原标题:42名消费者起诉亚马逊:官网被植入钓鱼网站,多人被诈骗
一次亚马逊网购,让上海市民沈先生损失了五万多元,江苏市民梁女士则被迫还贷9万余元。
近日,澎湃新闻(www.thepaper.cn)记者接到全国各地多名消费者投诉,他们在亚马逊网购之后,不法分子利用网站多处漏洞,如隐藏用户订单、异地登录无提醒等登录网站个人账户植入钓鱼网站,然后再冒充亚马逊客服以订单异常等要求为客户退款,实则通过网上银 转账、开通小额贷款等方式套取支付验证码等方式诈骗用户。
值得一提的是,澎湃新闻记者在采访中发现,消费者在接到诈骗电话第一时间几乎都不信任,但防不胜防的是,亚马逊官网“我的账户”页面被骗子篡改,最终由该页面点击进入了钓鱼网站,导致钱款被骗。
如今,由42名消费者组成的维权团队,向亚马逊提起司法诉讼。11月13日,该诉讼案将于2017年在北京开庭,代理律师王琮玮、张冬光表示,根据《合同法》、《消费者权益保护法》以及有关网络安全方面的相关法律法规,亚马逊应当就42人的损害后果承担相应法律责任。
骗子满满的套路
今年7月12日,沈先生在亚马逊中国官网上买了2件白色短袖,由于发货较慢,沈先生选择了退货。正式这一次退货行为,让沈先生陷入了骗子的“圈套”。
退货7天后的一个下午,沈先生接到一个的陌生手机电话号码,对方声称是亚马逊客服,说他有一个退货订单因为亚马逊官网升级,暂时无法自动做退款处理,需手动操作,所谓的客服跟他核实了订单编号及购买物品内容。
“手动输入亚马逊官网网址后,发现订单号准确无误。”沈先生于是对对方的身份深信不疑。这时,对方要求沈先生进入他自己的亚马逊个人账户页面,查看“我的地址”,沈先生进入后的确发现在该页面有退款说明内容。
沈先生在亚马逊的“我的地址”页面。
沈先生表示,在通话过程中,明显听到对方在一个比较嘈杂的环境里工作,基本上都是客服在与客户沟通的声音,有电话转接等内容。对方跟沈先生核对了客服电话,沈先生确认后放松了警惕。
按照对方要求,沈先生点击了实为钓鱼网址的链接。“一个外观跟亚马逊风格极其相似的退款中心页面出现了,这个界面里面有各大银行和支付平台的选项,跟一般的支付平台非常相似。”沈先生首先点击的是中信银行为退款账户,但是在操作过程中对方一直声称验证码无法使用。后来沈先生选择招商银行作为退款账户,并在页面里填写了包括账号、身份证等信息。“在此过程中,骗子一直提醒,对此麻烦的操作表示抱歉,他们是不会要求客户口头提供任何信息。”
钓鱼网站的退款页面。本文图片 受访者提供
随后对方称,会发沈先生一个验证码,沈先生紧接着看到是招商银行客服95555发来一条带有验证码字样的转账短信,且显示对方账户名字是邱祎。沈先生开始质疑,为何有转款信息。骗子这时催促沈先生,警告他不要理会这条信息,信息的内容都是随机生成的,如果超时的话,就要重新来过。沈先生在慌乱中,将验证码告诉了对方,同样的过程重复了三四次。
挂电话后,沈先生发现招商银行APP推送了4笔转账信息,分别为49999元、29999元、19999元、4600元。其中,49999元骗子又给沈先生转回来,做了一个冲账程序,最后,合计转出54598元。沈先生立刻意识到被骗,马上打电话给挂失银行卡并报警。此后,沈先生第一时间打了亚马逊客服,核实相关情况后,让其将银行卡绑定信息全部清除。
如今,该订单至今依然显示退货状态,但是沈先生已收到货物,受骗一事已成定局。
沈先生在亚马逊网站的退货页面。
江苏市民梁女士被假客服诱引进入钓鱼网站后,不仅骗取了两千多元存款,还被迫贷款9万余元。梁女士说,她跟银行艰苦交涉无果后,自己被迫还了贷款。
上海市民孙女士则表示,她是今年3月23日在亚马逊购买书籍,下单后没有收货。骗子冒充亚马逊客服,以支付宝升级为由,说服她取消订单,且配合退款。“对方准确报出我订单信息,我就相信对方。随后在对方的指引下,进入了在我的账户上植入的钓鱼网站链接。对方骗取了我的银行卡号和验证码。”最终,孙女士被骗取了12万元。
消费者:亚马逊强制清洗账户信息
据孙女士介绍,大部分受害者在第一时间向公安机关报案,并多次拨打亚马逊客服要求作出合理解释、进行先行赔付,但都遭到回绝。受害者曾有个大约200人的QQ群,讨论如何维权。最后,包括她在内的42人组成了维权团队起诉亚马逊。
梁女士认为,损失是因亚马逊购物引起,且钓鱼网址在亚马逊官网上,故亚马逊应承担责任,孙女士也持同样的观点。
“不过,在跟亚马逊客服沟通后,亚马逊的一个举动让受害者匪夷所思。”孙女士表示,在被骗后打过客服,亚马逊方面却强制清洗了自己的账户信息,即账户中被植入的钓鱼网址清除了。
“这些可编辑选项原则上权限仅限于用户本人,亚马逊没有权限修改用户个人信息。”受害人孙女士称,既然亚马逊可更改个人账户,为何不在案发前做足相应的预防措施,限制植入超链接地址。“事件发生后强制清洗用户个人信息页面,岂不是反而为骗子清除了痕迹?”
42名受害者维权团队认为,作为电商巨头,亚马逊没有有效保护用户的信息安全和财产安全,任由漏洞不停地被不法分 利用,进 行骗。案发后,亚马逊客服一直是敷衍态度,仅在网站设置上添加了部分警示文字,单方面清洗用户的信息,甚至强行冻结账户。
受害者普遍表示,在这个案件中,亚马逊应承担大部分责任并承担相应的社会责任。“我们希望通过这次起诉,能让亚马逊有效修补网站漏洞,及时止损,避免更多 遭受类似的悲剧。”
代理42人起诉亚马逊的王琮玮、张冬光律师表示,根据《合同法》、《消费者权益保护法》以及有关网络安全方面的相关法律法规,亚马逊应当就42人的损害后果承担相应法律责任。
亚马逊:关闭用户个人主页编辑功能
11月10日,澎湃新闻记者就此采访了亚马逊方面。
亚马逊公关相关负责人表示,亚马逊客服不会使用个人手机号码与消费者联系,更不会以任何链接的形式向消费者索取或引导消费者输入银行卡密码、验证码等个人隐私信息。“网络诈骗严重侵害消费者及商家的利益,不仅对亚马逊日常经营造成干扰,也给消费者带来了巨大的经济损失,我们与消费者一样对此深恶痛绝。亚马逊将尽最大努力配合警方调查,竭力维护消费者利益,并期待警方早日将诈骗分子绳之以法。”
亚马逊表示,地址栏是用户进行地址编辑和管理的栏目,亚马逊不会在地址栏发布任何退换货信息或更新订单状态的通知,更不会添加链接。如果用户在地址栏发现地址以外的信息,应保持高度警惕,更不要盲目轻信诈骗分子的引导点击任何不明链接。
亚马逊透露,目前除了进行安全提醒,针对现有的诈骗形式,亚马逊采取了的应对行动包括:关闭了亚马逊网站用户个人主页编辑和“隐藏订单”功能,以阻止诈骗分子植入钓鱼链接;隐藏订单中客户联络信息;系统自动识别和删除地址簿超链接,阻止诈骗分子植入钓鱼链接。