“您昨天购买的衣服缺货,我们将为您办理退款……”去年12月,市民黄女士在淘宝网购买一件衣服,收到自称店铺客服人员的退款来电,接着办理退款屡次失败。最终,对方通过“QQ远程协助”操作黄女士的电脑,将黄女士带进一“钓鱼网站”。黄女士在该网页支付两元退款手续费后,发现银行账户被划走229977元。
南明警方接到报案后,跨省追查,冻结嫌犯支付宝,追回近21万元。警方提醒:网银支付安全是个永远都不能忽视的问题,特别是年底,网购一族在网银支付时一定要提高警惕。
“卖家”来电催退款
2012年12月5日,市民黄女士在淘宝选购了一件99元包邮的女士外套,订单支付成功后,等待卖家发货。次日,黄女士接到一位自称该店铺售后客服人员来电,来电内容:“黄女士,您购买的外套暂时缺货,我们现在为您办理退款,请告知退款账号及您本人身份证号码。”
“买家在淘宝申请退款后,只要对方同意,支付宝便能自动打款,为何还要告知卡号?”黄女士感觉奇怪。
面对黄提出的疑问,对方称,支付宝系统正在升级,只能人工办理退款。
不想,几分钟后,黄女士收到银行发来短息,在支付宝上,成功支付2000元。明明是退款,为何又扣走了2000元?对方回答:“别急,可能是因支付宝系统出错,我们将联系支付宝客服为您办理退款。”
U盾一插被扣走23万
几分钟后,一位自称是支付宝客服的人员来电:“我们已收到系统误扣的2000元款项,现在为您办理退款,请根据我的提示操作。”随后,一位名为“支付宝客服”的用户添加了黄女士的QQ,并发来一个退款专用网页链接。
黄女士一连几次都未能打开这一网址。此时,对方请求通过QQ远程协助。照办后,黄女士看到对方在自己的电脑上进行操作,接着打开了一个印有发卡行标志和支付宝标志的支付页面,“可以了,退款需要支付2元的手续费,你自己输入,然后插入U盾确认,系统收到退款手续费后自动退款。”
为找回2000多元被“误扣”的款项,黄女士亲手输入了2元金额,并插入U盾确认支付。这一次,她并没有等来自己支付宝退款成功的短信,而是一条来自银行的短信:“您尾号XXXX卡支出(支付宝)229977元,余额为:1137.42元。”
黄女士当即傻了眼,致电银行查询,确认卡内存款被划走。她再次尝试联系对方,发现对方电话关机、QQ头像变黑。在丈夫陪同下,黄女士来到南明公安分局朝阳派出所报警求助。
贵阳警方跨省追查
接到报警后,朝阳派出所立即上报分局,鉴于案情重大,朝阳派出所立即成了专案小组,一边与受害人网银开户银行(工商银行)、淘宝网客服以及支付宝客服沟通联系,了解被骗资金流向;一边按照程序与分局网安部门联络,分析嫌疑人作案方式及作案时可能出现的漏洞。
据专案组负责人方辉介绍,他们调查黄女士所用的电脑后推断,对方远程协助打开的并非支付宝官方网站,而是一个钓鱼网站。对方早已通过木马程序获取黄的账户信息,但必须通过U盾确认后方能转账,便想出“支付两元手续费”的点子,诱使受害人使用U盾,“看上去输入的是2元,但对方已将支付金额修改成229977,只是等待用户插入U盾确认支付。”方辉说。
通过侦查,民警终于确认了嫌疑人转账所用的支付宝账号。方警官带领专案组前往位于杭州的支付宝总部,在当地公安部门的协助下,支付宝确认该账户余额尚有20余万元未转走,为配合警方调查,支付宝当即将嫌疑人的账户冻结。最终,两地警方顺利为受害人追回近21万元,但还有2万多元已被对方转走。警方通过账户信息试图联系嫌疑人,但对方已不知所踪。
“该案多亏贵阳警方反应迅速,才能及时地冻结账户,防止资金再次被转移,追回损失。”一位杭州民警说。
案件分析
网络民警以案说防
针对黄女士的遭遇,南明公安分局一位从事网络安全的民警表示,目前利用钓鱼网站实施欺骗的案例不在少数,因此,市民上网购物,切勿随意亲信不明身份人员提供的所谓“购物官方网站”、“银行网址”。
据这名民警介绍,钓鱼网站主要存在两种欺诈手段,一是在网络购物交易中,以“保证金”、“担保订单”等方式引诱网民进入骗子设置的钓鱼网站,诱骗对方输入银行账号和密码,趁机刷卡窃取钱财;另外一种常见的钓鱼网站诈骗方式,是以“山寨网站”诱骗网民上当。不法商家通过建立一个和其他网站风格、内容甚至名字都极为类似的“山寨网站”来混淆消费者视线。很多消费者在进行网购时,并不是直接输入网站的域名,而是通过各种搜索引擎查找,这样很有可能找到的并非正牌网站,而是山寨网站。“‘1cbc.com.cn’与真正的工商银行网站‘icbc.com.cn’,仅仅是小写字母i和数字1的不同,往往会让人觉得进入了真正的银行网站。”民警解释。
据称,多数受骗用户在网上填报个人信息,特别是财务信息时缺乏防范意识,没有仔细验证网页的真实性。收到网络银行、在线零售商和信用卡公司等可信的品牌这类影响力很大的邮件时,很多人都不曾怀疑信件的真实性,更会下意识地根据要求打开邮件里面指定的链接进行操作,正是这点让“垂钓者”有了可乘之机。
对于个人用户而言,最重要的一点是提高警惕,多个心眼就能发现“钓鱼网站”的一些破绽。此外,市民信用卡要设置付款上限,不要在网上留下可以证明自己身份的任何资料。
对“网络钓鱼”的诈骗行为,工信部和公安部都设有专门的监管机构,市民发现疑似钓鱼网站时,应立即进行举报,由相关部门尽早进行查处。