Quantcast
Channel: WFU BLOG
Viewing all articles
Browse latest Browse all 784

購買 Blogger 範本遭遇詐騙事件實錄

$
0
0
raintemplates.jpg-購買 Blogger 範本遭遇詐騙事件實錄前陣子有客戶想架購物車網站,沒想到在指定的範本網站付費買了範本後,卻無法下載。 為了確認不是操作錯誤引起的問題,付了兩次費用,也請客人操作一次,結果都一樣無法下載,才確定被騙了。 過去自己及客戶買了無數次範本,沒想到第一次遇到這樣的事,覺得有必要紀錄一下事件始末,歸納所有可疑行為的模式,提醒讀者們小心避免遇雷。

一、購買經過

疑點 1一開始客戶指定購買「Raintemplates」這個網站的購物車範本: raintemplates.jpg-購買 Blogger 範本遭遇詐騙事件實錄看完頁面資訊當下是有疑問的,這未免太佛心了吧,購物車範本通常 USD 20~30 起跳,結果該範本原價 USD 25,特價只要 USD 1.9,一般的心態應該都是 "太好~賺到了!"。 疑點 2下單時發現原來我以前在這網站買過,大概是幫客戶買的,已經有註冊過帳號,所以當下是比較放心的,而且可以使用 PayPal 付款,不必擔心填寫信用卡號有被盜刷的風險。 但很快就遇到了麻煩,因為很久以前註冊的,早就忘了密碼。然而點擊「忘記密碼」的按鈕,要求這網站取回密碼時,卻一直沒收到郵件,所以內心開始遲疑,會不會這網站的某些服務功能早已停止運作?(後來也確定都停止運作,因為怎麼填寫聯絡表單都不會回應) 疑點 3這網站要結帳必須註冊,不得已只好重新註冊帳號,但遇到另一個更引起我懷疑之處,系統要求建立的密碼規則比較複雜,包含英文大小寫及數字,也不准設定簡單的字串。 這非常不尋常,因為這網站並不知名,而通常只有市佔率非常高的服務,才會要求建立安全度相當高的密碼規則。 這讓我開始有警覺會不會有可能是釣魚行為,利用複雜的密碼規則誘使使用者設定與「其他重要線上服務相同的密碼」疑點 4註冊完使用 PayPal 扣款後,結果沒寄發交易成功信,也沒出現「下載」按鈕,一時之間不曉得是不是哪裡操作錯誤,導致沒有交易成功。 因為 USD 1.9 不貴,乾脆重來又下單了一次,結果仍是一樣,開始懷疑是詐騙行為了。 疑點 5於是問問客戶有沒有 PayPal 帳號,請客戶操作購買一次試試看,結果依然不會出現「下載」按鈕,至此可以確定這是詐騙網站。

二、事後處置

1. 防止被駭其實被騙事小,只不過是損失一點小錢,這個事件我最擔心的環節是「要求註冊帳號密碼」,對於比較沒有資安警覺的使用者來說,這裡很有可能會翻船翻很大。 當確立是詐騙事件後,我稍微分析一下該網站的犯罪模式,認為其重點有二:
  • 如果使用者選擇刷卡,該網站就有機會取得卡號資訊,得以進行盜刷
  • 如果使用者註冊的 email、密碼與其他重要服務相同,該網站就有機會駭入該使用者的其他重要服務帳號
所以當下立即告訴客戶,註冊時有沒有使用與其他帳號相同的 email、密碼?如果有的話,請將該帳號「立刻啟用兩階段驗證」。 客戶也立即照做,且幾天後告訴我,他的其他帳號真的收到系統通知,有被 try 密碼的紀錄,並感謝我當初有馬上通知他。 2. 向 PayPal 申訴對於這個網站我自然想要處置他,但後來卻發現根本拿他一點皮條也沒有,因為整個網站找不到「關於我」的頁面,也沒有任何聯絡資訊(沒有 email),完全查不到底細,代表這網站一開始就沒打算長久經營。 退而求其次,我只能讓 PayPal 瞭解該網站的帳號是有問題的,希望 PayPal 能進行處置。我找到了這個網頁: 照著官方的流程提出了申請,並詳述 Raintemplates 收了我的兩次款項但沒給範本檔案。同時也通知客戶按此流程做一次,希望越多人申訴 Raintemplates 的話,PayPal 會將帳戶列為黑名單、警示帳戶之類。 raintemplates.jpg-購買 Blogger 範本遭遇詐騙事件實錄這個流程是漫長的,因為 PayPal 會給雙方兩個星期的時間溝通,沒有結果時 PayPal 才會介入,再等兩個星期若 Raintemplates 還是沒任何回應,當初付的款項才會退回來。 只是 PayPal 對 Raintemplates 會有什麼處置我無從得知。 3. 公諸於世最後能做的,就是將這件事公諸於世。因為我很少在國外論壇打轉,所以也只能讓中文體系的使用者知道了。 如果有讀者常上相關的國外論壇的話,希望能用英文、其他語言、其他管道,讓國外網友注意到這個網站的事跡,別讓更多人被騙、以及被盜刷、被駭了

三、總結

最後從這件事總結一下如何避免網路購物被詐騙:
  • 如果要線上刷卡,一律只能在業界知名、龍頭的網站刷,否則很有可能被盜刷。
  • 不夠知名的網站只能使用「業界知名、龍頭的第三方支付」,例如 PayPal,萬一出了事還有一道防火牆
  • 在不夠知名的網站線上購物,最好先做身家背景調查,閱讀「關於我」頁面、查該網站的聯絡 email
  • 註冊帳號密碼時,絕對不可使用跟重要帳號一樣的密碼
如果保有以上這幾點的警覺性,就可以將損失降到最低了。
更多「Blogger 範本」相關文章:

Viewing all articles
Browse latest Browse all 784

Trending Articles