2月2日,加拿大沃尔玛给 Bill Tomlinson发了一条奇怪的法语短信,他意识到可能被骗了。他不会说法语,也没下单过任何东西。
“我在这是怎么回事,一定是出问题了。”Tomlinson告诉 Go Public。
他登录了他的 Walmart.ca的账户,发现骗子正在使用账户内绑定的信用卡下单商品,并跨省派送至蒙特利尔。
有四份订单,都在同一天。其中两件是售价 $500元的哑铃,另外两件是售价 $250元的苹果电视。
沃尔玛自己取消了前三次订单,但 Tomlinson注意到第四次下单的苹果电视发货了。他立即打电话给沃尔玛公司,希望这家零售巨头退还订单。
然而,两天后,沃尔玛告诉他,商品已经被送到蒙特利尔,他需要自己去把钱要回来。
“他们说,我们已经无能为力。因为这个产品是在账户内下单的,并且是用你的信用卡支付的。该商品由我们送货,我们做了我们应该做的一切。”
他说,沃尔玛告诉他,他必须“和他的银行方交涉”,看银行是否会撤销这项收费。
独立金融诈骗专家 Vanessa Iafolla说,她每周都会接到好几个电话,询问如何在网上被骗后弥补损失。
Iafolla称:“任何提供在线销售服务,并让客户开立账户的公司都有责任保护客户账户安全。”
“我认为沃尔玛在这件事上真的是失职了。”
「不止一次可以拦截订单」
当 Tomlinson第一次给沃尔玛打电话时,他被告知,该公司的欺诈检测系统捕捉到了前三份订单,但没有发现第四份订单,在采取行动之前需要进行调查。
Tomlinson不理解这一延迟,因为所有的盗刷订单都是在同一天下单的相同产品,而公司已经知道前三个订单存在问题。
他还想知道为什么沃尔玛在标记诈骗行为后没有停止送货。Tomlinson说公司应当退还他的费用。
“他们有不止一次的机会来拦截订单。”
沃尔玛没有说明,是否在苹果电视交付到蒙特利尔的地址后进行跟进,或者为什么它的系统未能检测到第四笔诈骗订单。
Go Public想要访问该地址,但 Tomlinson要求沃尔玛锁定他的账户后,他就无法对该地址进行访问,沃尔玛也不愿提供细节。
沃尔玛告诉 Go Public,其系统“没有被攻破”,Tomlinson的账户是被“诈骗者”入侵了,“他通过客户的登录凭证获得了访问权限,而登录凭证在交易之前的某个时间点被泄漏了。”
该公司表示,不知道这些登录权限是何时或如何被泄露的。
「诈骗者如何获取在线账户」
与政府和企业合作的公司 LexisNexis Risk Solutions的诈骗和身份战略副总裁 Kimberly Sutherland表示,过去六个月里,“账户接管”事件的数量不断增多。
该公司一份名为“诈骗的真实成本(the True Cost of Fraud)”的调查报告发现,总体而言,加拿大零售商在防范诈骗攻击方面做得很差。
2021年,接受调查的电子商务零售商表示,他们阻止了约 4,860次攻击,还有 4,800起攻击未能阻止。
该调查还表明,自疫情开始以来,针对零售商的网络诈骗攻击正在增加。从 2020年到2021年,加拿大增加了 45%。
该报告基于对小型、中型和大型零售和电子商务公司的 1,118名风险和诈骗高管的调查。
Sutherland表示,诈骗者从被入侵的网站获取密码和凭证,然后在其他网站上重复使用,查看它们是否对多个网站账户有效。他们还会使用恶意软件,快速生成常见的用户和密码组合,进入用户的个人账户。
“在线账户面临的一大挑战是,人们倾向于在多个账户中使用相同的用户名和密码组合。如果一个账户遭到入侵攻击,其他账户也会跟着沦陷。”Sutherland说。
她对网购者的建议是:
删除你不再使用的在线帐户,包括消费者帐户和政府帐户。
使用强密码并经常更改。
不要为多个帐户设定相同的用户名和密码。
使用最强的身份验证方法(例如双因素身份验证,这通常需要通过短信或其他方式发送的验证码,以及密码来访问帐户)。
「沃尔玛的网络攻击问题」
沃尔玛称 Tomlinson的问题是由登陆凭证泄漏造成的,而不是网络攻击。但 Sutherland表示,各公司都在定期处理和应对此类攻击。
沃尔玛 2021年的年度报告称,该公司的网站和应用程序“经常受到网络攻击”,其中包括“试图获得未经授权的访问,以获取和滥用客户或会员的信息,以及支付信息。”
与 LexisNexis的调查类似,沃尔玛的报告表示,疫情让情况变得更糟。
由于更多的工作是远程完成的,沃尔玛的一些“服务和第三方服务提供商的系统”存在“有限的安全漏洞”。报告称,虽然这些措施对运营影响不大,但“不能保证将来会出现类似的结果。”
至于 Tomlinson,他确实拿回了他的钱。Go Public与沃尔玛取得联系后,该公司退还了苹果电视的费用。
他很高兴能拿回了钱,但仍然质疑沃尔玛的网络安全,并考虑是否会再次使用沃尔玛的网站或应用程序购物。
