近日有网友曝称,其在票务网站大麦网的账号信息被盗,导致被假冒“大麦网客服”的行骗者忽悠转账,骗走现金。该网友还联系到至少17名来自北京和成都,有同样遭遇的大麦网用户。
不查不知道,一查吓一跳。重案组37号(微信号:zhonganzu37)梳理发现,就最近几天的时间,北到黑龙江哈尔滨、南到广西南宁,冒充大麦网客服行骗的案例几乎呈刷屏之势。恐怖的是,行骗者可以准确地报出了受骗用户的姓名、电话号、身份证号。
大麦网终于坐不住了。7月15日凌晨零时许,大麦网发布声明,称用户信息泄露系不法分子使用“撞库”方法所致。成都公安锦江分局合江亭派出所及北京公安朝阳分局双井派出所均表示已受理此次诈骗案,正在侦查阶段。
受骗者:被指引“联网操作”
受骗者陶女士告诉重案组37号(微信号:zhonganzu37),她曾两次接到“大麦网员工”诈骗电话,并在第二次被骗走6287余元。
陶女士回忆,7月9日,她接到号码为“ 8704008103721”的陌生电话,对方自称是大麦网工作人员,表示由于实习生误操作,不慎给她的账号添加了VIP,如果不取消,当晚就会从账户中扣钱。如果要取消,就要按他们的套路,找一台ATM机,配合银行和银联走流程。
“当时我在日本,就告诉对方等回国再说”,陶女士说,当时之所以没有怀疑对方,是因为对方精准地报出了她的身份证号、手机号、所购演出票和地址。
7月11日下午2时29分,“大麦网工作人员”再次打来电话,按照指引,陶女士找了附近一家银行,还接到“银行女员工”打来电话,对方称由于数据都要上传到银联中心,必须在ATM机上与银联“联网操作”。“她问我用哪几张银行卡,我说了一遍,她立马报出我的身份证号码,询问我是否有误。”
之后,陶女士将银行卡插入ATM机,按指令进入转账页面,输入对方报来的两串数字,一串是“订单处理号码”,一串是“验证码6287”。输入数字之后,ATM机显示,成功转账6287元。“这时候发现受骗了,立即报了警。”
陶女士后来才知道,所谓“订单处理号码”是对方银行卡账号,“验证码”是对方要求的转账金额。陶女士表示,第一次接到骗子电话时身在国外,所以即便号码看起来不正常,也没有多想。第二次由于刚回国事情很多,心情焦躁,也没有多想。“整个过程中,对方一直不断打来电话,我很难和外界正常沟通,很难冷静思考。”
重案组37号(微信号:zhonganzu37)从成都市公安局锦江分局合江亭派出所获悉,目前此案已经立案,正在侦查阶段。
全国多地大麦网用户受骗
陶女士称,她已经联系到了17个和自己有一样受骗经历的大麦网用户,在成都及北京均有分布,被骗金额共为54万余元,其中被骗金额最高的达近10万元,其他人的财产损失也都在万元上下。
“我本来想给父亲买个好一点的墓地,现在钱被骗走了,根本不敢让家人知道”,一位成都受骗者说,自己父亲的丧葬费都被骗走。
重案组37号(微信号:zhonganzu37)从多名受骗者处得知,骗子在诈骗过程中都曾精准报出其身份证号、地址、所购演出票及姓名。“希望大麦网对用户隐私负责。”多名受骗者表示,正是由于对方对自己的个人信息掌握准确,再加上被告知有财产损失时很紧张,所以无暇思考太多。
一位北京受骗者表示,自己虽然平时比较有戒备心,但遇到这种完全报出自己信息的情况还是招架无力。“对方是南方口音,但也不像平时的诈骗那样容易识破。”目前,她已经到双井派出所报案。
朝阳警方也证实,已接到此类报案并已立案侦查,目前正在工作中。
此外重案组37号(微信号:zhonganzu37)疏理发现,就最近几天的时间,北到黑龙江哈尔滨、南到广西南宁,冒充大麦网客服行骗的案例层出不穷。
▲大量大麦网用户微博跟帖称被骗。 微博截图相关回应
大麦网:不法分子“撞库”获取用户信息
大麦网今天凌晨发声明称,有些用户在不同网站使用相同的注册信息(用户名和密码),因此被不法分子利用,使用“撞库”的方法在大麦网尝试登录并获取用户购买商品的信息,进而冒充客服人员实施诈骗,导致部分用户遭受了经济损失。
声明表示,在此次诈骗事件发生的第一时间,大麦网已主动报请行政主管机关的网络安全监管部门介入调查,并与已知造成经济损失的用户进行了一对一沟通。同时还通过多次群发短信和大麦网官方渠道醒目位置,提醒广大用户:谨防上当受骗。目前,大麦网技术团队已对全平台加强安全防范措施,全面升级信息安全级别。
▲7月15日凌晨零时许,大麦网就用户信息泄露发布声明。 微博截图名词解释:“撞库”
重案组37号(微信号:zhonganzu37)了解到,“撞库”指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。
根据专业网站乌云漏洞平台的解释,“撞库攻击”又称“互联网泄密事件”,它以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登录其他的网站。
重案组37号探员查询乌云漏洞平台发现,去年大麦网曾四次被报告有“撞库”问题,均被标为设计缺陷。
探员追访
律师:大麦网未履行用户信息保护义务
2013年9月工信部发布的《电信和互联网用户个人保护规定》 第十条规定:电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
“网站管理者对注册用户的信息有保密的义务,不得任意泄露用户的个人信息”,京都律师事务所律师常莎认为,本案中,诈骗人准确知悉网站用户的相关信息,因此可以推测网站管理者可能存在故意泄露用户个人信息或者为牟利将用户个人信息出售于他人,并因此造成了网站用户经济损失。针对上述行为,其网站管理者应当与诈骗行为人构成共同侵权,对因信息泄露造成的损失承担相应的赔偿责任。
需要注意的是,若网站已经采取严密的技术措施保护用户信息,但是仍然未能阻止信息泄露的,则不必承担责任,但是网站管理者要对自己已经采取严密的措施进行举证。
除此之外,电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施,以避免可能发生的侵权事件。造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
常莎表示,从本案受害人提供的相关信息可以看出,今年1月份的时候已经有人受骗,大麦网应立即采取措施,检查信息是否可能泄露,及时对其客户进行安全警示,并加强信息保护的记述措施,全方位地进行用户信息保护。但是,显然大麦网并没有履行上述义务,更没有向相关部门报告,致使更多用户遭受损失,大麦网应当就扩大的损失承担相应的赔偿责任。
常莎提醒受骗用户,可以将相关的转账记录、通话记录、银行流水等证据材料及时保存下来,并在第一时间向公安机关报警。在警察将犯罪嫌疑人控制,检方提起公诉之后,受害者可以提起刑事附带民事诉讼,要求返还诈骗的财产。同时受骗者也可以向法院提起民事诉讼,要求追究网站管理者的侵权责任。
新京报记者 曾金秋 李禹潼 编辑 张太凌 校对 陆爱英