新浪科技 杨雪梅
接了一个自称“京东客服”的电话就被骗14万、20万?
近日,“注销校园贷”诈骗进一步升级,诈骗分子将目标对准本科以上的高学历人员实施精准诈骗,不少人因此被骗数十万,损失巨大。
个人账号被悄然“入侵” 用户质疑京东泄露自己借贷信息
近日,一个名为“李东阳view”的微博账号发文称,“京东存在重大安全风险漏洞,自己被骗14万”。
据李描述,3月8日下午,他接到一个自称京东客服人员打来的电话,对方称是京东金融负责注销学生贷的工作人员。该“客服人员”在电话中表示,李的京东资料认证为学生,由于他在京东金条上有过借贷的记录,现需要他取消学生认证,否则会影响征信。
按照对方提示,李在京东App上搜索“学生认证”,该页面确实勾选了学生选项。随后诈骗分子通过钉钉线上会议指导他在京东的App“功能反馈”一项上进行反馈,后告诉李更改失败,为了不影响征信,只能先进行额度回收,即要求他归还以“学生”身份借出的款项。
随后,李的京东App发票管理一栏下面出现了2个银行账户信息,抬头分别为“中国人民银行机关服务中心(中国人民银行机关服务局)”“京东科技控股股份有限公司”,对方告诉李,这是系统生成的,他需要向这两个银行卡转帐以完成额度回收。
期间,在李的京东App的客服对话框内,还发送了一些信息给客服。“李东阳view”告诉新浪科技,“这些信息都不是我创建的,是对方操纵我的京东账号发的。但自始至终我的账户都是正常的状态,没有任何登录异常提示。”
图片由受骗者提供因为银行账户信息是直接出现在京东App里面,所以李对对方自称的“京东客服人员”身份深信不疑。随后便向发票管理一栏下方的两个银行账户转账共计13.9265万元。转账之后李问对方在哪里,对方说在杭州总部的某个大厦,李开始意识到被骗了,随即报警。“警察说我已经是当天第三个因为相同的原因报警的”他表示。
受骗者提供的报案记录之后李多次联系京东,“对于如何泄露的借款情况、个人信息,自己的账号为何被操控,京东方面一直未给予明确的回复,也拒绝承担任何责任。”
无独有偶,在“李东阳view”的微博下面,有人留言自己近期也被同样的套路骗了20万。新浪科技联系到该用户,该用户表示,自己受骗情况和“李东阳view”描述的类似,诈骗分子也是以关闭“学生认证”入口否则影响征信为由,诱导其向京东App 上生成的银行卡信息转账,诈骗分子称这是用于账户数据提取清空及关闭,但不会实际转账成功。
上述受骗者“李东阳view”提出质疑:首先,自己的借贷信息、个人信息为何会被骗子获取,京东是否泄漏了自己信息;其次,账号被别人登录,自己的手机端并没有异常登录提示,京东App仍然是正常登录状态,质疑京东App存在漏洞。
对于上述用户受骗情况,京东方面向新浪科技回应:
“近期,不法分子假冒借贷平台客服,自称可以帮助当事人“注销各类贷款“,通过非法获取的用户个人信息及伪造的客服证件骗取当事人信任,以不注销会影响个人征信等说辞,诱导当事人在多个平台进行借贷、转账,从而造成当事人财产损失。
我们对不法分子的行为深恶痛绝,请不要相信此类骗局,不要向陌生人随意付款、转账,也请不要把账户登录验证码发给他人,警惕屏幕共享等操作。
建议当事人及时报警,我们也会持续加强防范提示,积极配合各地公安机关的案件协查。”
值得注意的是,据李向新浪科技展示的截图显示,他当时受骗的时候,系统并没有提示任何风险。目前,在“学生认证”页面和发票抬头页面,系统均已出现风险提示,分别为:
“凡是陌生电话称要‘注销校园贷’的,都是诈骗;网贷账户注销和个人征信无直接关系,凡是‘能消除不良记录’‘花钱就能恢复征信’的,都是诈骗;本会员认证为权益认证,页面不涉及钱财交易,切勿听信陌生人转账要求。”
“抬头信息仅用于开具发票,请勿用于转账等其他用途,谨防受骗!”
受骗后,页面增加了风险提示,图片由受骗用户提供受骗后,页面增加了风险提示,图片由受骗用户提供“校园贷”诈骗升级 针对高学历人员实施精准诈骗
实际上,“注销校园贷”骗局早在两年前就已出现。诈骗手法主要分为两类,一是针对有注册网贷平台账号或有贷款记录的,诈骗人声称“根据国家相关政策需要配合注销账号,否则会影响个人征信”;二是针对无注册网贷平台账号或无贷款记录的,诈骗人则称“你的身份信息被盗用注册了网贷账号,需要配合注销,否则会影响个人征信”。
但“李东阳view”情况有所不同的是,其京东App发票信息一栏未经本人操作,直接出现了两个银行账户信息,让其信以为是平台的正规流程进而受骗。因此他质疑,是平台泄露了自己的账号信息或存在安全漏洞。
不过,据业内人士认为,上述受骗用户在钉钉上和诈骗团伙进行屏幕共享的时候,虽然没有直接提供过账号、密码和验证码等信息,但验证码发过来的时候,对方会通过屏幕共享捕捉到,进而登录了其京东账户,并在其账户下创建了两个银行卡信息,以及与客服人员对话,让受骗者误以为是官方操作。
360公司安全专家葛健告诉新浪科技,共享屏幕的作用是将屏幕共享者当前屏幕的内容全部同步共享给对方,因此,自身屏幕上的所有信息都会在对方屏幕中看到;账户信息这类,如果是明文在输入框显示,是可以被对方看到的,但是如果是已经加密的,是不会被泄露。
新浪科技向受骗者“李东阳view”求证,他表示自己确实收到过一条包含验证码的新设备登录短信,当时并未在意,也未主动提供给对方(或许是屏幕共享时被诈骗分子获取到了)。此外,他并未收到京东平台的其他风险提示,手机端京东App也是保持在正常登录状态,所以也没有想到别人会登录自己的账号。
对于同一账号同时登录的情况,葛健告诉新浪科技,不同App的的风控情况不一样。一个账号一般不支持同类设备多设备登陆,比如一个微信账号或者银行账号,在多个手机同时登录不支持,会将前一个登录直接踢掉;但如果是同一账号在手机、平板、web端登录是可以的。当然也会有一些业务是允许多设备登录的,比如视频网站,一个账号可以在3个手机端登录,这是因为业务需要存在的。但是像社交账号、银行账号是不会存在多设备同时登录。此外,目前账号登录基本都会对首次登录、异地登录进行校验。
值得注意的是,新浪科技发现,不久前,苏州市反诈骗中心就曾发过文章提醒,里面提到,诈骗分子电话冒充京东客服,以取消“校园贷”为由实施诈骗的案件高发,此类诈骗针对本科以上的高学历人员实施精准诈骗,手段升级,一旦被骗,损失巨大!
苏州市反诈骗中心对此类骗局的套路进行了分析,认为:
一是有的诈骗电话在受害人手机上直接显示为京东客服,降低了受害人的防备心理。同时,诈骗分子能准确报出受害人的姓名、手机、毕业学校等登记信息,进一步取得信任。
二是诈骗分子获取登录验证码后,假冒受害人身份在客服对话界面发布伪造的京东金融工作证、京东公司授权处理校园贷证书、银监会等部门加强校园贷管理的通告等内容,让受害人误以为对方确实是客服,基本打消顾虑。
三是诈骗分子以“确认本人操作”,完成“资金核查”为由,要求受害人尽可能多地从其他App借贷并转账到指定的“安全账户”,造成受害人巨额损失。
四是为打消受害人转账时的顾虑,诈骗分子会在京东App的发票抬头管理中填入指定的账户信息,给受害人造成转账安全无风险的错觉,最终诈骗得逞。
虽然受骗者被骗路径已经清晰,但诈骗分子在进行精准诈骗之前,如何得知用户借贷信息、电话等个人信息,目前仍存疑。