Fun 今天京东 APP 地址信息被修改且差点被电信诈骗

在路上 · 2021年06月17日 · 最后由 我去催饭 回复于 2021年06月19日 · 8459 次阅读

原文见:https://mp.weixin.qq.com/s/N0XBmhFObON4g2zyBLguJw
为什么再发一次?
(1)希望看到这个文章的小伙伴别再被骗了,这次诈骗套路差不多;
(2)有若干小伙伴真的被骗了很多钱,再等一天时间,如官方没有进一步跟进的话,将发出小伙伴包含下单、支付完整过程。


后来看被诈骗产品下面的评论发现:数十人被骗。诈骗套路差不多,大家仔细阅读下文,防止被骗。

1、背景

先介绍一下背景。 家里孩子刚出生不到三个月,因为经常鼻塞的原因,从京东购买了一款儿童生理盐水喷雾,用于婴儿洗鼻。(这里是我无知,一岁内新生儿都建议使用滴式,而非喷雾)

但是由于喷雾器喷头每次喷完,都会漏水,所以换货,但是换货两次,该问题还是存在,所以最终退货处理了。 奇怪的是,退货后第二天,竟然快递又送了一瓶过来,我一看,钱也退了,还白拿一瓶,占个小便宜吧。

后来用过两三次,之后,就购买了滴式洗鼻水。

但是没想到,此事件竟成为接下来电信诈骗的切入点。

注意:全文的客服一共有两个角色,第三方客服和京东客服。

2、诈骗过程

(1)诱导相信产品质量问题

一个月后的今天中午,个人手机号打电话,自称京东委托的第三方客服公司,并准确的说出我的姓名、购买的产品,说那款喷雾产品质量不合格,重金属超标,现在要收回产品,并 1 赔 5。

同时表示,孩子使用后会有鼻子痒、打喷嚏的症状。(联想到我家孩子每天都会打几个喷嚏,此时已经相信产品出了质量问题)为了以防万一,建议我去医院给孩子做血常规检查身体,并赠送免费的婴儿电子医保,用于医疗报销。

(2)超强操作引导相信为真实第三方京东客服

接下来开始赔付操作了。

首先,第三方客服表示已经进行了赔付并打款到账,让我打开京东 APP-我的钱包 - 余额,查看是否到账,结果未到账。

然后,第三方客服说是转账超时失败,客服说给我的地址管理中留言了,让我查看:

我打开京东 APP 之后,在地址管理中竟然看到上图所示留言。

因为可以直接给我京东 APP 中修改信息,超强权限让我对他们的第三方客服公司身份没有怀疑,但是因为产品对孩子健康有影响,此时已经极不耐烦,所以拒绝客服诱导下载 APP 的行为,并挂断电话。

(3)决定带孩子就医后被诱导下载 APP

我陷入了自责和内疚。结合孩子每天会打喷嚏,为了降低对孩子身体的伤害,决定尽早检查。 马上告知老婆情况,并准备挂号,计划做血常规。

此时,(自称)第三方客服打来第二次电话,说建议按照地址管理中的留言,进行操作,完成现金赔付和电子医保签约。

慌张之下,我进入 App Store 搜索 “小鱼易连”,发现如下 APP:




询问第三方客服,具体下载哪个 APP,第三方客服一时语塞,不太确定,此时开始怀疑客服身份。

因为根据多年京东使用体验,在京东从来没有碰到退款失败的情况,另一方面即使退款失败,也不可能还需要下载其他 APP 完成理赔。因为京东 APP 和京东金融 APP,完全可以满足现金赔付和电子医保签约服务。

将信将疑之下,还是下载了 “小鱼易连 XYLink”。此时,很不耐烦的告知第三方客服,不会配合下载 APP 的,第三方客服问为什么,我直接表达怀疑风险问题,此时第三方客服跟我确认不下载 APP 和怀疑风险之后,主动挂断了电话。

(4)跟自营客服确认产品质量没问题

对第三方客服身份产生怀疑后,决定询问自营店客服,确认产品质量问题,完整对话如下。

首先确认质量问题,自营客服确定质量没有问题:

说明第三方客服对地址管理中的留言信息,自营客服反馈:

防骗提醒:店铺不会以商品有质量问题等为由让您扫描二维码或点击链接转账、退款,也不会用手机号、品牌官方电话、微信或短信等方式联系您办理转账、退款。请您警惕此类诈骗电话、诈骗短信以及诈骗二维码等!

(5)跟京东官方客服电话再次确认并咨询账号安全问题

京东官方客服还是很给力的,618 期间,人工客服第一次就接通了。

接下来进行了如下信息的确认:

  • 再次确认产品质量没有问题;
  • 地址管理的引导消息,京东官方客服无法做出解释,但明确说明,我的隐私泄漏了,注意风险。
  • 电话期间,京东 APP 开始提醒,有安卓手机登录我的账号,此时已明确是电信诈骗。让京东客服查询安卓登录的手机情况和记录,客服无法查到。 同时,我在京东 APP 立马修改了登录密码。
  • 修改登录密码后,马上又提示有安卓手机登录我的账号。京东官方客服知情后,提醒在网页端再次修改登录密码,并立马卸载京东 APP。(按照提示进行了操作)
  • 此时,收到了【京东】开头的短信验证码,发送号码为 1069 开头的长达 15 位左右的号码(具体位数记不清了)。再次跟京东官方客服确认此号码非京东内部号码,无法查到。
  • 确认退货后,京东没有误邮寄喷雾,那最后收到的洗鼻喷雾,极有可能有质量问题。
  • 询问京东官方客服,为什么骗子会清晰知道我的京东购买产品和退换货记录,客服答:个人隐私泄漏。

至此,已完全确认遭遇了电信诈骗,且此次骗子技术高明,竟然可以直接在京东 APP 地址管理中留言。

关于此次账号安全问题,有如下临时结论:

基于京东服务的强大和安全性,暂时排除京东服务端可能的安全问题。 那只有两个可能导致骗子可以在我京东 APP 地址管理中留言。

  • (1)京东账号密码被盗,到账地址信息被修改;
  • (2)iPhone 手机可能有木马,直接修改手机 APP 文件,伪造我自己修改了地址信息,绕过京东 APP 的安全检查。

为了账号安全,立马进行如下操作:

  • 让京东官方客服关闭免密支付;
  • 卸载 iPhone 的京东 App;
  • 网页修改登录密码、密保问题、绑定邮箱;
  • iphone 直接恢复出厂设置,删除手机上全部信息,以防万一。

3、现状及总结

现状:手机删除京东 APP、恢复出厂设置、网页修改登录密码后,暂未发现异常登录情况,诈骗电话暂未再次打来。

复盘总结:

  • 幸亏没有下载并使用诱导 APP“小鱼易连”,因为此 APP 为视频会议软件,极有可能诱导授权,获取个人头像信息和通讯录信息,那么我的电子支付通道可能就会被盗了。
  • 京东没有任何第三方客服公司,所以以后此类电话坚决不理会,如有疑问,第一时间致电官方客服或店铺在线客服。
  • 别占小便宜,尤其是现在隐私普遍泄漏的现状下,未购买的快递,直接丢掉或跟官方确认。

对京东的诉求:

  • 非常明显的个人姓名、电话、地址、通过京东快递进行退换货的信息、账号密码 泄漏,希望京东官方给予更加专业并详细的说明;
  • 多次安卓手机登录提示,为什么京东后台无法查询到安卓登录记录?
  • 地址管理中被推送的信息,是否可能是安全漏洞导致?

求助安全行业小伙伴给出建议和推测:

  • 个人详细信息泄漏的可能渠道非常多,如何避免?
  • iPhone 手机上京东 App 的地址管理中信息推送权限,有哪些可能的方法可以做到?
  • 如何反向追踪和定位此类诈骗团队?

最后的最后,作为互联网从业人员,个人信息泄漏肯定早已发生且见怪不怪,但是没想到连退换货信息、京东大厂的账号密码都泄漏,还是非常心有余悸,感觉自己在诈骗团队面前,还不如一个裸奔的肉鸡。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
共收到 30 条回复 时间 点赞

有经验的小伙伴可以帮忙分析分析

我在京东也出过事,异地登录用我的白条下订单。
夜间操作并且伴随短信轰炸,让你无法关注到京东发来的短信。
如果不是当时我在熬夜打游戏就中招了。
找官方就说是我个人隐私泄露,顺带把我的白条封了并加入风险用户,所以还是得自己小心。

MarvinWu 回复

你这个比我的风险还要高啊,挺危险的

地址修改接口猜测是不是被越权了。骗子修改自己账号的地址,发送请求的时候拦截,然后改成你的用户 id 或者其他用户标识,没有校验传的用户 id 和 token 是不是同一个人。。。不过按道理京东应该不会有这种失误

buggg 回复

这种逻辑漏洞应该不会的,因为一般首先会校验 id 和 token 匹配度,然后再关联 id 和用户数据,如果 id 和 token 不是一个人,应该第一层登录校验就过不去

在路上 回复

信息留言放在地址管理这个挺奇怪的,感觉真的有点像地址管理的其中一个对外暴露的接口鉴权有漏洞。

陈恒捷 回复

我主要怀疑我的 iphone 被黑了,因为我手机改完登录密码立马就会泄漏,后来卸载 APP,网页端修改密码后,才没有泄漏

在路上 回复

这个得京东内部查下登录方式了。一般这种大型 app,除了用账号密码,还可能会提供别的登录方式。

陈恒捷 回复

暂时没有渠道查询,京东电话客服反馈 后台未看到其他登录信息,就不太好深入跟踪了

在路上 回复

可以问下在京东里面的测试同学帮查,这方面信息客服不一定能看到。

在路上 回复

我感觉 iPhone 被黑的可能性 应该比京东接口有漏洞的可能性低很多很多。。。

buggg 回复

主要是后来我卸载京东 APP,然后手机恢复出厂设置后,就没出现过问题了

陈恒捷 回复

嗯嗯,京东有相关权限的小伙伴,可以联系我,一起定位一下这个问题

在路上 回复

你在 Appstore 下载的京东 app,如果能被别人黑了,那这骗子是真的牛逼

buggg 回复

因为我手机越过狱,怀疑会不会越狱过程中,被安装了木马。然后拿到高级权限,修改 app 下面的文件

从描述上看,应该是手机中毒的概率较高。既然手机改密码能知道,网页改密码不知道,就能排除信息泄露了。

JD 的安全好像是有漏洞,前 2 天还收到了一个广东惠州的号码自称京东金融客服尝试诈骗的...

在路上 回复

越狱了那是有可能的

Joo 回复

朋友圈的朋友,上周被假京东客服骗了 4 万😂

京东只要获取了 cookies,就可以使用这个 cookies 调用一些京东的接口,而且就算你退出 APP 了或者改密码了还是可以用的。

徐汪成 回复

正常逻辑,修改密码后,之前的 cookie 应该过期处理。因为一般修改密码后,账号就自动退出,需要重新登录

大概率是越狱中了病毒。如果实在越狱了,不点不信任的链接,不下载未知的 app。

Ouroboros 回复

用的爱思助手越狱的,其他没下载过

京东同学,表示已经收到问题

恒温 回复

给力啊,等京东小伙伴最终问题定位

那我这两天被疯狂打骚扰电话也是跟这个有关?(时间从 6 月 9 号至现在)

江涛依旧 回复

还有可能被认识的人薅网贷羊毛,紧急联系人留的你电话,找你变相被催债的。我经历过😭

Joo 回复

前一段时间我也收到过类似的

29楼 已删除
在路上 回复

京东 app 是支持异地登录的,可能你之前的设备登录了京东,然后被中了木马,捕获了你的信息。
另外就是现在的电商 app 产品毫无职业道德,一位地引导你开白条,免密支付什么的这种非常大安全隐患的功能,然后又用法律漏洞之类的把风险转嫁给用户本身,可以说流氓之极了

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册