亚马逊官网疑似安全漏洞致诈骗频出 回应称已采取措施

本篇文章2201字，读完约6分钟

9月7日，中国网银(记者于婕)在打击电信欺诈的最前线，几天前，许多网民向中国网银爆料，称接到自称是亚马逊“客服”的电话后，登录官方网站“个人主页”，根据对方提示点击链接，银行卡和支付宝的余额被删除，或者信用卡、蚂蚁借款等信用额度全部透支。

面对用户信息泄露和网站设置漏洞的质疑，亚马逊向中国网银记者表示，鉴于近期欺诈者的作案手法，亚马逊网站用户个人主页的编辑功能已暂时关闭，以防止欺诈者植入网络钓鱼链接并利用其进行欺诈，从而防止用户利益受到侵犯。

官方网站现在是一个钓鱼网站链接

9月2日晚9点，李琳(化名)在上海接到一个自称是亚马逊客服人员的电话。另一方在电话中说，李琳申请了订单退款，并问她为什么申请退款。李琳非常惊讶，因为她之前在亚马逊只买了一个充电器，而且已经到货了。她说她从来没有申请退款，她不知道为什么她必须再次操作这个订单。“客服”坚持让她登录亚马逊官方网站查看具体信息。

登录后，订单从订单页面消失，但“我的亚马逊”下的“我的个人主页”页面显示，由于系统原因，订单无效，通知商家协助处理退款，并附上“退款链接”，表示系统提示成功后五分钟内将资金返回银行账户，如果退款延迟，商场将被视为“破碎客户”。根据“客服”的指示，李琳点击了页面上的链接，输入了招商银行的卡号和手机收到的验证码。连续输入了几个验证码，显示无效。

另一方说需要一点时间来处理。后来，李琳收到了一个验证码，这表明操作是成功的。第二天用银行卡购物时，李琳发现银行卡里的18000多元余额已经被刷光了，她突然意识到前一天点击的链接是一个钓鱼网站，最后收到的验证码是确认转账的操作。在联系了亚马逊的官方客服后，她得知自己的账户应该被盗了，“个人主页”上的文本信息可以被用户更改，而不是官方系统信息。然后她在“我的帐户”的“隐藏订单”页面中找到了之前消失的订单。

可疑的安全漏洞被利用

李琳承认，过去诈骗者常用的方法是通过短信或电子邮件拨打电话并发送网络钓鱼链接。在这种情况下，它很可能意识到它是一个骗子。“但我们都登录了官方网站，认为它绝对是在官方网站上。不会有问题的。”

在她看来，亚马逊网站无疑存在漏洞，个人页面可以被用户修改，而且很多人不知道隐藏订单的功能，这本身就有很大的风险。然而，亚马逊没有及时告诉消费者这一风险，随后的提醒也不清楚，也没有指出个人页面的内容可能被篡改。与此同时，骗子可以掌握这么多用户的用户名和密码，亚马逊也应该对用户信息的泄露负责。

针对官方网站涉嫌漏洞，亚马逊官方客服人员此前向《法治周末》表示，亚马逊的“隐藏订单”功能是为了方便一些用户忽略一些订单，使相关信息无法在订单页面找到；“个人主页”功能实际上是用户个人介绍和其他资料的展示页面，内容由用户自己编写，不会有正式的亚马逊订单或账户信息和退款请求。

当记者于9月5日上午登陆亚马逊官方网站时，主页上突然弹出一条安全信息:“亚马逊不会以任何理由主动联系用户获取密码和手机验证码，也不会要求你点击任何网站链接进行退款或付款”，并有客服联系指南提示——“亚马逊主页-帮助-需要其他帮助-联系我们”。晚上，修改了提示，繁琐的客服联系方式直接改为客服电话“400-810-5666”。

100多人被诈骗了300多万

和林有同样经历的人不在少数。中国财经网记者了解到，全国各地自称受骗的亚马逊用户自发成立了一个138人的qq群，被骗的原因是点击了修改后的个人主页上的链接。据集团成员统计，诈骗金额从几十万元到几十万元不等，最高金额达21.5万元。大部分欺诈时间集中在今年7月和8月，欺诈总额超过300万元。截至9月3日，仍有新的受骗者加入该团体。

在整理受害者信息时，中网财经记者发现，诈骗金额最大的案件不是通过银行卡和支付宝转账，而是通过支付宝的“蚂蚁借贷”平台透支信用额度。

8月19日，张婷(化名)在上海接到一个“客服”电话。点击亚马逊上的钓鱼链接后。对方称有必要进行"双向转账验证"以确认账户信息。由于听信了骗子的反复“验证不成功”，当银行卡余额不足时，她通过支付宝的“蚂蚁借贷”和“兆联理财”平台一共借了10次。据受害者qq群统计，同一天，深圳某用户通过“蚂蚁借贷”被诈骗21.5万元。“我老婆是准妈妈，深圳的那个是早产儿，孩子的保育箱钱被骗了。”张婷的丈夫告诉记者。

在张婷提供的截图中，修改后的“个人主页”顶部有两行浅灰色字符，表示“亚马逊不会要求客户通过个人主页提供任何订单或账户相关信息，也不会点击任何链接处理订单退款等事宜。”在她看来，这个提示并不重要。“如果不是因为被骗，我根本不会注意读这一行。”

鉴于消费者是否会在下一步得到补偿，中网财经记者采访了亚马逊，但对方没有回答这个问题。

亚马逊:用户个人主页的编辑功能已经关闭

亚马逊官方网站“个人主页”页面的最新截图

“针对最近欺诈者的作案手法，我们暂时关闭了亚马逊网站用户的个人主页编辑功能，以防止欺诈者植入网络钓鱼链接并利用这些链接进行欺诈，并防止用户利益受到侵犯。”对于最近频繁发生的欺诈事件，亚马逊回复《中国财经网记者》称，初步核实显示，不能排除客户信息通过其他渠道被盗的可能性。

为了提醒消费者警惕类似的欺诈行为，亚马逊通过短信、电子邮件、应用推送等方式向消费者提供安全提示。，并在官方网站的手机和电脑侧的显著位置，建议消费者定期和及时地更改他们的帐户登录密码。