法治周末记者 蔡长春
从身在外地钱包被偷的“孩子”,到手头紧张苦等救急的“朋友”,再到约到办公室见面的“领导”……骗子们不断尝试扮演着各种各样的角色。
近日,骗子又玩起了京东客服的克隆骗局——他们谎称自己是“京东客服”,因为京东系统升级导致消费者订单失效,因此来帮助消费者取消订单进行退款。而一旦消费者按照骗子提供的方法输入了自己的身份证号、银行卡号、密码、短信验证码等信息,这张卡里的钱很快就会被盗刷干净。
作为这场骗局中最早的一位受害者,北京消费者蒋青联合多位受害者建立了京东盗刷维权QQ群,共同研究骗子的行骗手法并商讨维权策略,目前已经有100多名受害者加入其中。
在蒋青等人看来,骗子之所以能够屡屡得手,很大程度上是因为他们掌握了消费者比较详细的个人信息并以此骗取信任,而这又很可能是因京东系统存在漏洞或有“内鬼”出卖了消费者个人信息所致。
然而据多位受害者反应,虽然他们已经就此事多次和京东方面进行过沟通,但对方至今都没能给出一个较为合理的答复。
单人最高被骗二十二万元
在京东上买了台电脑,结果电脑没有收到,卡里的18000元却被骗子给刷得一干二净。北京消费者韩玉(化名)向法治周末记者讲述了自己的悲惨遭遇。
韩玉回忆称,1月30日上午9点多,她在京东商城下单购买了一台电脑,没想到才过了两个小时左右,骗子的电话就打了过来。
“骗子说自己是京东订单处理中心的客服,因为京东系统正在升级,我的订单出现了问题,需要先办理下退款。”韩玉告诉法治周末记者。
据韩玉介绍,一开始她并不相信这个电话,可“骗子客服”竟然把她的订单内容说得非常详细,包括所购买商品的具体名称和价格等,而且发过来的所谓‘退款链接’上还都有京东的标志,于是她也就没再多去怀疑。
后来韩玉就按照骗子的指导,在收到的链接上一步步地输入了自己的身份证号、银行卡号、密码、短信验证码等信息,很快她就收到了手机的扣费短信提示。
超出电脑价格的大额扣款额度提示让韩玉再次警觉起来,面对韩玉的质疑,骗子又谎称这只是“虚拟付款”,钱实际上并没有真正被扣走。
而事实上,骗子在这个过程中早已经成功完成盗刷,当韩玉真正反应过来时,卡里的钱早就没了。
韩玉并不是唯一的受害者,据法治周末记者了解,类似的骗局在去年12月就已经开始上演。
而另一位受害者告诉法治周末记者,1月21日,骗子几乎使用同样的手法,从他那里盗刷了金额高达22万元的资产。
“这是目前已知受害者中单人被骗金额最高的一位。”蒋青对法治周末记者表示。
蒋青告诉法治周末记者,其实现在想起来,识破骗局其实并不难,因为包括自己在内的众多受害者后来都意识到,这些骗子大多操着浓重的外地口音,跟专业客服人员相比反差极大。
在京东上买了台电脑,结果电脑没有收到,卡里的18000元却被骗子给刷得一干二净。北京消费者韩玉(化名)向法治周末记者讲述了自己的悲惨遭遇。
韩玉回忆称,1月30日上午9点多,她在京东商城下单购买了一台电脑,没想到才过了两个小时左右,骗子的电话就打了过来。
“骗子说自己是京东订单处理中心的客服,因为京东系统正在升级,我的订单出现了问题,需要先办理下退款。”韩玉告诉法治周末记者。
据韩玉介绍,一开始她并不相信这个电话,可“骗子客服”竟然把她的订单内容说得非常详细,包括所购买商品的具体名称和价格等,而且发过来的所谓‘退款链接’上还都有京东的标志,于是她也就没再多去怀疑。
后来韩玉就按照骗子的指导,在收到的链接上一步步地输入了自己的身份证号、银行卡号、密码、短信验证码等信息,很快她就收到了手机的扣费短信提示。
超出电脑价格的大额扣款额度提示让韩玉再次警觉起来,面对韩玉的质疑,骗子又谎称这只是“虚拟付款”,钱实际上并没有真正被扣走。
而事实上,骗子在这个过程中早已经成功完成盗刷,当韩玉真正反应过来时,卡里的钱早就没了。
韩玉并不是唯一的受害者,据法治周末记者了解,类似的骗局在去年12月就已经开始上演。
而另一位受害者告诉法治周末记者,1月21日,骗子几乎使用同样的手法,从他那里盗刷了金额高达22万元的资产。
“这是目前已知受害者中单人被骗金额最高的一位。”蒋青对法治周末记者表示。
蒋青告诉法治周末记者,其实现在想起来,识破骗局其实并不难,因为包括自己在内的众多受害者后来都意识到,这些骗子大多操着浓重的外地口音,跟专业客服人员相比反差极大。
京东坚称未有信息泄露
然而让蒋青等受害者感到痛心的是,虽然当时他们中大多人意识到了“骗子客服”口音的异常,可最后还都被骗了。
“毕竟骗子掌握着消费者比较详细的购物信息,不仅如此,这批受害者大多都是刚下单不久便接到了诈骗电话,间隔较长的几个小时,最短的才几分钟。”蒋青告诉法治周末记者。
此外,蒋青表示,有的受害者在被骗期间还接到了京东快递员的电话,对方询问消费者是否还需要继续送货,因为系统显示所送商品已经被退掉。
“掌握着如此多的消费者信息,还能完成这样的操作,让人不得不怀疑是京东方面泄露了消费者的个人信息。”蒋青分析称。
据了解,早在2011年年底,国内最大的漏洞发布平台乌云网就发布消息称,有漏洞导致京东商城用户资料大量泄露,描述为“京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录系统后,都可以正常访问到所有用户的信息”。
此外,有消息称,11月21日,上海警方披露了一起特大电信诈骗案,诈骗团伙利用网络以3元/个的价格购买了上万个客户资料,涉及京东、淘宝和拍拍三大电商,并且所有资料均非常完整,如客户在京东商城购买商品的日期、名称、姓名、电话、收货地址。
另一个更为耐人寻味的消息还指出:今年年初,京东再次被曝存在信息泄露问题。不过京东方面称,经调查,京东并未发生大规模用户注册信息泄露的情况。
那么,京东目前是否仍存在着类似的安全漏洞?此次集中诈骗又是否与京东可能存在的安全漏洞进而导致用户信息泄露相关?
法治周末记者致电京东方面进行询问,京东相关负责人在回复中表示,对于近期有用户反馈冒充京东客服诈骗一事,京东高度重视,“京东一贯重视用户信息安全和资料保护,京东为用户提供密码保护、邮箱验证、手机验证、支付密码、数字证书等多级保护措施。目前可能还有一些用户没有采用更改密钥、手机绑定等账户安全升级措施,或在其他网站有过相同注册信息,京东提醒广大用户,请尽快启用安全保护功能。此外京东提醒用户开启安全软件防止电脑木马植入、谨防钓鱼网站、规避弱密码的使用”。
若有“内鬼”如何追责
在乌云网创始人方小顿看来,电商的整个产业链很长,平台、第三方供货商乃至物流环节都有可能出现安全问题,导致订单等敏感信息泄露,进而被骗子利用对用户进行欺诈,而由订单泄漏所导致的信息欺诈在电商行业中可以说普遍存在。
据悉,除京东外,此前国内多家知名电商平台都曾被曝出现过信息安全漏洞或员工泄露用户信息事件。
在众多受害者看来,既然骗子能够获取如此详细的消费者信息,京东系统肯定存在漏洞,甚至是公司有“内鬼”出卖了相关信息都有可能存在。
公士公益团队负责人、北京市凯诺律师事务所张新年律师也告诉法治周末记者,信息泄露大致有两种可能,即漏洞和“内鬼”,而基于如此精准的诈骗,则完全有可能是“内鬼”所致。
北京同诺律师事务所郭香龙律师对法治周末记者表示,如果能够证明是京东内部员工或向京东提供服务的第三方公司内部员工恶意泄露消费者信息,则法律责任的承担需区分两种责任类型。
“一是刑事责任,如果京东内部员工将消费者信息提供给犯罪分子时明知或应知该信息将被他人用来行骗,甚至与诈骗人员或团伙进行串通勾结,则该内部员工与他人构成诈骗共同犯罪,应追究其刑事责任,但不涉及运营商京东;二是民事责任,消费者在京东网购物时与京东形成了买卖合同关系,京东对于消费者的消费信息应承担保密义务,此属于合同附随义务性质,由于京东自己的管理问题造成消费者信息外泄,京东方面构成违约,依法应对于消费者的损失承担民事赔偿责任。”郭香龙指出。
郭香龙还告诉法治周末记者,利用电商平台进行网络诈骗之所以能够成功,很大程度上是因为犯罪分子获得了消费者的重要消费信息,因此取得了消费者的一定信任。
“而依据我国刑法修正案(七)的第七条规定,目前仅将非法提供公民个人信息罪的犯罪主体扩大到国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,尚不包括电商平台的工作人员在内。依据罪刑法定原则,对于电商平台的‘内鬼’目前尚很难依据现有法律规定定罪量刑。”郭香龙表示。
因此郭香龙建议,国家立法机关再行颁布刑法修正案时,应对相关规定进行完善,将电商平台内部工作人员非法提供或出售消费者信息的相关行为也纳入刑法调整范围,使其入刑,依法打击。
受害者不满与京东的努力
鉴于骗子行骗时打的是“京东客服”的幌子,并掌握着受害者详细的相关信息,因此在遭遇诈骗后,受害者的第一反应几乎都是向京东去讨要说法。
韩玉就告诉法治周末记者,当她意识到自己被骗后,第一时间就致电给京东客服,对方在记录了她的情况后承诺12小时内与她联系,可后来却再也没有了音讯。
众多受害者均反应,京东方面至今仍没有对此事给出一个比较明确合理的说法。
“即使这场骗局不是因京东泄露用户信息引起的,作为相关平台方,感觉京东也应该在其网站显著位置发布公告给消费者一个提醒。”蒋青在接受法治周末记者采访时表示。
中南财经政法大学知识产权研究中心教授彭学龙告诉法治周末记者,对于用户个人信息,包括京东在内的电商平台都依法负有保密义务,包括采取特定的技术措施,阻止他人获取这些信息;得知用户信息被他人非法获取,及时通知用户;在交易平台上以显著方式告知用户其信息被他人不当获取的自救措施;告知用户常见的行骗手段极其防范方法。
法治周末记者为此查看了京东商城的官网,上面的确已经出现了相关提醒公告,其位置却只是存在于网站主页右侧的京东快报一栏内。
蒋青对于这样的公告内容却并不满意,在他看来,一方面这个公告的位置相对较偏,字体又小,另一方面京东本可以在用户下单后给出相关风险提示,可是实际上却没有,而这在技术上其实并不难于实现。
更让蒋青等维权者感到不满的是,对于他们提出的此次骗局可能与京东方面泄露了用户个人信息有关的质疑,京东客服的答复往往是“不可能”“不清楚”等,至今都未就此给出一个能够让他们信服的说法。
京东相关负责人在回应法治周末记者采访时称,京东一贯严格监管平台商家,商家入驻签约时,合同中明确约定消费者权益保障服务条款,商家须作出履行“消费者个人信息保护”义务的承诺。
分享
大家爱看