防不胜防啊

扫一扫二维码4.5万不翼而飞，女子遭遇了什么？

8月20日，浙江宁波的李小姐在京东上网购了一个挂烫机，隔日接到一个自称京东客服的人来电，说快递小哥出车祸了，她所购的商品需要退款重购。由于平时工作时李小姐也会遇到快递小哥生病的情况，加上当时那个打电话的人很详细地报出了李小姐所购买商品的信息，所以李小姐一点也没起疑心。然后那个打电话的人给了李小姐一串数字和链接，李小姐点进链接看的确是一个退款界面，然后那人再让李小姐打开支付宝，点击里面的蚂蚁借呗，按着他的指令一步步操作，后来又提供了一个二维码，让李小姐扫一扫，结果这一扫，就透支了4.5万元。

事后李小姐百思不得其解，完全想不通钱究竟是怎么就没了的。接到消息的记者联系上了京东商城。京东商城的回复是这样的：“根据我们的判断，这位消费者很可能是被‘撞库’了。有些用户在不同网站使用相同的注册信息(用户名和密码)，而部分保护用户信息安全意识较为薄弱的网站，可能存在泄露用户信息的情况，被不法分子获取后，使用撞库的方法在其他有交易属性的网站(如电商、互联网金融等)，尝试登录并获取用户购买商品的信息，进而冒充客服人员实施诈骗。近期这种作案手段在各网络服务平台有一定的普遍性。”记者同时联系上了蚂蚁金服，对于李小姐的遭遇，一位姓彭的工作人员立即通过后台对用户系统进行了查询。“系统记录显示，8月21日晚，用户申请开通借呗，开通成功后借款4.5万，随后全部提现至本人的银行卡……”该工作人员还说，开通借呗，需要用户本人输入支付密码并且需要用户本人的手机进行短信校验。这样看来，李小姐遭遇的这位骗子，不仅窃取了李小姐在京东商城的账号密码，查看了李小姐的订单信息，而且还窃取了李小姐的支付宝账号密码，登陆李小姐的支付宝账号密码申请开通蚂蚁借呗，通过借呗申请4.5万元到银行卡，然后再盗刷银行卡，而过程中所需要的验证过程全部由李小姐协助完成，可怜李小姐在稀里糊涂中就中了计。

细思极恐，信息泄密是源头？

这件事情细思极恐。隐私信息泄露的速度之快和范围之广都让人心惊。第一，李小姐8月20日才网购了挂烫机，8月21日就接到了诈骗电话，前后仅相差一日。究竟是骗子早就窃取了李小姐的账号密码，时常登陆寻找行骗时机还是骗子在8月20日至8月21日之间才窃取了李小姐的账号密码用来行骗？无论是哪种可能，都让人无法接受。第二，这次诈骗过程涉及两个平台，一个是京东商城，一个是支付宝，李小姐在京东商城买了东西后接到诈骗电话，被诈骗分子的链接引到支付宝上开通了蚂蚁借呗，“借”了4.5万元给骗子。行骗过程如此顺利，不能不让人感叹平台的漏洞是如此之多，如此方便利用，同时心有戚戚然。

“公安部刑侦局”官微曾经发过一条“警惕！京东购物遭遇假网站退款诈骗多发”的微博，同时给大家开出了防骗“药方”：首先，平时至少设定两套密码，把涉及钱财的账户名、密码和一般生活用密码分开；其次，填写快递信息时，使用“化名”。关于化名，想起一条段子，有人为了区分是哪个平台泄露了自己的私人信息，在申请账号时都是根据平台的名字来起名，有天有个电话打过来：“请问是刘建行先生吗？”他就知道是建行泄露了信息。哈哈，建行躺着中枪。不过这招也可以用下，毕竟防范于未然嘛，骗子这么多，说不定哪天一不小心就中招了。

在上述案件中，李小姐是扫了二维码后被透支了4.5万元，也就是说是李小姐扫描了二维码之后，4.5万元才被申请成功并转入骗子的私人银行卡。那这个二维码的页面究竟是什么内容呢？为了解开这个迷，小卡妹特意百度了蚂蚁借呗的开通过程（因为本人并没开通蚂蚁借呗……），以下图文来自百度经验：

1、打开支付宝，进入芝麻信用页面，点击底部的信用生活，点击借呗服务，进入借呗贷款页面，选择【立刻体验】即可申请开通蚂蚁借呗。

2、开通之后它会显示你当前可借的额度，点击【我要贷款】，然后输入相关的信息就可以贷款了。

3、密码验证，在这里要输入手机支付密码。

4、然后还需要手机验证一下。

5、贷款成功，然后等着它到账就可以了，可以进入账单看看有没有这一笔钱。

6、到账了就可以看到这笔借款的详情。

据说整个贷款过程非常简单，前后大概一分钟时间，贷款资金就已经打到账号上面。简直不要太快！

让我们回到李小姐的事件本身。从蚂蚁借呗申请开通到成功放款的整个流程，我们可以看到过程中是需要两次验证的，一次手机验证码，一次支付密码，通过这两次验证后款项才会到账，而其中令人纳闷的是：没有一次验证是需要用到二维码的，那李小姐收到的二维码究竟是用于哪个验证呢？就不得而知了。就小卡妹所知，二维码在线生成工具能生成的二维码内容只包含网址、文本、电话、邮箱、WIFI及名片（如下图），那是否有可能是骗子把需要输入支付密码的页面网址生成二维码再发给李小姐?只能说现在的骗子开始走技术路线，你不懂的他们都懂了，防不胜防。

（原创文章。转载需注明作者和集诚信 jichengxin.com）