亚马逊官网疑似安全漏洞致诈骗频出 回应称已采取措施

首页 > 资讯 >正文

【摘要】面对用户信息泄露和网站设置存在漏洞的质疑,亚马逊方面向中国网财经记者表示,针对近期诈骗分子的作案手段,已暂时关闭亚马逊网站用户个人主页的编辑功能,以阻止诈骗分子植入钓鱼链接并利用其行骗,防止用户利益遭到侵害。

   普拉达  ·  2016-09-07 13:59
亚马逊官网疑似安全漏洞致诈骗频出 回应称已采取措施 - 金评媒
来源: 中国网财经   

在打击治理电信诈骗的风口浪尖,日前,多名网友向中国网财经爆料称,收到自称亚马逊“客服”电话,根据对方提示登录官网“个人主页”进行点击链接等操作后,银行卡、支付宝内余额被划走,或信用卡、蚂蚁借呗等信用额度被全部透支。

面对用户信息泄露和网站设置存在漏洞的质疑,亚马逊方面向中国网财经记者表示,针对近期诈骗分子的作案手段,已暂时关闭亚马逊网站用户个人主页的编辑功能,以阻止诈骗分子植入钓鱼链接并利用其行骗,防止用户利益遭到侵害。

官网现钓鱼网站链接

9月2日晚九点多,上海的林丽(化名)收到自称亚马逊客服人员的电话,对方在电话里表示,林丽有一个订单申请了退款,询问她申请退款的原因。林丽感到十分诧异,因为此前只在亚马逊买过一个充电器,且已经到货,她表示从未申请过退款,不清楚为何要再次操作此订单,而该“客服”坚持让她登录亚马逊官网查看具体信息。

登陆后,该订单在订单页面不见踪影,而在“我的亚马逊”下“我的个人主页”页面显示,由于系统原因,导致该订单失效,已通知商家协助办理退款,并附有“退款链接”,称资金将在系统提示成功五分钟内退回银行账户,若延迟退款会被商城视为“失信客户”。按照“客服”的指示,林丽点进页面上的链接,并输入招商银行卡号和手机收到的验证码,连续输入几个验证码均显示无效。

对方称需要一点时间处理,稍后林丽又收到一个验证码,输入后显示操作成功。第二天使用银行卡购物时,林丽发现,银行卡里一万八千多元的余额已经全被刷走,她这才猛然发觉,前一天点进去的链接是钓鱼网站,最后收到的验证码则是确认转账的操作。跟亚马逊官方客服联系后她得知,自己的账号应该已经被盗,“个人主页”上的文字信息是用户可以自行更改的,并不是官方系统信息,随后她在“我的账户”中的“隐藏订单”页面找到了之前消失的订单。

疑似安全漏洞被利用

林丽坦言,以往骗子的常见手法是打电话,通过短信或邮件等发来一个钓鱼链接,这种情况下很可能会意识到是骗子,“但我们都是登录了官网,认为在官网是绝对不会有问题的。”

在她看来,亚马逊网站无疑存在漏洞,个人页面可以被用户修改,隐藏订单功能很多人也并不知晓,这本身就存在很大的风险,而亚马逊并没把这一风险及时告诉广大消费者,后续出现的提醒信息也不甚明确,没有指出个人页面的内容可能会被篡改。同时,骗子可以掌握这么多用户的用户名、密码,亚马逊在用户信息的泄露上也应负有责任。

针对官网疑似出现的漏洞,亚马逊官方客服人员此前向法治周末表示,亚马逊设置的“隐藏订单”功能是为了方便一些用户忽略部分订单,从而在订单页面中查询不到相关信息;而“个人主页”功能实际上是一个用户个人介绍等资料的展示页面,其中的内容由用户自行编写,并不会出现任何亚马逊官方的订单或账户信息以及退款要求。

记者在9月5日早上登录亚马逊官网时,主页弹出安全提示:“亚马逊不会以任何理由主动联系用户索要密码和手机验证码,或要求您点击任何网址链接进行退款或支付操作”,并附有客服联系引导提示——“亚马逊首页-帮助-需要其他帮助-联系我们”。当天晚间,该提示进行了修改,将繁琐的客服联系方式直接改为客服电话“400-810-5666”。

100多人合计被骗300多万

跟林丽有同样遭遇的不在少数。中国网财经记者了解到,全国各地自称受骗的亚马逊用户自发组建了一个138人的QQ群,被骗原因多为点击被修改的个人主页上的链接。据群内成员统计,他们被骗的金额从几十元至几十万元不等,最高金额达到了21.5万元,被骗时间多数集中在今年的七、八月份,总计被骗金额累计达到300多万元。截至9月3日,仍有新的受骗者加入该群。

在整理受害者信息时中国网财经记者发现,被骗金额最大的案例不是通过银行卡、支付宝转账,而是通过支付宝的“蚂蚁借呗”等平台进行信用额度透支。

8月19日,上海的张婷(化名)收到“客服”电话,点进亚马逊网站上的钓鱼链接后,对方称需进行“双向转账验证”进行账户信息确认,由于听信骗子几次三番的“验证不成功”的说法,她在银行卡余额不足的情况下,通过支付宝的“蚂蚁借呗”和“招联金融”等平台,分几次共借贷16.08万元进行转账。受害者QQ群内的统计表显示,在同一天,深圳的一位用户因同样的手法,通过“蚂蚁借呗”借贷被骗21.5万元。“我老婆是准妈妈,深圳的那位是个早产的妈妈,孩子的保温箱钱都被骗没了。”张婷的丈夫对记者说。

在张婷提供的截图中,被修改的“个人主页”顶部有两行浅灰小字,称“亚马逊不会通过此个人主页要求客户提供任何订单或账户相关的信息或点击任何链接办理订单退款等事宜”。在她看来,这个提示并不显著,“如果不是由于被骗,完全没有注意看过这行文字。”

针对下一步是否会向消费者赔偿等问题,中国网财经记者向亚马逊进行了采访,但对方没有对该问题做出回应。

亚马逊:已关闭用户个人主页的编辑功能

“针对近期诈骗分子的作案手段,我们已暂时关闭了亚马逊网站用户个人主页编辑功能,以阻止诈骗分子植入钓鱼链接并利用其行骗,防止用户利益遭到侵害。”对于近期频发的诈骗事件,亚马逊方面向中国网财经记者回复称,经初步核查显示,无法排除客户信息通过其他渠道被盗取的可能性。

为了提醒客户对类似诈骗保持警惕,亚马逊已通过短信、邮件、APP推送等多种方式,并在官方网站移动端及电脑端显著位置对消费者进行了安全提示,建议消费者定期及时更改账户登录密码。

来源: 中国网财经

上一篇文章                  下一篇文章

普拉达

评论:
    . 点击排行
    . 随机阅读
    . 相关内容