(rèn)證機(jī)制不夠完善的話，那就全球通了。

3、騙子在確認(rèn)可以登錄AMAZON后，制造假訂單欺騙用戶。

有點(diǎn)需要注意下：之前的騙術(shù)里是使用隱藏訂單的功能，amazon應(yīng)該已經(jīng)取消了這個(gè)功能，所以用戶還是可以直接看到自己的真實(shí)訂單。因此，務(wù)必確認(rèn)你看到的就是你自己下的。很多時(shí)候差異都存在在細(xì)節(jié)里，如支付方式、金額、訂單號(hào)等……

4、騙子在確信你信了這個(gè)訂單有問題之后，就引導(dǎo)你進(jìn)行”退款“。使用amazon的”心愿單“功能，制造假的公告和退款鏈接。

以下，所有的操作都在amazon網(wǎng)站內(nèi)部完成（的的確確在官網(wǎng)，增加了可信度）

5、公告中的鏈接是個(gè)短鏈接，輸入之后，進(jìn)入釣魚網(wǎng)站，然后讓用戶以為自己在退款…… 而卡號(hào)、密碼等等的信息，一不小心就泄露了……

以下，有感而發(fā)：

一：對(duì)于騙子：現(xiàn)在的騙術(shù)越來(lái)越高明（未必有太多的技術(shù)含量）

360度無(wú)死角的利用了社會(huì)工程學(xué)，利用用戶對(duì)官方網(wǎng)站的信任，在官方網(wǎng)站上植入釣魚網(wǎng)站鏈接。

二：對(duì)于AMAZON：認(rèn)證技術(shù)需要提高

除了用戶名密碼，亞馬遜偶爾使用了雙因素認(rèn)證，觸發(fā)條件目測(cè)是你換了新電腦或者用了新的IP。但是，目前我碰到的雙因素認(rèn)證的問題是：

您的以0065結(jié)尾的手機(jī)號(hào)是？

這種字段可以很輕易的和用戶的用戶名、郵箱、密碼一起拿到。畢竟把身份證和銀行卡放在一起是一件很不安全的事情。

三：對(duì)于用戶：提高安全意識(shí)，便捷與安全總是相對(duì)的。

工作中一直碰到用戶抱怨：

1、為什么又要改密碼？

2、我的密碼能不能設(shè)置為永不過期？

3、我能不能不該密碼？我們Team幾個(gè)人都用同一個(gè)賬號(hào)，一改就鎖。

記得有一次給用戶分配FTP賬戶，分配了一個(gè)16位的強(qiáng)密碼，大致像這種：?Fm\mX.*g[;Kp0Ng，然后用戶直接爆粗口，各種抱怨

一般公司都是使用強(qiáng)密碼策略：

a. 密碼歷史要求：新密碼在最近的Ｘ次內(nèi)未被使用過

b. 密碼長(zhǎng)度要求：密碼必須Ｘ位數(shù)以上

c. 復(fù)雜性要求：密碼必須包含大寫字母，小寫字母，數(shù)字，特殊符號(hào)中的至少三種

d. 密碼鎖定策略：輸錯(cuò)X次密碼賬戶被鎖

等等等等……

的確很麻煩，但是便捷與安全總是相對(duì)的。這就好比是保險(xiǎn)，沒人希望用到，但人人都會(huì)買各種各樣的保險(xiǎn)：意外險(xiǎn)、重疾險(xiǎn)、養(yǎng)老險(xiǎn)……?

四：經(jīng)驗(yàn)總結(jié)

1、定期更改密碼

2、使用強(qiáng)密碼

3、不同網(wǎng)站使用不同的密碼

4、確定你看到的事物（如訂單）的準(zhǔn)確性，真實(shí)性

5、認(rèn)清釣魚網(wǎng)站，不隨便進(jìn)外鏈

6、凡是需要輸入敏感信息的（卡號(hào)、密碼等）留一萬(wàn)個(gè)心眼

以上，不說(shuō)了，默默的改密碼去……

Shawn Cai

2016-9-22