前陣子有客戶想架購物車網站,沒想到在指定的範本網站付費買了範本後,卻無法下載。 為了確認不是操作錯誤引起的問題,付了兩次費用,也請客人操作一次,結果都一樣無法下載,才確定被騙了。 過去自己及客戶買了無數次範本,沒想到第一次遇到這樣的事,覺得有必要紀錄一下事件始末,歸納所有可疑行為的模式,提醒讀者們小心避免遇雷。 一、購買經過
疑點 1一開始客戶指定購買「Raintemplates」這個網站的購物車範本:看完頁面資訊當下是有疑問的,這未免太佛心了吧,購物車範本通常 USD 20~30 起跳,結果該範本原價 USD 25,特價只要 USD 1.9,一般的心態應該都是 "太好~賺到了!"。 疑點 2下單時發現原來我以前在這網站買過,大概是幫客戶買的,已經有註冊過帳號,所以當下是比較放心的,而且可以使用 PayPal 付款,不必擔心填寫信用卡號有被盜刷的風險。 但很快就遇到了麻煩,因為很久以前註冊的,早就忘了密碼。然而點擊「忘記密碼」的按鈕,要求這網站取回密碼時,卻一直沒收到郵件,所以內心開始遲疑,會不會這網站的某些服務功能早已停止運作?(後來也確定都停止運作,因為怎麼填寫聯絡表單都不會回應) 疑點 3這網站要結帳必須註冊,不得已只好重新註冊帳號,但遇到另一個更引起我懷疑之處,系統要求建立的密碼規則比較複雜,包含英文大小寫及數字,也不准設定簡單的字串。 這非常不尋常,因為這網站並不知名,而通常只有市佔率非常高的服務,才會要求建立安全度相當高的密碼規則。 這讓我開始有警覺會不會有可能是釣魚行為,利用複雜的密碼規則誘使使用者設定與「其他重要線上服務相同的密碼」? 疑點 4註冊完使用 PayPal 扣款後,結果沒寄發交易成功信,也沒出現「下載」按鈕,一時之間不曉得是不是哪裡操作錯誤,導致沒有交易成功。 因為 USD 1.9 不貴,乾脆重來又下單了一次,結果仍是一樣,開始懷疑是詐騙行為了。 疑點 5於是問問客戶有沒有 PayPal 帳號,請客戶操作購買一次試試看,結果依然不會出現「下載」按鈕,至此可以確定這是詐騙網站。 二、事後處置
1. 防止被駭其實被騙事小,只不過是損失一點小錢,這個事件我最擔心的環節是「要求註冊帳號密碼」,對於比較沒有資安警覺的使用者來說,這裡很有可能會翻船翻很大。 當確立是詐騙事件後,我稍微分析一下該網站的犯罪模式,認為其重點有二:- 如果使用者選擇刷卡,該網站就有機會取得卡號資訊,得以進行盜刷
- 如果使用者註冊的 email、密碼與其他重要服務相同,該網站就有機會駭入該使用者的其他重要服務帳號
這個流程是漫長的,因為 PayPal 會給雙方兩個星期的時間溝通,沒有結果時 PayPal 才會介入,再等兩個星期若 Raintemplates 還是沒任何回應,當初付的款項才會退回來。 只是 PayPal 對 Raintemplates 會有什麼處置我無從得知。 3. 公諸於世最後能做的,就是將這件事公諸於世。因為我很少在國外論壇打轉,所以也只能讓中文體系的使用者知道了。 如果有讀者常上相關的國外論壇的話,希望能用英文、其他語言、其他管道,讓國外網友注意到這個網站的事跡,別讓更多人被騙、以及被盜刷、被駭了。 三、總結
最後從這件事總結一下如何避免網路購物被詐騙:- 如果要線上刷卡,一律只能在業界知名、龍頭的網站刷,否則很有可能被盜刷。
- 不夠知名的網站只能使用「業界知名、龍頭的第三方支付」,例如 PayPal,萬一出了事還有一道防火牆
- 在不夠知名的網站線上購物,最好先做身家背景調查,閱讀「關於我」頁面、查該網站的聯絡 email
- 註冊帳號密碼時,絕對不可使用跟重要帳號一樣的密碼
更多「Blogger 範本」相關文章: