Amazon“bug价”须警惕，或为“社会工程”之作

昨天在一些社交媒体上流传着一件所谓“亚马逊bug价”商品。这类事件已经不是第一次，所以网购经验丰富的笔者并无理会。但看到有一些网友仍然抱着“万一发货了呢”的心态去下单，笔者认为还是有必要说说为什么此类“bug价”可能存在巨大潜在风险，应当提高警惕。

当然，笔者并非专业人士，所了解的只是皮毛，如有错误欢迎指正。

首先注意到这件商品既不是由Amazon销售（Sold by Amazon），也不是由Amazon发货（Ship/Fulfill by Amazon）。且不论这件个案，此类商品日常就应当尽量避免，因为售后相当麻烦。从这个角度，至少应当选择第三方销售、Amazon发货的商品；销售、发货均为Amazon为最佳。

其次注意到，这个卖家刚刚才在亚马逊注册上货。因此这件“bug价”商品上架背后的动机就显得非常可疑了。那么，动机是什么？有人说，会不会是新店刷销量搞促销；还有人说，不发货可以举报。本站的读者群群友表示，举报没用，等3个月后收不到产品的人多了亚马逊才会封号；还有网友认为可能是想获取地址姓名这样的基本信息。笔者比较认同后一种说法，但不完全准确。笔者认为，这很可能是“社会工程”（Social Engineering，简称“社工”）的一环，目的是快速获取大量个人信息，发货概率比被陨石砸中还要小；而且是一次性短期操作，自然也不在乎被举报或者封号。

令人错愕和遗憾的是，某些自媒体不但对此毫无认识，还为了点击量这样的经济利益有意无意地参与了这个过程，增加了更多潜在受害者，笔者在此对这种只为私利、不负责任的传播行为表示强烈谴责。这里面还不排除有“社工”利用多数普通人“万一发货了呢”的心理，故意直接在社交媒体上传播散布这种信息。

什么是社会工程？这里放上CBC Marketplace很久以前做的一期非常生动的节目：

几位“社工”专家，只需要掌握极少看似“没什么大不了的”几项个人信息，通过一些普遍存在的技术（如软硬件漏洞）或者管理（如员工缺乏培训、监守自盗）上的漏洞，就可以近乎“空手套白狼”的方式完全掌握一个人的具体情况，看完令人不寒而栗。“空手套白狼”尚且如此，“精确匹配”的后果就更难以想象。远的不说，2021年就有新闻报道出有人盗用身份冒领CERB，受害者不得不先行填补这部分损失。

再举个例子，我们时不时就会看到诸如“XX公司数据库漏洞，大量用户信息泄露”这样的新闻。请注意，这样的事件尚且只是被披露出来的，还有很多不为人知、甚至连涉事企业都尚未察觉、可能还正在发生的数据泄露事件。于是就存在这样一种情况：“社工专家”们已经获得了你的部分个人信息，但不足以达成其目的，于是他们要通过其他途径获取另一部分个人信息，之后交叉比对，完成“社工”拼图。以本文开头为例，或许社工已经掌握了你的性别、生日等其他信息，通过这笔Amazon订单，社工又获取了你的地址，请你细品，这些信息是不是足以调取你的信用记录，甚至去办理包括信用卡在内的敏感金融业务了？

如今社会工程已经是一项规模远超想象的国际黑灰产业，整个链条分工无限细化，比如有的先各自去网上抓取数据，有的去“暗网”上买来数据进行交叉比对整合，有的再买来处理过的数据进行各种变现操作——你想得到、想不到的“交易”都可能是其中下游末端的一环；可能自己无意间还涉入其中、全无察觉。这也解释了为什么我们还时不时会听到诸如“一张从没带出门过的信用卡会被盗刷”这种离奇古怪的事。

笔者相信，有人看到这里一定会提出“信息时代每个人都是在裸奔”“个人信息早已不是什么秘密”这种观点来抬杠，但笔者仍要发出善意提醒，这种背后动机明显可疑、发货可能性无限接近于零、并且给你的敏感信息甚至财产带来巨大隐患的“bug价”一定要提高警惕，提高甄别能力，同时勿抱有任何侥幸心理！

（如果你觉得这篇文章可以提醒到你周围的朋友，欢迎分享转发本文到微信朋友圈。）