前陣子有客戶想架購物車網站,沒想到在指定的範本網站付費買了範本後,卻無法下載。
為了確認不是操作錯誤引起的問題,付了兩次費用,也請客人操作一次,結果都一樣無法下載,才確定被騙了。
過去自己及客戶買了無數次範本,沒想到第一次遇到這樣的事,覺得有必要紀錄一下事件始末,歸納所有可疑行為的模式,提醒讀者們小心避免遇雷。
一、購買經過
疑點 1 一開始客戶指定購買「Raintemplates」這個網站的購物車範本: 看完頁面資訊當下是有疑問的,這未免太佛心了吧,購物車範本通常 USD 20~30 起跳,結果該範本原價 USD 25,特價只要 USD 1.9,一般的心態應該都是 "太好~賺到了!"。 疑點 2 下單時發現原來我以前在這網站買過,大概是幫客戶買的,已經有註冊過帳號,所以當下是比較放心的,而且可以使用 PayPal 付款,不必擔心填寫信用卡號有被盜刷的風險。 但很快就遇到了麻煩,因為很久以前註冊的,早就忘了密碼。然而點擊「忘記密碼」的按鈕,要求這網站取回密碼時,卻一直沒收到郵件,所以內心開始遲疑,會不會這網站的某些服務功能早已停止運作?(後來也確定都停止運作,因為怎麼填寫聯絡表單都不會回應) 疑點 3 這網站要結帳必須註冊,不得已只好重新註冊帳號,但遇到另一個更引起我懷疑之處,系統要求建立的密碼規則比較複雜,包含英文大小寫及數字,也不准設定簡單的字串。 這非常不尋常,因為這網站並不知名,而通常只有市佔率非常高的服務,才會要求建立安全度相當高的密碼規則。 這讓我開始有警覺會不會有可能是釣魚行為,利用複雜的密碼規則誘使使用者設定與「其他重要線上服務相同的密碼」? 疑點 4 註冊完使用 PayPal 扣款後,結果沒寄發交易成功信,也沒出現「下載」按鈕,一時之間不曉得是不是哪裡操作錯誤,導致沒有交易成功。 因為 USD 1.9 不貴,乾脆重來又下單了一次,結果仍是一樣,開始懷疑是詐騙行為了。 疑點 5 於是問問客戶有沒有 PayPal 帳號,請客戶操作購買一次試試看,結果依然不會出現「下載」按鈕,至此可以確定這是詐騙網站。二、事後處置
1. 防止被駭 其實被騙事小,只不過是損失一點小錢,這個事件我最擔心的環節是「要求註冊帳號密碼」,對於比較沒有資安警覺的使用者來說,這裡很有可能會翻船翻很大。 當確立是詐騙事件後,我稍微分析一下該網站的犯罪模式,認為其重點有二:- 如果使用者選擇刷卡,該網站就有機會取得卡號資訊,得以進行盜刷
- 如果使用者註冊的 email、密碼與其他重要服務相同,該網站就有機會駭入該使用者的其他重要服務帳號
三、總結
最後從這件事總結一下如何避免網路購物被詐騙:- 如果要線上刷卡,一律只能在業界知名、龍頭的網站刷,否則很有可能被盜刷。
- 不夠知名的網站只能使用「業界知名、龍頭的第三方支付」,例如 PayPal,萬一出了事還有一道防火牆
- 在不夠知名的網站線上購物,最好先做身家背景調查,閱讀「關於我」頁面、查該網站的聯絡 email
- 註冊帳號密碼時,絕對不可使用跟重要帳號一樣的密碼
更多「Blogger 範本」相關文章:
沒有留言:
張貼留言注意事項:
◎ 勾選「通知我」可收到後續回覆的mail!
◎ 請在相關文章留言,與文章無關的主題可至「Blogger 社團」提問。
◎ 請避免使用 Safari 瀏覽器,否則無法登入 Google 帳號留言(只能匿名留言)!
◎ 提問若無法提供足夠的資訊供判斷,可能會被無視。建議先參考這篇「Blogger 提問技巧及注意事項」。
◎ CSS 相關問題非免費諮詢,建議使用「Chrome 開發人員工具」尋找答案。
◎ 手機版相關問題請參考「Blogger 行動版範本的特質」→「三、行動版範本不一定能執行網頁版工具」;或參考「Blogger 行動版範本修改技巧 」,或本站 Blogger 行動版標籤相關文章。
◎ 非官方範本問題、或貴站為商業網站,請參考「Blogger 免費諮詢 + 付費諮詢」
◎ 若是使用官方 RWD 範本,請參考「Blogger 推出全新自適應 RWD 官方範本及佈景主題」→ 不建議對範本進行修改!
◎ 若留言要輸入語法,"<"、">"這兩個符號請用其他符號代替,否則語法會消失!
◎ 為了過濾垃圾留言,所有留言不會即時發佈,請稍待片刻。
◎ 本站「已關閉自刪留言功能」。