昨天在一些社交媒体上流传着一件所谓“亚马逊bug价”商品。这类事件已经不是第一次,所以网购经验丰富的笔者并无理会。但看到有一些网友仍然抱着“万一发货了呢”的心态去下单,笔者认为还是有必要说说为什么此类“bug价”可能存在巨大潜在风险,应当提高警惕。
当然,笔者并非专业人士,所了解的只是皮毛,如有错误欢迎指正。首先注意到这件商品既不是由Amazon销售(Sold by Amazon),也不是由Amazon发货(Ship/Fulfill by Amazon)。且不论这件个案,此类商品日常就应当尽量避免,因为售后相当麻烦。从这个角度,至少应当选择第三方销售、Amazon发货的商品;销售、发货均为Amazon为最佳。
其次注意到,这个卖家刚刚才在亚马逊注册上货。因此这件“bug价”商品上架背后的动机就显得非常可疑了。那么,动机是什么?有人说,会不会是新店刷销量搞促销;还有人说,不发货可以举报。本站的读者群群友表示,举报没用,等3个月后收不到产品的人多了亚马逊才会封号;还有网友认为可能是想获取地址姓名这样的基本信息。笔者比较认同后一种说法,但不完全准确。笔者认为,这很可能是“社会工程”(Social Engineering,简称“社工”)的一环,目的是快速获取大量个人信息,发货概率比被陨石砸中还要小;而且是一次性短期操作,自然也不在乎被举报或者封号。
令人错愕和遗憾的是,某些自媒体不但对此毫无认识,还为了点击量这样的经济利益有意无意地参与了这个过程,增加了更多潜在受害者,笔者在此对这种只为私利、不负责任的传播行为表示强烈谴责。这里面还不排除有“社工”利用多数普通人“万一发货了呢”的心理,故意直接在社交媒体上传播散布这种信息。
什么是社会工程?这里放上CBC Marketplace很久以前做的一期非常生动的节目:
几位“社工”专家,只需要掌握极少看似“没什么大不了的”几项个人信息,通过一些普遍存在的技术(如软硬件漏洞)或者管理(如员工缺乏培训、监守自盗)上的漏洞,就可以近乎“空手套白狼”的方式完全掌握一个人的具体情况,看完令人不寒而栗。“空手套白狼”尚且如此,“精确匹配”的后果就更难以想象。远的不说,2021年就有新闻报道出有人盗用身份冒领CERB,受害者不得不先行填补这部分损失。
再举个例子,我们时不时就会看到诸如“XX公司数据库漏洞,大量用户信息泄露”这样的新闻。请注意,这样的事件尚且只是被披露出来的,还有很多不为人知、甚至连涉事企业都尚未察觉、可能还正在发生的数据泄露事件。于是就存在这样一种情况:“社工专家”们已经获得了你的部分个人信息,但不足以达成其目的,于是他们要通过其他途径获取另一部分个人信息,之后交叉比对,完成“社工”拼图。以本文开头为例,或许社工已经掌握了你的性别、生日等其他信息,通过这笔Amazon订单,社工又获取了你的地址,请你细品,这些信息是不是足以调取你的信用记录,甚至去办理包括信用卡在内的敏感金融业务了?
如今社会工程已经是一项规模远超想象的国际黑灰产业,整个链条分工无限细化,比如有的先各自去网上抓取数据,有的去“暗网”上买来数据进行交叉比对整合,有的再买来处理过的数据进行各种变现操作——你想得到、想不到的“交易”都可能是其中下游末端的一环;可能自己无意间还涉入其中、全无察觉。这也解释了为什么我们还时不时会听到诸如“一张从没带出门过的信用卡会被盗刷”这种离奇古怪的事。
笔者相信,有人看到这里一定会提出“信息时代每个人都是在裸奔”“个人信息早已不是什么秘密”这种观点来抬杠,但笔者仍要发出善意提醒,这种背后动机明显可疑、发货可能性无限接近于零、并且给你的敏感信息甚至财产带来巨大隐患的“bug价”一定要提高警惕,提高甄别能力,同时勿抱有任何侥幸心理!
(如果你觉得这篇文章可以提醒到你周围的朋友,欢迎分享转发本文到微信朋友圈。)
没有评论: