原文见:https://mp.weixin.qq.com/s/N0XBmhFObON4g2zyBLguJw
为什么再发一次?
(1)希望看到这个文章的小伙伴别再被骗了,这次诈骗套路差不多;
(2)有若干小伙伴真的被骗了很多钱,再等一天时间,如官方没有进一步跟进的话,将发出小伙伴包含下单、支付完整过程。
后来看被诈骗产品下面的评论发现:数十人被骗。诈骗套路差不多,大家仔细阅读下文,防止被骗。
先介绍一下背景。 家里孩子刚出生不到三个月,因为经常鼻塞的原因,从京东购买了一款儿童生理盐水喷雾,用于婴儿洗鼻。(这里是我无知,一岁内新生儿都建议使用滴式,而非喷雾)
但是由于喷雾器喷头每次喷完,都会漏水,所以换货,但是换货两次,该问题还是存在,所以最终退货处理了。 奇怪的是,退货后第二天,竟然快递又送了一瓶过来,我一看,钱也退了,还白拿一瓶,占个小便宜吧。
后来用过两三次,之后,就购买了滴式洗鼻水。
但是没想到,此事件竟成为接下来电信诈骗的切入点。
注意:全文的客服一共有两个角色,第三方客服和京东客服。
一个月后的今天中午,个人手机号打电话,自称京东委托的第三方客服公司,并准确的说出我的姓名、购买的产品,说那款喷雾产品质量不合格,重金属超标,现在要收回产品,并 1 赔 5。
同时表示,孩子使用后会有鼻子痒、打喷嚏的症状。(联想到我家孩子每天都会打几个喷嚏,此时已经相信产品出了质量问题)为了以防万一,建议我去医院给孩子做血常规检查身体,并赠送免费的婴儿电子医保,用于医疗报销。
接下来开始赔付操作了。
首先,第三方客服表示已经进行了赔付并打款到账,让我打开京东 APP-我的钱包 - 余额,查看是否到账,结果未到账。
然后,第三方客服说是转账超时失败,客服说给我的地址管理中留言了,让我查看:
我打开京东 APP 之后,在地址管理中竟然看到上图所示留言。
因为可以直接给我京东 APP 中修改信息,超强权限让我对他们的第三方客服公司身份没有怀疑,但是因为产品对孩子健康有影响,此时已经极不耐烦,所以拒绝客服诱导下载 APP 的行为,并挂断电话。
我陷入了自责和内疚。结合孩子每天会打喷嚏,为了降低对孩子身体的伤害,决定尽早检查。 马上告知老婆情况,并准备挂号,计划做血常规。
此时,(自称)第三方客服打来第二次电话,说建议按照地址管理中的留言,进行操作,完成现金赔付和电子医保签约。
慌张之下,我进入 App Store 搜索 “小鱼易连”,发现如下 APP:
询问第三方客服,具体下载哪个 APP,第三方客服一时语塞,不太确定,此时开始怀疑客服身份。
因为根据多年京东使用体验,在京东从来没有碰到退款失败的情况,另一方面即使退款失败,也不可能还需要下载其他 APP 完成理赔。因为京东 APP 和京东金融 APP,完全可以满足现金赔付和电子医保签约服务。
将信将疑之下,还是下载了 “小鱼易连 XYLink”。此时,很不耐烦的告知第三方客服,不会配合下载 APP 的,第三方客服问为什么,我直接表达怀疑风险问题,此时第三方客服跟我确认不下载 APP 和怀疑风险之后,主动挂断了电话。
对第三方客服身份产生怀疑后,决定询问自营店客服,确认产品质量问题,完整对话如下。
首先确认质量问题,自营客服确定质量没有问题:
说明第三方客服对地址管理中的留言信息,自营客服反馈:
防骗提醒:店铺不会以商品有质量问题等为由让您扫描二维码或点击链接转账、退款,也不会用手机号、品牌官方电话、微信或短信等方式联系您办理转账、退款。请您警惕此类诈骗电话、诈骗短信以及诈骗二维码等!
京东官方客服还是很给力的,618 期间,人工客服第一次就接通了。
接下来进行了如下信息的确认:
至此,已完全确认遭遇了电信诈骗,且此次骗子技术高明,竟然可以直接在京东 APP 地址管理中留言。
关于此次账号安全问题,有如下临时结论:
基于京东服务的强大和安全性,暂时排除京东服务端可能的安全问题。 那只有两个可能导致骗子可以在我京东 APP 地址管理中留言。
为了账号安全,立马进行如下操作:
现状:手机删除京东 APP、恢复出厂设置、网页修改登录密码后,暂未发现异常登录情况,诈骗电话暂未再次打来。
复盘总结:
对京东的诉求:
求助安全行业小伙伴给出建议和推测:
最后的最后,作为互联网从业人员,个人信息泄漏肯定早已发生且见怪不怪,但是没想到连退换货信息、京东大厂的账号密码都泄漏,还是非常心有余悸,感觉自己在诈骗团队面前,还不如一个裸奔的肉鸡。