3名少年轻松攻破几十家电商旗舰店防线 获取24万条购物信息

“双11”即将到来，“剁手族”将迎来一场盛宴。但电信网络诈骗的阴云时刻笼罩在电商领域，危及消费者的购物安全。

去年“双11”前夕，周丽（化名）在一家知名电商平台购买了两瓶化妆品，消费108元。随后，一个陌生号码给她打电话说她买的化妆品质量有问题，要给她退钱。诈骗就此开始，周丽前后多次按照诈骗分子提供的二维码扫码付款，被骗走51480元。

周丽遭遇了典型的购物退款型的电信网络诈骗。最令人费解的是，周丽的购物信息是如何泄露，从而被诈骗分子利用？

最近，周丽遭诈骗的上游犯罪告破，福建龙岩的一名“87后”和“90后”，利用另一名“90后”提供的钓鱼软件和爬虫软件，非法获取了包括周丽在内的购物者个人信息。

北京法院审判信息网10月30日公布了这份刑事判决书。周丽不是唯一的受害者，2018年“双11”之前两个月，两名被告人采用与商铺客服聊天“钓鱼”的简单方法，轻松窃取了这家知名电商平台上24万余条用户购物信息。判决书显示，“中招”的店铺包括20多家母婴产品、化妆品、药品企业的旗舰店。

遭遇购物返款诈骗

买了两瓶化妆品后没几天，周丽接到了一个陌生来电。电话称周丽买的化妆品质量有问题，要给她退钱。但电话那头的男子却告诉她另一个手机号码，让周丽将这个号码加了微信好友。

这个微信号给周丽发来一个二维码，说是退款的流程，周丽扫码进到一个很像她买化妆品的那个电商平台的页面。按照网页上的提示操作，期间需要手机的验证码，周丽输入好几次都显示超时不能继续操作。

这时，电话那头的男子就告诉周丽是因为她的信用度不够，需要通过走流水的方式提高信用度，然后对方在微信里给她发来一张支付宝的二维码，对方在支付宝里下单，然后需要周丽操作付款以流水的方式提高信用度，这样她先后五次在支付宝里转款，分别为18000元、6000元、9000元、4000元、6800元。然后，对方又让周丽打开她的电商平台账号，周丽看到账号里有四笔待付款，一共是7680元，她又把这四笔待付款订单付了款。

判决书披露的周丽的证言称：“然后我电话问对方男子什么时候能把钱退给我，对方男子说不用管了已经还完了。对方男子也没有和我提我买化妆品花费的108元什么时候退给我，我觉得不对劲了，于是我就报警了。我一共被骗了51480元。”

对卖家客服“钓鱼”

遭遇诈骗后，一个必然涉及的问题是：周丽的购物信息是如何泄露的？答案是黑客非法侵入了周丽购物商铺的后台系统，拷贝数据后出售。

判决书显示，周丽报案后一个多月，民警通过技术手段反查确定窃取公民信息的作案地点位于福建省龙岩市新罗区一座写字楼里，于是在去年“双11”后收网，抓捕了三名涉嫌侵犯公民个人信息罪的被告人。

被告人林建华和谢财安分别只有初中和小学文化，2018年8、9月间，两人预谋窃取公民个人信息售卖获取利益。

谢财安供述称，他在“猪八戒”网站上看到有人发布信息说可以写爬虫程序，于是他加入一个名为“深度软件订购群”的QQ群，找到一个昵称为“宝爸”的人，购买了一个仿冒周丽购物的那个知名电商平台的钓鱼网站和一套爬虫软件。

“宝爸”的真名是杨杭，也是一名“90后”，中专学历，事发前是苏州一家电子企业的员工。

购买了软件后，林建华和谢财安各出了三、四千块钱购买了两台电脑、一个上网无线终端、三张上网卡。两个人就在龙岩市新罗区适中镇中心村山脚下的一个老房子里面架设了这些设备，开始窃取电商平台上的数据。

据林建华供述，他注册了一个电商平台账号，把钓鱼链接发给平台上的卖家，这个钓鱼链接是一个伪装的商品链接，林建华让对方看一下这款商品，对方点开链接之后是一个假的电商平台账号。

“对方就以为是自己掉线了，然后对方会在假的京东页面上重新登录自己的账号、密码和验证码，这些账号、密码就会通过钓鱼网站的链接发送到我们钓鱼链接的管理后台，我们登录钓鱼网站的管理后台就可以拿到商家的用户名和密码。”林建华供述。

就这样，两人轻松登录了电商卖家的后台，开始窃取后台里的用户数据。窃取数据的工具是杨杭编写的一套爬虫软件，谢财安供述称，窃取的用户信息包括姓名、手机号、邮寄地址等内容。

在此期间，两人还会用到一款名为“向日葵”的软件，可以远程操控作案电脑，两人就可以使用手机远程查看正在爬取数据的电脑是否处于正常运行状态。

用这个办法，周丽购买化妆品的那个店铺11953条订单信息被窃取，其中就包括周丽。

判决书显示，不到半年时间内，被告人共使用过25个电商账号，通过爬虫软件共爬取信息33万余次（去重前数据）。

现金交易个人信息

杨杭供述称，他和林建华和谢财安商量好，“通过这个程序获取的商家信息，一个商家380元，后来有一段时间用不了了，我就帮他重新调试了一遍，调试完之后我们商量好每个商家400元，我通过这个程序大概一共获利1万元左右。他们大概获取了30个左右的商家信息。”

谢财安供述称，他们爬取信息的卖家大多是卖母婴产品、化妆品、药品的商铺，数量达20多家，且绝大部分是品牌官方旗舰店。

杨杭还留了一手。“对方使用我的软件共爬取了约20多万个订单信息，我把对方爬取的信息同步一份在我自己架设的网站上，对方每次启动软件都需要调用我的这个服务器，所以我能做到实时同步数据，同时记录了软件的登录日志、流量日志。”

拿到数据后，林建华和谢财安的变现手段是将其出售。两人首先进行了信息查重，他们将两个包含手机号的文档交给杨杭，杨杭供述称，他通过一个网站查询这些手机号是否为空号，“每次付费2分钱一个手机号，我收下家是5分钱一个手机号，总共查询过3万多个手机号”。

“我们将这些停机、空号的买家信息去掉后再进行去重，剩下的数据就可以卖给适中镇和龙岩市区的骗子了，我们卖数据收取的都是现金，一般都是让买数据的人将钱放在指定地点，然后我们去取。”谢财安供述称。

判决书显示，两人卖信息获利十五六万元。最终，三人均被判犯侵犯公民个人信息罪，获刑三年六个月至三年二个月不同，被处罚金共17万元。

周丽的遭遇和三名年轻人轻易“得手”海量个人信息，给“双11”购物安全敲响了警钟。事实上，此前多年“双11”后，公安部门都会发布预警，提醒用户警惕退款诈骗，如果接到网上购物退款的电话或短信等信息，一定要谨慎对待，切莫泄露银行卡账号、户名、动态验证码等个人信息。

（编辑：李博）