原文见：https://mp.weixin.qq.com/s/N0XBmhFObON4g2zyBLguJw
为什么再发一次？
（1）希望看到这个文章的小伙伴别再被骗了，这次诈骗套路差不多；
（2）有若干小伙伴真的被骗了很多钱，再等一天时间，如官方没有进一步跟进的话，将发出小伙伴包含下单、支付完整过程。

后来看被诈骗产品下面的评论发现：数十人被骗。诈骗套路差不多，大家仔细阅读下文，防止被骗。

1、背景

先介绍一下背景。 家里孩子刚出生不到三个月，因为经常鼻塞的原因，从京东购买了一款儿童生理盐水喷雾，用于婴儿洗鼻。（这里是我无知，一岁内新生儿都建议使用滴式，而非喷雾）

但是由于喷雾器喷头每次喷完，都会漏水，所以换货，但是换货两次，该问题还是存在，所以最终退货处理了。 奇怪的是，退货后第二天，竟然快递又送了一瓶过来，我一看，钱也退了，还白拿一瓶，占个小便宜吧。

后来用过两三次，之后，就购买了滴式洗鼻水。

但是没想到，此事件竟成为接下来电信诈骗的切入点。

注意：全文的客服一共有两个角色，第三方客服和京东客服。

2、诈骗过程

（1）诱导相信产品质量问题

一个月后的今天中午，个人手机号打电话，自称京东委托的第三方客服公司，并准确的说出我的姓名、购买的产品，说那款喷雾产品质量不合格，重金属超标，现在要收回产品，并 1 赔 5。

同时表示，孩子使用后会有鼻子痒、打喷嚏的症状。（联想到我家孩子每天都会打几个喷嚏，此时已经相信产品出了质量问题）为了以防万一，建议我去医院给孩子做血常规检查身体，并赠送免费的婴儿电子医保，用于医疗报销。

（2）超强操作引导相信为真实第三方京东客服

接下来开始赔付操作了。

首先，第三方客服表示已经进行了赔付并打款到账，让我打开京东 APP-我的钱包 - 余额，查看是否到账，结果未到账。

然后，第三方客服说是转账超时失败，客服说给我的地址管理中留言了，让我查看：

我打开京东 APP 之后，在地址管理中竟然看到上图所示留言。

因为可以直接给我京东 APP 中修改信息，超强权限让我对他们的第三方客服公司身份没有怀疑，但是因为产品对孩子健康有影响，此时已经极不耐烦，所以拒绝客服诱导下载 APP 的行为，并挂断电话。

（3）决定带孩子就医后被诱导下载 APP

我陷入了自责和内疚。结合孩子每天会打喷嚏，为了降低对孩子身体的伤害，决定尽早检查。 马上告知老婆情况，并准备挂号，计划做血常规。

此时，（自称）第三方客服打来第二次电话，说建议按照地址管理中的留言，进行操作，完成现金赔付和电子医保签约。

慌张之下，我进入 App Store 搜索 “小鱼易连”，发现如下 APP：

询问第三方客服，具体下载哪个 APP，第三方客服一时语塞，不太确定，此时开始怀疑客服身份。

因为根据多年京东使用体验，在京东从来没有碰到退款失败的情况，另一方面即使退款失败，也不可能还需要下载其他 APP 完成理赔。因为京东 APP 和京东金融 APP，完全可以满足现金赔付和电子医保签约服务。

将信将疑之下，还是下载了 “小鱼易连 XYLink”。此时，很不耐烦的告知第三方客服，不会配合下载 APP 的，第三方客服问为什么，我直接表达怀疑风险问题，此时第三方客服跟我确认不下载 APP 和怀疑风险之后，主动挂断了电话。

（4）跟自营客服确认产品质量没问题

对第三方客服身份产生怀疑后，决定询问自营店客服，确认产品质量问题，完整对话如下。

首先确认质量问题，自营客服确定质量没有问题：

说明第三方客服对地址管理中的留言信息，自营客服反馈：

防骗提醒：店铺不会以商品有质量问题等为由让您扫描二维码或点击链接转账、退款，也不会用手机号、品牌官方电话、微信或短信等方式联系您办理转账、退款。请您警惕此类诈骗电话、诈骗短信以及诈骗二维码等！

（5）跟京东官方客服电话再次确认并咨询账号安全问题

京东官方客服还是很给力的，618 期间，人工客服第一次就接通了。

接下来进行了如下信息的确认：

• 再次确认产品质量没有问题；
• 地址管理的引导消息，京东官方客服无法做出解释，但明确说明，我的隐私泄漏了，注意风险。
• 电话期间，京东 APP 开始提醒，有安卓手机登录我的账号，此时已明确是电信诈骗。让京东客服查询安卓登录的手机情况和记录，客服无法查到。 同时，我在京东 APP 立马修改了登录密码。
• 修改登录密码后，马上又提示有安卓手机登录我的账号。京东官方客服知情后，提醒在网页端再次修改登录密码，并立马卸载京东 APP。（按照提示进行了操作）
• 此时，收到了【京东】开头的短信验证码，发送号码为 1069 开头的长达 15 位左右的号码（具体位数记不清了）。再次跟京东官方客服确认此号码非京东内部号码，无法查到。
• 确认退货后，京东没有误邮寄喷雾，那最后收到的洗鼻喷雾，极有可能有质量问题。
• 询问京东官方客服，为什么骗子会清晰知道我的京东购买产品和退换货记录，客服答：个人隐私泄漏。

至此，已完全确认遭遇了电信诈骗，且此次骗子技术高明，竟然可以直接在京东 APP 地址管理中留言。

关于此次账号安全问题，有如下临时结论：

基于京东服务的强大和安全性，暂时排除京东服务端可能的安全问题。 那只有两个可能导致骗子可以在我京东 APP 地址管理中留言。

• （1）京东账号密码被盗，到账地址信息被修改；
• （2）iPhone 手机可能有木马，直接修改手机 APP 文件，伪造我自己修改了地址信息，绕过京东 APP 的安全检查。

为了账号安全，立马进行如下操作：

• 让京东官方客服关闭免密支付；
• 卸载 iPhone 的京东 App；
• 网页修改登录密码、密保问题、绑定邮箱；
• iphone 直接恢复出厂设置，删除手机上全部信息，以防万一。

3、现状及总结

现状：手机删除京东 APP、恢复出厂设置、网页修改登录密码后，暂未发现异常登录情况，诈骗电话暂未再次打来。

复盘总结：

• 幸亏没有下载并使用诱导 APP“小鱼易连”，因为此 APP 为视频会议软件，极有可能诱导授权，获取个人头像信息和通讯录信息，那么我的电子支付通道可能就会被盗了。
• 京东没有任何第三方客服公司，所以以后此类电话坚决不理会，如有疑问，第一时间致电官方客服或店铺在线客服。
• 别占小便宜，尤其是现在隐私普遍泄漏的现状下，未购买的快递，直接丢掉或跟官方确认。

对京东的诉求：

• 非常明显的个人姓名、电话、地址、通过京东快递进行退换货的信息、账号密码 泄漏，希望京东官方给予更加专业并详细的说明；
• 多次安卓手机登录提示，为什么京东后台无法查询到安卓登录记录？
• 地址管理中被推送的信息，是否可能是安全漏洞导致？

求助安全行业小伙伴给出建议和推测：

• 个人详细信息泄漏的可能渠道非常多，如何避免？
• iPhone 手机上京东 App 的地址管理中信息推送权限，有哪些可能的方法可以做到？
• 如何反向追踪和定位此类诈骗团队？

最后的最后，作为互联网从业人员，个人信息泄漏肯定早已发生且见怪不怪，但是没想到连退换货信息、京东大厂的账号密码都泄漏，还是非常心有余悸，感觉自己在诈骗团队面前，还不如一个裸奔的肉鸡。