电子时代谨防网上诈骗
七天记者 颜宏
随着网络信息技术的发展以及电子支付的普及,各种形式的金融诈骗案例层出不穷,花样翻新,让人防不胜防。麦吉尔大学的W同学特意向本报记者讲述了刚刚遇到的一起电子转账诈骗案,提醒广大的华人读者注意。
今年8月1日,W同学在社交媒体的market place上发布了售卖一双乔丹运动鞋(Air Jordan)的广告,很快一个网名为“treezyhunchos”的人跟他联系购买,经过沟通,双方商定的价格为280加元,付款方式为e-transfer。W同学和买家约定在一个公共场所见面交易,在把鞋交给买家前,W同学特意确认转账成功,一切看起来都很正常。由于买家希望购买更多的鞋,而王W同学也有闲置的运动鞋,于是双方约定第二天再次交易,这次对方分别以240元和320元的价格又购买了两双鞋,交易过程和前次一样,看起来一切顺利。
但仅仅两天后,W同学的银行账户突然被锁,无法登陆。电话沟通也无法解决,W同学被要求必须亲自去开户的支行了解详情。到了支行的W同学被告知,他的银行之所以被锁,是因为涉及欺诈交易,买鞋人付给W同学的钱并非来自他自己的银行账户,而是盗用他人银行账户汇出的款,属欺诈行为,因此即使对方汇出的款项已经到了W同学的账户,银行也不会允许W同学取出。因为第一笔汇款的账户同样来自RBC银行的客户账户,该支行的经理表示这笔钱是一定要退给人家的,不能让自己的客户损失,而第二、三笔汇款的受害账户来自其他银行,要跟其他银行协商具体怎么办。这让W同学很不理解,自己是受害人,也是RBC的客户,难道自己的损失就不是损失吗?就没有途径弥补了吗?
为了能够找到骗子挽回自己的损失,W同学在报警后又跟骗子联系,说还有运动鞋出卖,意图和警察一道当场抓住骗子,可惜狡猾的骗子早有防备,比约定的时间提前到来,看到罪行败露后迅速逃跑,还对试图阻拦的W同学暴力相加,没有赶到现场警察帮助的W同学只能眼睁睁看着骗子跳上接应的车子逃走,并把记下的有关车辆信息交给警方。
事情已经过去了两周,但警方那边毫无消息,七天记者也根据W同学提供的报案档案编号向负责市中心治安事务的20号警察分局询问案件侦破进展。警方解释说当时出警的两名警察只负责采集信息,撰写报告,然后把报告交给负责欺诈的部门进行调查就算是完成了自己的工作,至于调查的进展情况则需要向他们查询。不过警方也好意提醒说这样的案子太平常了,天天都在发生,况且被骗金额也不大,应该不会优先调查,所以不要抱太大希望。记者随后给SPVM的欺诈部门打电话询问,得到的回答是调查还在进行中,不提供任何信息,如有进展会和当事人直接联系。
W同学几年前来到加拿大留学,并不是对本地社会一无所知的“小白”,对各种诈骗案亦有所耳闻并存着警醒,语言沟通上也不成问题却依然上当,这意味着骗子们的手段日渐隐蔽、复杂,即使加了小心依然可能被骗。
层出不穷的骗术
正如警方所说的,类似W同学遭遇到的诈骗很平常,每天都会发生几十、上百起,特别是在网购或者二手商品的买卖过程中。根据警方的说法,比较常见的诈骗方式是骗子先在网上售卖商品,通常还会把价格标的非常低,以此来吸引买家的注意。当买家表现出对骗子的商品有兴趣时,骗子会通过花言巧语施压或利诱买家通过E-transfer支付定金,买家若不肯付押金就威胁说优先卖给别人。但当买家电子转账支付定金后,骗子就如同“人间蒸发”一般消失了。在个别情况下,有的骗子还会随机告知买家一个虚假的取货地址,实际上买家永远拿不到商品,也拿不回钱。
而W同学的遭遇则是相反的案例,是受害者在网上出售物品,骗子则黑进别人的银行账户为自己的消费行为买单,类似于盗刷信用卡,这类诈骗行为多涉及近几年愈演愈烈的身份盗窃。
身份盗窃是指犯罪份子通过不法手段获得个人信息,并在本人不知情或者未经同意的情况下使用这些个人信息达到非法目的(例如金融欺诈)或损害其声誉。目前,身份盗窃可谓是网络罪犯分子的“金矿”,近些年频繁发生的个人信息数据信息泄露事件其实都和这个有关。最近的大规模个人数据泄露案是在2019年7月爆出的Capital One数据泄漏案,一名负责数据托管的工程师为了炫耀把约1.06亿信用卡客户的信息泄露,其中包括600万加拿大客户,很多加拿大人申请这个信用卡是因为该公司与Costco, Hudson’s Bay等知名商家长期合作,还是Costco的指定信用卡,所以涉及加拿大的客户多是Costco的会员。这也是这家公司在5年时间里发生的第三次大规模客户信息泄露事件,上两次分别发生在2014年和2017年。这之前一个月就是著名的加鼎银行(Mouvement Desjardins)数据盗窃案,这家北美最大信用合作社的一名内部员工为一己之私非法收集并泄露上百万客户的个人和企业信息,包括客户的姓名、地址、出生日期、社会保险号码、电子邮件地址、电话号码和交易习惯等。最终的受害人高达970万人,大部分(超过700万)客户都是魁省人,而其中还有近400万人曾经是加鼎银行的客户,在盗窃案发生时已经不再是该银行的客户,但其个人信息却依然被这家金融机构保留着,于是也成为这起数据泄漏案的受害者。造成较大危害的还有2017年9月发生的征信局Equifax黑客攻击案,被盗走超过1.43亿美国、加拿大和英国客户的个人信息。再加上以前发生的蒙特利尔银行、加拿大帝国商业银行以及加拿大航空公司的客户信息泄露案,一些信息专家估计所有加拿大成年人的个人信息都已经流传到网上,每个人都有可能成为潜在的身份盗窃受害者。
如此大规模的个人身份信息泄露为身份盗窃提供了无穷无尽的“信息源泉”,为前赴后继的电子时代“银行绑匪”提供了永无止境的犯罪手段。这些身份盗窃欺诈案不仅给受害者个人生活带来无数的困扰、不便以及财产损失,也给金融机构造成了重大损失。
加拿大反欺诈中心(Centre antifraud du Canada)数据显示﹐在北美平均每三秒就会发生一起与个人信息被盗相关的欺诈案,每年有大约2.7万名加拿大人报称身份被盗窃,而这只是冰山一角。新冠病毒疫情爆发以来,基于互联网的非法活动呈现明显增加态势,包括身份盗窃、网络诈骗、网络色情活动等等。针对联邦政府推出的慷慨而又不进行严格身份审查的CERB项目,都是网络诈骗的重灾区,犯罪份子使用他人身份冒领的诈骗行为一直层出不穷。而与网上诈骗活动猖獗形成鲜明对照的是打击力量的严重不足,无论是警方的人力还是资源配置都远远落后于现实的需要,以至于受害者在向专门负责涉及身份被盗调查的加拿大反欺诈中心报案时,被告知受疫情影响人手严重不足,而案发数量巨大,无法处理更多的欺诈案,建议这些欺诈受害者向本地的警察部门报案;本地的警察部门又表示警务繁忙或事情不紧急而拒绝受理,让受害者求告无门。
更令人讽刺的是,在现行的体制下,骗子行骗非常容易。只要那些骗子拿着你的个人信息,例如姓名、地址、生日、社会保险号码(SIN)、驾照、你母亲的婚前姓名等等,就可以轻易地通过电话或上网填表假冒你的身份,接管你的银行账户、开设新账户、转款、申请贷款和信用卡、购买贵重物品、开设手机账户、甚至抵押或卖掉你的房子……后果相当可怕。而那些身份被盗者若想恢复自己的真实身份、证实自己是身份盗窃的受害者却并不容易,这些受害者以及他们的家庭往往要面对庞大而僵化的官僚管理系统,连续几个星期、甚至几个月的交涉都没有结果,还被要求提供各种“奇葩证明”,让受害人心力交瘁。
前途渺茫的改进
身份信息泄漏造成的后果如此严重,那有没有办法避免自己成为身份盗窃的受害者?答案是不可能。即使民众加倍小心保护自己的个人信息,不被外人所知,但每个人都不可避免地与各种机构有联系:政府、学校、医院、工作单位、金融机构……都需要提供个人信息,而这些机构发生信息泄漏的话,所有个人采取的保护措施都是枉然。
在魁省加鼎银行数据泄漏案发生后,执政的CAQ政府曾在去年6月提出过一项代号为64的法案,以加强对个人信息数据的保护。如果能在今年9月份通过的话,这个法案会要求公共和私人机构严格保护个人数据,如发生未经授权的访问、使用、传播等行为将会受到严厉的处罚,罚款金额可在1.5万元到2500万元之间。但对那些个人信息已经被泄漏的受害者来说,这个法案则于事无补。目前比较常用的防范措施是开通TransUnion和Equifax的收费信用监控服务,这个监控服务包括每天对数据库进行检查,以检测客户文档中的任何异常信息和查询,比如你的信用突然发生重大变化,或者进行过可疑交易,再或者你的个人信息在被Equifax认定为欺诈的网站上被使用等等。一旦发现异常,客户会通过电子邮件或手机短信收到实时警报。如果发生了身份盗窃,Equifax的客户团队还会提供支持,帮助客户找回损失的信用。需要注意的是,Equifax也并非百分百安全,其系统也在2017年被黑客攻破,导致几乎每两个美国人中就有一个人的信息被泄露。还有一个办法是要求金融机构在自己的档案中添加欺诈警报,但每个机构的规定都不一样,需要和各自的开户机构联系。
一些信息安全专家认为,最终解决身份诈骗的办法可能是重建一套互联网下的身份识别系统。魁省政府也表示希望在2025年建立起一套个人数字身份系统,让政府以及各种机构能够识别每个人的身份。这套基于区块链技术的数字身份系统据说比特币等加密货币的交易安全性还高,截止目前已经投资了近4,200万元,最终的投资可能需要数十亿元。但实际上除了投资和区块链技术成熟度的问题外,还有很多亟待解决的具体问题,比如如何说服各种机构交出其对客户身份信息数据的控制权;如何做到安全准确地连接个人的物理身份与数字身份等等。
几个注意事项
数字身份毕竟还遥不可及,当下最重要的还是尽可能做到保护和防范,避免成为身份盗窃的受害者。首先要注意保护个人信息和密码,不要轻易泄露这些敏感信息。在现实生活中,妥善保管或者销毁含有个人信息的文件,室外信箱上锁;使用信用卡或者银行卡要注意柜员机或刷卡机是否有异常,输入密码时要遮挡,尽量不要在小店里使用;在网上付账或购物时,尽量不要使用公共网络,及时清空所有的缓存信息和浏览历史记录;注意分辨钓鱼邮件,不要轻易回复金融机构、社交媒体或招聘网站发来的陌生邮件或短信,更不要点击里面的链接,不管看起来多么像真的;如果长期出门,要找朋友帮忙取信或者到邮局申请自取服务,不要让信长期留在信箱里;搬家后要及时更改地址等。
其次要时刻关注自己的金融动态。每月收到银行账单或信用卡账单后,要仔细核对上面的所有交易情况,发现异常要及时和发卡机构联系;如果账单晚到或者不到,不要不当回事,及时和银行部门联系;如果可能设置银行转账或大笔数额交易警报,一旦发生大额交易,可及时获得相关信息;每年查一次自己的信用记录,看是否有异常,Equifax和Transunion都提供一年一次的免费查询服务。