您的位置:职业餐饮网>>餐饮资讯>>行业监管>>正文

“饿了么”后台有漏洞,假骑手套取验证信息改订单谋取钱财

外卖有诈!假骑手套取验证信息更改订单 谨慎开通免密支付权限

图说:犯罪嫌疑人图。普陀警方 图

一次普通的外卖叫餐,最后骑手不仅没上门,账户却扣款近千元,这究竟是怎么一回事?日前,上海普陀警方通过缜密侦查,成功捣毁了一利用“饿了么”订餐平台系统漏洞实施诈骗的犯罪团伙,抓获4名主要犯罪嫌疑人。案发后,在警方提醒下,“饿了么”订餐平台已对其后台漏洞进行了修补。

市民张先生今年1月中旬通过“饿了么”下单订餐。然而,订餐信息明明显示骑手已出发,左等右等就是未至,近半个小时后,手机上竟收到一条扣款近千元的消费信息。张先生随即向订餐平台反映情况,平台在梳理投诉后发现,类似情况在一段时间内激增,随即报警求助。

普陀警方接报后,立刻展开调查。经过对事发情况的梳理,发现张先生等人都曾在案发过程中接到过“订餐商铺”的来电,通过侦查,警方很快确认这是一起有组织的互联网诈骗案件,其背后是一横跨全国四地的诈骗团伙,最终民警分赴四地开展收网行动,先后抓获犯罪嫌疑人周某、谢某、孟某、温某等人。

通过进一步审讯,民警向记者揭晓了嫌疑人作案手法:原来,该团伙骨干成员常年钻研电商从业经验,利用订餐平台开设虚拟商户用作马甲,借助非法证件注册兼职送餐人员,以此获取外卖平台用户点餐信息。随后,团伙成员利用该订餐平台与第三方支付平台的相互关联,接收市民订单,诱骗用户打开支付软件,套取付款码下验证信息,在订餐平台后台更改用户订单金额,继而借由用户支付免密特点,利用更改后的权限授信,转走用户账户内余额。

值得注意的是,在该案中,违法人员绕过了市民日常有安全意识的支付二维码、短信验证码,转而利用了订餐平台更改订单环节的逻辑漏洞,故上当市民不少。据警方披露,仅上海地区,短短数月间,已有50多人被骗,涉案金额达数万元。

目前,犯罪嫌疑人周某、谢某、孟某、温某因涉嫌信用卡诈骗罪,经普陀区人民检察院批准,已被普陀警方执行逮捕,案件还在进一步审理中。

网络安全专家建议,市民在使用各类移动支付工具时,除留心付款码截图及支付信息验证码外,也需谨慎开通免密支付权限,如非必要,尽量关闭微信、支付宝及其它手机App绑定银行卡的“小额免密支付”功能。专家提醒,因该功能可以让用户在不输入密码的情况下完成支付,一旦有逻辑漏洞被犯罪分子掌握,可能造成账户资金危险。