广州的胡女士在淘宝经营了一家两金冠的女装店铺,新年回来开张没几天,突然出现很多下了单的买家要求退款。这些买家纷纷表示收到自称是胡女士店铺客服的电话,电话里的“客服”能准确报出买家的订单时间、商品名称等订单信息,说衣服质量存在问题,请买家点击“客服”发来短信里的退款链接退款;这些买家其实是接到了诈骗电话,其中很多人损失惨重,有个买家被骗了5万元。2016.3.1起胡女士的店铺被这些骗子害得很惨,每天的新增订单有一半以上都申请了退款,店铺小二每天忙于答复买家退款和投诉应接不暇,店铺无法正常经营。
到底胡女士的订单信息是怎么泄露出去的呢?胡女士多次电话阿里平台客服寻求帮助。在阿里神盾局小二的帮助下,胡女士梳理了店铺近期管理和所有可疑环节,最终问题锁定在近期招进来的一个新员工黄某身上。黄某是个90后,春节后刚来到胡女士家店铺工作当一名售前服务小二。平时看起来,这个小伙子还蛮踏实肯干,黄某每天都提前半个小时到公司,中午同事们去吃饭了他还在电脑前“勤奋”工作。可是谁也没有想到,醉翁之意不在酒,他只是想在网店做“卧底”。所谓的“卧底”,就是每天盗取客户的交易信息,短短5天,黄某已经出售了7000多条!
胡女士将黄某扭送公安机关,在警察蜀黍的询问下,黄某交代春节期间在网上认识了一个网友,对方是专门收购淘宝、天猫等网店的客户交易信息的,只要潜入电商企业后台,盗取客户交易信息给他们,就能谋利。
就这样,他每天提前半小时上班、午休时间继续工作,把客户信息导出,再转交给“师父”。短短5天,黄某非法出售客户信息7000余条,从中谋取暴利。
一:总结常见内鬼情形
(1)新人面试装木马
一些“内鬼”假装来应聘,在面试过程中接触商家电脑,趁卖家不注意插U盘安装木马程序,然后偷偷溜走。
(2)新人假上班,真内鬼
由于有些“内鬼”在面试过程中没有接触到电脑,为了演的更逼真,甚至在卖家上班几天后,拿到了工作账号后,再偷偷登陆系统下载订单数据。
(3)老员工受不住外部诱惑,被拉下水
黑产人员一直网络上向卖家客服小二散播小广告,例如“高价收购订单信息”等。有些网店的老员工缺乏信息安全教育和法律常识,不了解泄露客户订单信息是非常严重的违法行为,经不住金钱诱惑就盗取客户订单数据出售,成为诈骗分子的帮凶。
二:商家的责任
(1)新员工入职做好身份认证:严格核实新员工身份证等身份信息,建议使用阿里官方推出的商家子账号实人认证服务,核准每个客服的实人信息。
(2)面试环节全程监控:需准备面试专用的电脑和专用子账号给面试者使用,面试时需有人全程陪同,如遇异常行为请及时制止。
(3)做好帐户权限管理和风险排查:对订单信息详情访问和导出下载的高危功能谨慎赋权。定期检查订单信息访问和导出的行为日志,及时发现异常情况。
(4)加强人员管理和信息安全教育:留心观察员工是否有异常行为(如非工作时间上班),对店铺员工定期做好防止客户交易信息泄露的相关培训和教育,加强员工的法律意识。
(5)如果遇到交易信息泄露、买家被诈骗的情况,请及时反馈给淘宝,链接:http://archer.taobao.com/myservice/report/wangwangReport.htm?spm=0.0.0.0.0MGfiZ
本文整理于互联网,如有侵权,请联系email:kf@53shop.com 进行删除处理。
