图说：犯罪嫌疑人图。普陀警方 图

一次普通的外卖叫餐，最后骑手不仅没上门，账户却扣款近千元，这究竟是怎么一回事？日前，上海普陀警方通过缜密侦查，成功捣毁了一利用“饿了么”订餐平台系统漏洞实施诈骗的犯罪团伙，抓获4名主要犯罪嫌疑人。案发后，在警方提醒下，“饿了么”订餐平台已对其后台漏洞进行了修补。

市民张先生今年1月中旬通过“饿了么”下单订餐。然而，订餐信息明明显示骑手已出发，左等右等就是未至，近半个小时后，手机上竟收到一条扣款近千元的消费信息。张先生随即向订餐平台反映情况，平台在梳理投诉后发现，类似情况在一段时间内激增，随即报警求助。

普陀警方接报后，立刻展开调查。经过对事发情况的梳理，发现张先生等人都曾在案发过程中接到过“订餐商铺”的来电，通过侦查，警方很快确认这是一起有组织的互联网诈骗案件，其背后是一横跨全国四地的诈骗团伙，最终民警分赴四地开展收网行动，先后抓获犯罪嫌疑人周某、谢某、孟某、温某等人。

通过进一步审讯，民警向记者揭晓了嫌疑人作案手法：原来，该团伙骨干成员常年钻研电商从业经验，利用订餐平台开设虚拟商户用作马甲，借助非法证件注册兼职送餐人员，以此获取外卖平台用户点餐信息。随后，团伙成员利用该订餐平台与第三方支付平台的相互关联，接收市民订单，诱骗用户打开支付软件，套取付款码下验证信息，在订餐平台后台更改用户订单金额，继而借由用户支付免密特点，利用更改后的权限授信，转走用户账户内余额。

值得注意的是，在该案中，违法人员绕过了市民日常有安全意识的支付二维码、短信验证码，转而利用了订餐平台更改订单环节的逻辑漏洞，故上当市民不少。据警方披露，仅上海地区，短短数月间，已有50多人被骗，涉案金额达数万元。

目前，犯罪嫌疑人周某、谢某、孟某、温某因涉嫌信用卡诈骗罪，经普陀区人民检察院批准，已被普陀警方执行逮捕，案件还在进一步审理中。

网络安全专家建议，市民在使用各类移动支付工具时，除留心付款码截图及支付信息验证码外，也需谨慎开通免密支付权限，如非必要，尽量关闭微信、支付宝及其它手机App绑定银行卡的“小额免密支付”功能。专家提醒，因该功能可以让用户在不输入密码的情况下完成支付，一旦有逻辑漏洞被犯罪分子掌握，可能造成账户资金危险。