亲身经历了AMAZON的最新骗术,有感而发
事情是这样子的:
在家这几天在中国亚马逊上买了些书,前前后后买了十几本。
一直觉得亚马逊没有太多的广告和噱头,送货速度虽然赶不上某东,但服务什么的都还算可以。
昨天晚上临睡前逛了下亚马逊,下了个订单,买了些书。由于过了零点下单,所以下单日期也是9月22日。(下两张图是我自己下的订单)
晚上刚吃完饭,接到个陌生手机号,由于工作时候一直会受到陌生电话,同时手机管家未显示是骚扰或者诈骗电话,于是就接起来了。
骗子: 您是XXX先生吗(真实姓名)?
(但是一听到不是标准的普通话,感觉是诈骗电话,留了个心眼。)
本人:是的
骗子: 你在亚马逊上是不是下了个订单,内容是四本书。
本人:是的
骗子:我们库房准备给你发货,但是发现订单被取消了
(这个骗术之前看过,基本断定是骗子了。但好奇他到底怎么实现的,所以暂时也没挂电话)
本人:我没取消啊
骗子:你是下了个订单,四本书,用的是礼品卡支付的吧
本人:是的
骗子:你现在登陆下亚马逊,看下订单状态。
本人:好的,我看下。
(和之前剧本一样……知道不要输入银行账号密码就行,按部就班去看了)
发现的的确确有个异常订单。
尚未支付?我明明之前就支付了。不过等等。。
为什么付款方式是支付宝?我明明是用礼品卡支付的。(整个订单100+软妹币,昨天晚上自己下完单后只剩下了30多)
然后再仔细看下订单其他内容,发现有几个问题:
1、付款方式不同(真订单:账户余额;骗子订单:支付宝)
2、订单编号不同
3、订单金额不同(真订单:112.10;骗子订单:113.70) -----有本书涨价了……
骗子:您看到了那个订单了吗?没看到的话,你也可以看下邮件。
我看了下邮件。
特地留意了邮件头,发现的的确确是amazon发出来的,但是注意,这只是一封确认邮件!
骗子:这样子,我们帮你安排退款。
(狐狸尾巴露出来了)
本人:我该怎么做?
骗子:你点下购物车旁边的心愿单。
点了之后,如下图(到目前位置,所有的操作都是在amazon的官网上做的)。
骗子:看到了系统公告了吗?
(其实心愿单的作用是一个可自定义的收藏夹,而且很少人用这个功能……)
本人:看到了
骗子:你看到上面怎么写的了吗?
(随后骗子会逐一和你确认你看到的内容,个人觉得是骗子要确认用户的确看到了,没有在骗他...)
骗子:您看下,公告里的电话,就是我打给你的这个电话吧?
本人:是的。
骗子:那好你进入一下那个网址,我们给你退款
到此为止,骗子的伎俩差不多结束了,引诱用户到外部链接之后,就是输用户名、密码等操作……办理所谓的“退款”
随后找了个理由,说在公司,有些网站上不去(感谢深信服……)。骗子问我什么时候可以上,我说回家吧,11-12点的样子。于是他还不死心,说待会儿再给我电话……
后面所有的电话都没接,然后就没有然后了……
如果不是之前在微信朋友圈上看到过这个骗术,真搞不好会中招。
梳理下,骗子整个行骗流程是:
1、通过某个网站获取用户的用户名(邮箱)、密码等基本信息,可能还有手机、地址或者其他基本的个人信息字段。
2、由于大多数用户会使用相同的邮箱+密码登陆若干个网站,如果网站本身认证机制不够完善的话,那就全球通了。
3、骗子在确认可以登录AMAZON后,制造假订单欺骗用户。
有点需要注意下:之前的骗术里是使用隐藏订单的功能,amazon应该已经取消了这个功能,所以用户还是可以直接看到自己的真实订单。因此,务必确认你看到的就是你自己下的。很多时候差异都存在在细节里,如支付方式、金额、订单号等……
4、骗子在确信你信了这个订单有问题之后,就引导你进行”退款“。使用amazon的”心愿单“功能,制造假的公告和退款链接。
以下,所有的操作都在amazon网站内部完成(的的确确在官网,增加了可信度)
5、公告中的链接是个短链接,输入之后,进入钓鱼网站,然后让用户以为自己在退款…… 而卡号、密码等等的信息,一不小心就泄露了……
以下,有感而发:
一:对于骗子:现在的骗术越来越高明(未必有太多的技术含量)
360度无死角的利用了社会工程学,利用用户对官方网站的信任,在官方网站上植入钓鱼网站链接。
二:对于AMAZON:认证技术需要提高
除了用户名密码,亚马逊偶尔使用了双因素认证,触发条件目测是你换了新电脑或者用了新的IP。但是,目前我碰到的双因素认证的问题是:
您的以0065结尾的手机号是?
这种字段可以很轻易的和用户的用户名、邮箱、密码一起拿到。毕竟把身份证和银行卡放在一起是一件很不安全的事情。
三:对于用户:提高安全意识,便捷与安全总是相对的。
工作中一直碰到用户抱怨:
1、为什么又要改密码?
2、我的密码能不能设置为永不过期?
3、我能不能不该密码?我们Team几个人都用同一个账号,一改就锁。
记得有一次给用户分配FTP账户,分配了一个16位的强密码,大致像这种:?Fm\mX.*g[;Kp0Ng,然后用户直接爆粗口,各种抱怨
一般公司都是使用强密码策略:
a. 密码历史要求:新密码在最近的X次内未被使用过
b. 密码长度要求:密码必须X位数以上
c. 复杂性要求:密码必须包含大写字母,小写字母,数字,特殊符号中的至少三种
d. 密码锁定策略:输错X次密码账户被锁
等等等等……
的确很麻烦,但是便捷与安全总是相对的。这就好比是保险,没人希望用到,但人人都会买各种各样的保险:意外险、重疾险、养老险……
四:经验总结
1、定期更改密码
2、使用强密码
3、不同网站使用不同的密码
4、确定你看到的事物(如订单)的准确性,真实性
5、认清钓鱼网站,不随便进外链
6、凡是需要输入敏感信息的(卡号、密码等)留一万个心眼
以上,不说了,默默的改密码去……
Shawn Cai
2016-9-22
