Email被別人拿去註冊購物網站！？

　　事情是這樣的：某天我一如往常的登入信箱，發現多了兩封來自我完全不知道的網站寄來的信，而且還提到「我訂購的商品」並附上訂購單編號！？

　　點開信件，可以看到第一封信是由AliExpress寄出，是一封訂購確認信(Order Confirmation)，信中提到已確認我的訂購單，並附上商品內容，是個不到1美元的東西；而收件地址看起來完全就是寄不到的那種，舉例：ABC, 123456, XXX, XXX，看起來像是美國的地址，但是那個州並沒有那個市，感覺就像是澎湖縣信義區這樣的突兀 (信義區在台北市)。

　　第二封信則是通知訂購的商品已經出貨，信中跟第一封一樣有提供一些按鈕，可以讓我追蹤我的訂購單等等。除了這兩封信以外，後續該網站又寄給我一些行銷信，推廣「我可能會感興趣」的商品以及促銷商品等等。

　　我當時的第一個反應是試圖點信中提供的按鈕連結，事後想想，萬一該信件從頭到尾都是假的，那不就可能因為點了錯誤導向的連結而連上釣魚網站？所以建議還是先針對寄信給你的人做一點功課，比如應該將AliExpress這個關鍵字丟進搜尋引擎了解一下是否為合法網站；然後再進一步確認Email中提供的連結確實是以此網站開頭。

　　當時我點了連結之後，幾乎所有的動作都要求我先登入該網站，就連想要線上聯絡客服，告知其實並不是我本人註冊了這個帳號，也必須先登入；但現在的問題就在於：是別人拿我的Email去註冊的，我根本就不知道密碼是什麼，要如何登入？

　　這邊還有一些額外環節是跟帳號安全有關的，比如：是不是其實這個常使用的信箱早就被盜用了？是不是電腦被裝了木馬程式等等。大家可以用這個Google搜尋關鍵字，了解一下各種情況：email被註冊購物網站。但因為我有定期改密碼的習慣，且查看我帳號的使用紀錄，並沒有額外的異常登入通知；且電腦有裝防毒軟體，應該是可以排除整個被盜的可能性。

　　看了PTT的幾篇討論，有人提到有些購物網站為了讓消費者快速開始消費，因此直接跳過Email驗證這一步，這也是為什麼我沒有收到任何認證碼，我的信箱就被別人拿去註冊的原因；因為該人根本不需要有該信箱的存取權，就可以拿我的信箱去註冊！？說到這裡，大家應該知道這樣的購物網站可能整體的安全流程設計有問題，應該慎思是否要在上面購物並提供卡號、個人資訊給該網站。

　　若用英文關鍵字也可找到許多討論串，而且可以發現有很多相關關鍵字也常被拿來搜尋：someone used my email to sign up。搜尋時我正好讀到這篇文章：Scammers used my email as a spam address (Ken Bonny, 2020/01/27)，作者也收到同樣的購物網站寄來的訂購信，而且他的信箱跟我的信箱有個共通點，就是裡面都包含.(dot)，比如：ABC.123，但是我們從該購物網站收到的信箱地址卻都省略了那個「點」符號，舉例：正確的信箱ABC.123@mail.com，但是實際收到信中的收件者：ABC123@mail.com。真好奇這樣是怎麼寄信成功的，看來是該購物網站內部仍有留存.正確的位置，但是寄出來的信卻自動忽略.這個符號？如此的不精確跟自動刪去更讓人加深對此網站的疑慮。

　　文中作者並提到後來那人用他的帳號下訂，但購物車裡的商品都少於20歐元，如此的小額度可以跳過許多檢查機制，讓商品可以在未付款的情況下就直接出貨；這個跟我的情況有點像，被訂購的商品金額也是少於1美元。而作者的收件地址在法國，他查了地圖看起來是一片玉米田，且作者的帳號被註冊(2020/01)跟我遇到的情況(2022/06)一樣：沒有在申請時先發驗證信確認該人確實為Email持有者，直接允許其以該Email註冊帳號。

　　讀完這些資訊，也因此確定了我的作法：搶回「我的」帳號的主導權！既然我的Email並沒有被盜用，那就表示只有我收的到信。因此我登入了該購物網站，點選忘記密碼(Forgot Password)，該網站寄了驗證碼到我的信箱，我立刻重設高強度密碼 (可以用Google關鍵字：strong random password，可找到許多可以自動產生高強度密碼的網站)，反正我也不打算長期使用該網站，密碼不需要是我有記憶的。

　　接著，我終於可以登入該購物網站一探究竟，確實看到由別人下的那筆訂單顯示為已經在運送中；我找到了可以聯絡賣方的訊息發送位置，用英文告知他們別人用我的Email註冊並且下了訂單，請他們協助取消這筆訂單 (若英文不確定怎麼寫，可以用Google翻譯將中文翻成英文：https://translate.google.com/)。在當天稍晚，賣方回覆將會取消該筆訂單。我同時檢查了我的購物車，尚無其他清單，除了這一筆以外所幸也沒有其它訂單。

　　之後我沒有再收到新的訂購商品通知 (除了該購物網站仍持續寄廣告信給我以外)，我也不再登入該購物網站，畢竟我本來根本就不知道該網站，為什麼要一直登入，產生一種我好像是熱切使用者的假象呢？

　　幾天後，我再度想起這件事，想說登入該網站看看是不是有那筆「別人的訂單」的進一步訊息，這次很有趣的，我倒是被該網站告知我的帳號有異常活動 (unusual activity in your account)，原因可能是從別的裝置或是地點登入，因此我的帳號已被暫時鎖住 (temporarily locked)。有鑑於這幾天我並沒有使用該站，所以可以推論「別人」試圖繼續使用這個帳號。

　　該網站的下一步是請我輸入手機號碼，以重啟我的帳號 (Reopen your account)，由於申請帳號的根本不是我，我根本就沒有使用此網站的需求，且由這一連串的事件已經大概可以知道此購物網站的運作及檢驗方式，當然更不能把手機號碼外流給此網站。何況，在不知道冒用帳號者身分的情況下，我們也無從得知冒用者跟購物網站之間的關係，有沒有可能冒用者是在被默許的情況下創造網站的熱門訂購流量？(雖然寄不到、廠商也可能收不到錢)

　　所以我就讓這個並非由我申請的帳號繼續鎖住了，或許這比起刪除帳號是個更好的選擇，畢竟刪除了還是有可能再次被冒用，被鎖住則相當於凍結，反而無法再運作。

Copyright © 2022 JavaSparrowK All rights reserved.
版權所有‧謝絕轉載