3月14日，直到銀行卡提示被劃走了40087元，26歲的馬琳才意識(shí)到自己被騙了。

　　2016年12月28日，在北京工作的馬琳在“小紅書”上購(gòu)買了洗面奶，“小紅書客服”精確地報(bào)出了她在小紅書的消費(fèi)信息，這是她認(rèn)為自己被騙的主要原因。

　　“盡管說(shuō)泄露信息的渠道很多，但是這么大面積的小紅書消費(fèi)者被騙，只能說(shuō)明是小紅書造成的信息泄露。”馬琳說(shuō)，騙子掌握了小紅書后臺(tái)用戶幾乎所有信息，包括身份證信息，這些都是在小紅書注冊(cè)時(shí)必填的，“這說(shuō)明小紅書后臺(tái)已沒(méi)有保密性”。

　　而就在3月13日，西北民族大學(xué)研一學(xué)生李西(化名)接到“小紅書客服”電話，在理賠過(guò)程中，李西根據(jù)“客服”指示，最終被騙18100元。

　　4月20日，李西的遭遇被本報(bào)報(bào)道后，截至5月31日，先后有50名受騙者聯(lián)系本報(bào)。她們的經(jīng)歷和遭遇極其相似，都是因?yàn)樵谛〖t書上有網(wǎng)購(gòu)經(jīng)歷，最后都接到自稱是“小紅書客服”的電話，以購(gòu)買商品存在質(zhì)量問(wèn)題退款為由被騙。據(jù)統(tǒng)計(jì)，50人受騙總額為879163.58元。

　　讓人不敢想象的是，除了這50名受騙者，可能還有更多人受騙，還有更多人接到或者正在接到詐騙電話。

　　小紅書用戶信息大面積泄露

　　26歲的鄭葉收到了“小紅書客服”發(fā)給她的通知書，通知書很正式，左上角還有一個(gè)小紅書的標(biāo)志。鄭葉信以為真。

　　通知書說(shuō)：“尊敬的用戶，由于您近期在我們店鋪購(gòu)買的商品出現(xiàn)質(zhì)量問(wèn)題，現(xiàn)需全部退回，請(qǐng)通過(guò)我們合作第三方平臺(tái)：招聯(lián)好期貸、螞蟻借唄、來(lái)分期，掃二維碼進(jìn)行接收賠付款，我們客服人員會(huì)及時(shí)跟您聯(lián)系，給您造成不便深表歉意，感謝您的支持和信賴。”

　　通知書還稱：“重要通知：因?yàn)橥诉€款是第三方合作平臺(tái)預(yù)先把店鋪金額退還到您的支付寶余額上，您再進(jìn)行還款，如果您收到款項(xiàng)不配合還款，導(dǎo)致還款通道關(guān)閉，您個(gè)人賬戶逾期，跟您的個(gè)人征信是關(guān)聯(lián)的，您到時(shí)將被索賠雙倍賠償款，并支付相應(yīng)的利息。”

　　據(jù)統(tǒng)計(jì)，這50名受騙者都是年輕女性，其中有22名大學(xué)生。受騙者年齡在19歲到31歲之間，平均年齡是23歲。她們?cè)谛〖t書上購(gòu)買的產(chǎn)品基本上都是化妝品。

　　受騙時(shí)間分布在3月、4月、5月這3個(gè)月，其中3月受騙16人，4月受騙23人，5月受騙11人。受騙人數(shù)最多的是3月27日，有6人；4月17日有3人受騙；4月19日有4人受騙；就在4月20日本報(bào)刊發(fā)報(bào)道當(dāng)天，還有4人被騙。

　　50名受騙者受騙總金額為879163.58元，受騙1萬(wàn)元以下的有25人，受騙1萬(wàn)～2萬(wàn)元的有11人，受騙2萬(wàn)～3萬(wàn)元的有4人，受騙3萬(wàn)～4萬(wàn)元的有3人，受騙4萬(wàn)～5萬(wàn)元的有4人，5萬(wàn)元以上的有3人。最多的一人被騙9.13萬(wàn)元。

　　從購(gòu)買時(shí)間來(lái)看，2016年12月和2017年1月各有1人被騙，有13人購(gòu)買時(shí)間是在2月，有23人購(gòu)買時(shí)間在3月，有8人購(gòu)買時(shí)間在4月，有4人購(gòu)買時(shí)間是在5月。

　　今年5月18日，26歲的網(wǎng)友“木易”在小紅書購(gòu)買了沐浴乳和潤(rùn)膚露。6天后，她接到“小紅書客服”電話，最后被騙4.3萬(wàn)元。中國(guó)青年報(bào)·中青在線記者發(fā)現(xiàn)，從在小紅書購(gòu)買商品日期，到被騙日期的間隔時(shí)間來(lái)統(tǒng)計(jì)，最短的只有6天，多數(shù)時(shí)間間隔是一個(gè)月左右。

　　根據(jù)收貨郵件地址，受騙者遍布全國(guó)14省份。其中廣東有9人被騙，江蘇有7人被騙，浙江有6人被騙，北京有5人受騙，武漢有3人受騙，沈陽(yáng)、重慶、成都、合肥各有兩人受騙。

　　馬琳說(shuō)，受騙者數(shù)量龐大。從最早的3月到現(xiàn)在，人數(shù)每天都在上升，這是源頭出了問(wèn)題，而不是小紅書官方指出“用戶自己的快遞單亂扔”等原因那么簡(jiǎn)單。受騙者遍布全國(guó)各地，收貨地址不同，基本排除了消費(fèi)者泄露信息的可能性。

　　被利用的弱點(diǎn)

　　26歲的鄭葉在接電話時(shí)，發(fā)現(xiàn)對(duì)方可能是騙子，掛斷電話。沒(méi)想到，她還收到了“客服”的“威脅短信”：“女士，那我們就取消您的訂單了，月底您就自行承單(短信原文——記者注)這個(gè)3萬(wàn)元的賠償以及起訴信！”

　　螞蟻金服安全管理部相關(guān)人士介紹，事實(shí)上，冒充客服進(jìn)行詐騙，如何給消費(fèi)者“下套”，這些都是話術(shù)，專門針對(duì)消費(fèi)者不同時(shí)期的心理，還會(huì)有專門的機(jī)構(gòu)培訓(xùn)做話術(shù)。臺(tái)灣專門有人賣話術(shù)，一套7萬(wàn)多元。

　　一位業(yè)內(nèi)人士分析，這種詐騙之所以能夠頻頻順利得手，第一步就是受騙者的交易清單。“這些交易清單能夠清楚地顯示受騙者購(gòu)物的時(shí)間和購(gòu)買的物品，騙子一旦能夠準(zhǔn)確說(shuō)出這些內(nèi)容，受騙者一般很難會(huì)懷疑小紅書客服的身份。”

　　中國(guó)青年報(bào)·中青在線記者發(fā)現(xiàn)，此次50名受騙者受騙一共涉及21個(gè)網(wǎng)絡(luò)理財(cái)平臺(tái)，每個(gè)人受騙可能會(huì)涉及多個(gè)平臺(tái)，這些平臺(tái)琳瑯滿目。

　　據(jù)統(tǒng)計(jì)，通過(guò)“來(lái)分期”有20人受騙，通過(guò)“招聯(lián)好期貸”有15人受騙，通過(guò)“螞蟻借唄”有14人受騙，有8人通過(guò)“支付寶轉(zhuǎn)賬”被騙，有10人通過(guò)“安逸花”被騙，通過(guò)“馬上金融”有6人受騙，“微信轉(zhuǎn)賬”和“親密付”各有4人受騙，“華夏基金”有3人受騙，微信財(cái)付通有兩人受騙，另外網(wǎng)商銀行、中銀快付、徽商銀行的徽常有財(cái)理財(cái)平臺(tái)、趣店、現(xiàn)金巴士、微信微粒貸、翼支付、甜橙理財(cái)、富國(guó)基金、沃百富各有1人受騙。

　　“這種騙貸手段是網(wǎng)絡(luò)購(gòu)物詐騙最新類型。”螞蟻金服的一位工作人員介紹，“騙子主要利用老百姓對(duì)網(wǎng)購(gòu)?fù)丝盍鞒桃约耙恍┬碌木W(wǎng)絡(luò)消費(fèi)金融平臺(tái)不熟悉的弱點(diǎn)。同時(shí)，還利用受騙者對(duì)芝麻信用分?jǐn)?shù)似懂非懂，以提高信用分才能退款為名，一步步引誘受騙者上當(dāng)。”

　　騙子口中的“招聯(lián)好期貸”“螞蟻借唄”“來(lái)分期”都是互聯(lián)網(wǎng)金融借貸平臺(tái)，均可通過(guò)支付寶進(jìn)行個(gè)人消費(fèi)借貸，無(wú)需擔(dān)保、抵押。“即便受騙者自己沒(méi)有錢，騙子也可以誘騙受騙者在這些平臺(tái)上借貸進(jìn)行詐騙。”

　　事實(shí)上，這些受騙者大多是信用記錄良好(信用不好的人借不到錢)，有穩(wěn)定收入或家庭條件不錯(cuò)的年輕女性用戶，有多年網(wǎng)購(gòu)經(jīng)歷，金融機(jī)構(gòu)對(duì)她們的個(gè)人授信實(shí)際上是對(duì)其信用的肯定。

　　有法律人士認(rèn)為，此種詐騙手段已從騙取個(gè)人錢財(cái)升級(jí)為詐騙金融機(jī)構(gòu)，其中，好期貸的錢源自招商銀行，螞蟻借唄的錢來(lái)自網(wǎng)商銀行，均屬于金融機(jī)構(gòu)。此種詐騙屬于以非法占有為目的，詐騙銀行或者其他金融機(jī)構(gòu)的貸款且數(shù)額較大，屬于金融犯罪的一種。

　　小紅書稱未發(fā)現(xiàn)近期有批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象

　　今年3月29日，27歲的李女士在小紅書購(gòu)買了防曬霜，4月17日接到“小紅書客服”電話。

　　“客服”在支付寶上直接把她的訂單號(hào)發(fā)給她，里面有她在蘇州的詳細(xì)收貨地址、購(gòu)買商品信息，甚至包含著她的小紅書登錄賬號(hào)和密碼。

　　對(duì)“客服”的身份確認(rèn)無(wú)疑后，李女士被騙3.8萬(wàn)元。“除了我自己，誰(shuí)會(huì)掌握我的賬號(hào)和密碼？”李女士至今疑惑不解。

　　4月21日，小紅書通過(guò)一家媒體回應(yīng)稱，公司了解情況后第一時(shí)間進(jìn)行了內(nèi)部驗(yàn)證與技術(shù)排查，并未發(fā)現(xiàn)近期有批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象。

　　據(jù)介紹，小紅書已經(jīng)制訂了一系列風(fēng)險(xiǎn)規(guī)則、安全驗(yàn)證方式和登錄限制，以防范用戶敏感信息在其他渠道泄露導(dǎo)致的相應(yīng)風(fēng)險(xiǎn)。未來(lái)，小紅書還將采取一些特別的措施，防止詐騙團(tuán)伙冒充公司客服。

　　值得一提的是，在50名受騙者中，還有16人是在小紅書采取“特別措施”之后被騙。

　　這家媒體還報(bào)道稱，受理此案件的黃浦公安表示，該案件目前正在進(jìn)一步偵查中。在網(wǎng)購(gòu)的過(guò)程中，所有接觸到用戶信息的環(huán)節(jié)，從手機(jī)軟件、網(wǎng)站、快遞物流到顧客本身，都存在信息泄露的可能性。因此，警方建議消費(fèi)者在網(wǎng)購(gòu)時(shí)要多提高安全意識(shí)，如為不同的網(wǎng)站設(shè)置不同的密碼、不以常用密碼作為支付密碼、及時(shí)銷毀快遞單據(jù)等。

　　游俠安全網(wǎng)創(chuàng)始人張百川分析說(shuō)，小紅書稱沒(méi)有發(fā)現(xiàn)“批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象”。這就意味著排除了“掃號(hào)撞庫(kù)”的可能性。

　　“撞庫(kù)”和“掃號(hào)”都是黑客手段專用術(shù)語(yǔ)。跟它相關(guān)的，還有“拖庫(kù)”。簡(jiǎn)單來(lái)說(shuō)，拖庫(kù)就是黑客用技術(shù)手段入侵一些安全防范不是很高的中小網(wǎng)站，取得大量用戶注冊(cè)名和密碼數(shù)據(jù)，然后再把這些用戶名及密碼跟網(wǎng)絡(luò)銀行、支付寶、淘寶等有價(jià)值的網(wǎng)站進(jìn)行匹配登錄，這就是“撞庫(kù)”。實(shí)際操作中，黑客往往是通過(guò)專門的“掃號(hào)”軟件，批量驗(yàn)證賬號(hào)密碼是否有價(jià)值。

　　張百川認(rèn)為，信息外露的途徑有很多，只要是牽扯到輸入的地方，都有可能產(chǎn)生輸出。眾多消費(fèi)者集體信息泄露，隨后遭遇詐騙，發(fā)生時(shí)間集中，基本排除數(shù)據(jù)傳輸和消費(fèi)者自身信息泄露的可能。“如果是網(wǎng)購(gòu)平臺(tái)大批量出現(xiàn)問(wèn)題，第一有可能是他們的系統(tǒng)有漏洞，遭到黑客攻擊，竊取了用戶信息；第二也有可能是內(nèi)部人員非法兜售用戶的個(gè)人信息。”

　　“每一個(gè)環(huán)節(jié)都有一大幫人做這件事情，是產(chǎn)業(yè)化的方式。”螞蟻金服安全管理部相關(guān)負(fù)責(zé)人稱，這些案子背后的黑色產(chǎn)業(yè)鏈非常復(fù)雜，可以從網(wǎng)上買到相關(guān)信息，然后會(huì)有專用的作案工具，包括手機(jī)、電腦、上網(wǎng)卡、銀行卡，等等，專門有一個(gè)卡商回收涉案的卡券，通過(guò)發(fā)送二維碼的形式銷贓，最后通過(guò)其他平臺(tái)把這些騙取的資金消掉。

　　誰(shuí)該為消息泄露負(fù)責(zé)

　　李西的遭遇被報(bào)道后，也引起小紅書的關(guān)注。4月21日，上海一家媒體刊發(fā)報(bào)道《小紅書愛心款助受騙學(xué)生渡難關(guān)》。文中提到，小紅書客戶服務(wù)部負(fù)責(zé)人胡先生稱，小紅書客服同事們了解到李西家在農(nóng)村，家境不好，母親去年因病住院，還有一個(gè)妹妹在讀高三，這次受騙給她的家人帶來(lái)了不小的經(jīng)濟(jì)壓力。

　　“聽完這位用戶的故事，我們都想幫助她和家人渡過(guò)難關(guān)。因?yàn)轵_子是打著小紅書客服的名義詐騙，所以我也向李西道歉并取得了她的諒解。我們客服部的同事們還在內(nèi)部發(fā)起了一次募捐，總共湊了2.11萬(wàn)元，在上海市公安部門確認(rèn)受騙人賬號(hào)后，這筆愛心捐款目前已經(jīng)轉(zhuǎn)到了李西的銀行卡上。”胡先生說(shuō)。

　　有律師認(rèn)為，如果電商平臺(tái)提供了保護(hù)措施，但還是被黑客入侵，這屬于不可抗力，不用承擔(dān)責(zé)任。如果因平臺(tái)存在漏洞而導(dǎo)致信息泄露，那么平臺(tái)就要負(fù)責(zé)。電商平臺(tái)會(huì)獲取個(gè)人信息，它們有保護(hù)個(gè)人信息的義務(wù)和責(zé)任。

　　現(xiàn)實(shí)中最尷尬的問(wèn)題是，信息泄露后，往往很難判斷是哪個(gè)環(huán)節(jié)出問(wèn)題，對(duì)責(zé)任的界定和處罰不明確，從取證到用戶的維權(quán)成本都很高。

　　如今，小紅書把“皮球”推給了警方。

　　小紅書相關(guān)部門負(fù)責(zé)人王先生告訴中國(guó)青年報(bào)·中青在線記者，相信警方可以調(diào)查清楚，找到盜取用戶信息的幕后主使。

　　現(xiàn)實(shí)中，這些受騙者的維權(quán)并不順利。受騙者孟浩報(bào)警時(shí)，警方就直接告訴她，這種案子不容易破案，尤其是全國(guó)各地發(fā)生，也不容易并案。警察還告訴她，有人被騙幾千萬(wàn)元都找不回來(lái)。

　　一位受騙者給“小紅書客服”打了電話，客服只是例行公事地問(wèn)了情況，重點(diǎn)強(qiáng)調(diào)了他們絕對(duì)不會(huì)泄露個(gè)人隱私，也絕對(duì)不會(huì)給予任何賠償。

　　“不是只有我一人發(fā)生這種情況，你去微博搜搜，大批量的用戶信息被泄露，這和你們一點(diǎn)關(guān)系都沒(méi)有？你們是否犯了‘侵害公民個(gè)人信息罪’？”受騙者在電話中有點(diǎn)發(fā)火。

　　對(duì)方質(zhì)問(wèn)：你有證據(jù)嗎？這位受騙者無(wú)言以對(duì)。

　　“的確，我拿不出任何證據(jù)，既然無(wú)法舉證，也只能任由自己的信息泄露。”這個(gè)受騙者說(shuō)，可她還是迫切想知道，她在小紅書的購(gòu)物信息、電話、支付寶綁定的銀行卡，到底是怎么泄露出去的？

　　聯(lián)系本報(bào)的部分受騙者信息

 

姓名	年齡	何時(shí)被騙	何時(shí)購(gòu)買物品	受騙金額(元)	城市
林某	25	3月12日	3月初	37961	天津
陳某	23	3月13日	2月12日	22600	深圳
李某	25	3月13日	1月9日	18100	蘭州
馬某	26	3月14日	2016年12月28日	40087.93	北京
梁某某	20	3月15日	3月3日	5151	江門
陳某某	22	3月18日	2月5號(hào)	13258	泉州
溫某某	21	3月19日	2月12日	5700	廣州
鄒某某	22	3月26日	3月2日	9857	茂名
劉某	20	3月26日	2月19日	5800	武漢
鄭某某	27	3月27日	2月19日	980.98	佛山
張某	19	3月27日	2月底	1000	武漢
朱某某	24	3月27日	2月20日	1960	蘇州
彭某某	22	3月27日	2月19日	4527	重慶
潘某某	21	3月27日	3月2日	4427	麗水
鄭某某	25	3月27日	3月19日	53400	西安
馬某某	25	3月28日	3月2日	4000	沈陽(yáng)
鐘某某	21	4月2日	2月20日	7689	成都
吳某某	30	4月3日	3月13日	90000	成都
李某	19	4月9日	2月14日	30000	上海
陳某某	23	4月11日	2月7日	6000	重慶
陳某某	21	4月14日	4月5日	10551	合肥
董某某	21	4月17日	3月1號(hào)	13000	北京
堵某某	23	4月17日	3月18日	600	無(wú)錫
李某	27	4月17日	3月29日	38000	蘇州
楚某某	20	4月18日	3月16日	8950	北京
王某	26	4月18日	2月6日	25000	蕪湖
李某某	19	4月19日	3月19日	10744	上海
佩某	23	4月19日	3月7日	7572	廣東
付某	22	4月19日	3月16日	4500	沈陽(yáng)
伏某某	22	4月19日	3月8日	8226	北京
李某某	22	4月20日	4月6號(hào)	980	杭州
李某	24	4月20日	3月5日	1000	南通
陳某	23	4月20日	3月8日	1934	蘇州
張某某	26	4月20日	3月21日	5250	深圳
孟某	28	4月23日	5月12日	19507	長(zhǎng)春
王某	27	4月23日	4月1日	2300	北京
程某某	31	4月25日	3月份	3920	成都
朱某某	20	4月28日	3月2日	11662	溫州

 

　　截至5月31日的受騙者信息，由李超、蔣豐蔓統(tǒng)計(jì)