溯源分析 剁手党们都小心了

1、概述

7月30号，在我的安全技术群里，有位学员（下面称为“小欧”）发了如下的截图：

“弄死他”

看到截图第一眼，就知道这个是一个[支付宝钓鱼网站]，域名是58xx.org，而不是支付宝官方的alipay.com=>

所以便心照不宣回了一句：

“嫩！”

在群里面，小欧还放了诈骗分子给他打过来的两个电话号码，从归属地来看，分别来自吉林和北京。

接下来，小欧同学大概说了下经历=>

本以为这事可能就是他个人信息泄露了，诈骗分子偶然拿到他的信息，也就一个小概率事件，就让他先去折腾著。

文章提到一位叫小罗的姑娘，同样也是网上购物，在没收到包裹之前，便收到“快递工作人员”的快递理赔电话，通知包裹已丢，只能走理赔渠道。之后诈骗分子引导加微信，要求在“支付宝理赔协议”链接里面，填写姓名、银行卡等信息。

期间还不断电话沟通，引导小罗进一步操作，差点被划走7万元！整个作案流程，跟前面小欧同学遇到的情况如出一辙，庆幸的是，这两位朋友都在最后瞬间发现破绽，及时止损了。当然，这里也可以说明一点：这诈骗团伙可能全国化了。

事儿就是这么个事儿，大家看完日报文章之后，基本也都学乖了一点，例如：

……

作为一名半调子的技术黑客，隐约觉得这事儿有点不对路，稍微较真下，例如=>

诈骗事件的背后，这个诈骗团伙分工很明细，至少有以下人员：

渠道人员：通过不可告人的方法，非法获取我们的快递隐私信息。

技术人员：搭建支付宝钓鱼网站，除了域名，整个页面跟支付宝官网几乎没区别。（而域名，在手机端访问的时候很难留意到。）

客服人员：充当快递理赔售后人员，通过微信和电话两个渠道，双管齐下，“套路”被受害者。

为什么我们的网购快递信息，如此快就泄露了？从诈骗时间来看，基本是在被骗者下单之后及收件之前。

小欧和小罗都算幸运，那么其他人呢，有没有已经被骗的呢？

顺着这个思路，我们下面慢慢来分析。

2、我们的钱是如何被划走的？揭秘快递理赔诈骗网站真面目。

根据上面小欧同学发过来的支付宝钓鱼网站链接，接下来我做个“小白”，做个亲身示范，给大家还原“被骗者是如何上当的”。

页面：被骗者通过微信或简讯收到钓鱼链接（一般是短链接或二维码），打开“支付宝客服中心”。

下面是用我的手机测试，默认没有显示网址信息，很有迷惑性（这里账号密码是随便填的）=>

为了方便技术溯源，这里我在电脑端再次打开这个链接=>

页面：模拟受害者填写账号密码，进入“支付宝退款中心”。

注：其实，当看到这个"退款中心"的时候，被骗者的支付宝账号密码，已经发送到诈骗分子的网站服务器上面了。

页面：接下来选择任意银行，点击[下一步]，进入 “退款银行” 页面。

注：这个页面可以说做的相当用心了，基本覆盖了主流商业银行，满足大部分人的“退款需求”，通过“请选择退款银行”等文字来进一步套路被骗者。

接下来便进入银行卡表单页面，这里还贴心地提供了[储蓄卡]和[信用卡]两种“退款”方式。无论哪种卡，都要求被骗者填写姓名、身份证、卡号、网银密码、“退款”密码等敏感信息。

这里还有“退款密码即银行卡取款密码”等“温馨提示”。

可以这么说吧，如果被骗者把这些敏感信息告知诈骗分子，那么卡里的钱分分钟可以被划走。

当然，如果银行卡或支付宝开启了手机二次验证，那么诈骗分子再结合电话沟通获取到验证码，便可实现“完美犯罪”。

除了钓鱼网站的“长相”，通过服务器地址和域名备案信息，可以看到这些服务器主要在海外，技术实现也非常简单粗暴，大体采用Windows Server部署。

小结：

这个快递理赔钓鱼网站，其实最核心的就是[客户中心] [退款中心] [银行卡信息]三个页面，通过一层套一层的“钓鱼”，不仅仅套取被骗者的支付宝账号密码，还可以拿到储蓄卡或银行卡的账号密码，属于典型的“连环诈骗”。

诈骗团伙有一定的技术能力，例如通过国外购买的服务器和域名，规避国内监管。另外，在通过微信发送[快递理赔]链接时，采用短链接方式而不是完整域名，引诱被骗人更大机会点击。（这里先不详细展开）

3、到底有多少人被[快递理赔]诈骗了？他们能否追回款项？

上面我们提到，小欧和小罗都算比较幸运的，那么其他人呢，有没有已经被骗的呢？尤其当诈骗分子提前拿到我们的快递个人信息，再结合比较有诱导力的钓鱼网站进行精准诈骗时。

通过相关关键词，我们可以找到很多2018年甚至往年被同样诈骗的案例：

这里以时间、报道源/链接、地区、被骗者、涉案金额、相关快递 等信息做一下整理，得到下面这张表，这里仅截取一部分=>

根据我的简单整理，主要找到了2018和2017年相关诈骗案例，仔细阅读这些报道，我们可以得到=>

快递理赔诈骗很猖狂，早在2017年甚至更早就在全国各地就不断上演了，到现在“愈演愈烈”。

大部分涉案金额较大，被骗者只能选择报警或者网上求助，但讨回来几率不大。

各个快递企业已经被诈骗分子“盯上”，被“冒名”用来对网购者实施诈骗。

4、除了防骗，我们还能做什么？

关于如何防骗？人民日报文章中给出的“八个凡是”和“六个一律”，已经足够清晰有力了。但是这里还是抛一个观点：

[快递理赔防诈骗]，面向普通民众做更多安全普及固然是重要的，毕竟提高大家的安全意识，便可以降低被诈骗的几率。在以往的这么多报道中，我们动用了公安、反诈骗中心、媒体等各个社会组织，一次又一次的将诈骗案件剖析开来，一次又一次地输出详细的防骗指南。

可一旦过了今天，明天必定又有受害者上钩，看看上面的新闻案件时间线就知道了，几乎每个月每个季度全国都在发生同样的网络诈骗案。

所以，我们需要更理性地思考：大家的关注点或者发力点是不是有点儿搞偏了？

举例，绝大部分时候，大家在讨论和传播的话题范畴，几乎都是：“当信息泄露之后，我们如何进行防御或防骗？”

其实，我们不应该更加关注下面这些问题吗？

我们的快递信息到底是怎么泄露的？如何防止？

作为网购者，连我都还没收到快递，诈骗分子电话就过来了。他们是如何知道这个事儿，并对我实施精准诈骗？

当我网购时，唯二能知道我快递信息的，无非就是网购平台和快递公司，那么，可能是在哪个环节泄露的？

不管是谁有意或者无意泄露的，如果我不幸被精准诈骗了，谁应该承担责任，我该找谁追回这笔债？有法律专家解答下吗？

总而言之：

绝大部分诈骗案例中，被骗者为什么被骗了，关键不是因为点击了什么莫名的链接，也不是扫描了什么二维码，又或者是填写了什么表单。

最最最关键在于：当“客服小姐姐”能精准叫出被骗者的真实名字、买了啥东西、用了什么快递、从哪里收货，当这些隐私信息一字不差得匹配时，再聪明的人，大部分的戒备都会放下，这才有了后面被骗的事。

因此，[快递理赔诈骗]等类似的网络诈骗伎俩，我们要真正有效地防御，不仅仅要做后端的公民信息安全普及，更应该做前端的公民隐私信息保护。

最后，问题就来了：谁应该来保护我的个人隐私信息？