2011 (1)
2015 (202)
2018 (96)
2019 (96)
2020 (225)
2021 (151)
2023 (106)
牛經滄海
5/24/2024
下午1:52 , 接到一個電話,自稱是fidleity客服,問我有沒有在德州消費。我說沒有。他說,你的信用卡出問題了,他們已經denied那筆支出。然後說要換卡,問了我的生日以及社安號後4位。我說你是fidelity的嗎?以前這個卡被盜並不是fidelity處理。他說他是fidelity, 馬上從fidelity發個郵件過來。
我收到郵件,2:01. 我仔細看了域名,沒有看出破綻。他說是不是有個code xxxxxx, 我說是。此時我已經上了他的套了。真的認為他確實是fidelity的客服。他說要給你開個新的賬號,發個驗證碼給你。我說好的。我收到驗證碼,不知咋地話趕話就給了他。
他用這個code以及之前的個人信息,成功地開了一個fidelity brokerage 賬戶(我當然不知道, 還以為他在新開卡號)。
過了一會兒,2:31, 我發現我的fidelity 登錄不了。我打電話向fidelity求證上述anti fraudulent 電話是不是真的來自fidelity?客服查了一下回我說確實是fidelity鎖了我的賬戶。我說以前信用卡被盜用並沒有鎖我的fidelity brokerage 賬戶,因此不放心,想確認一下。客服解釋說,根據fraudulent涉及級別不同,可能鎖住不同範圍的賬戶。我覺得有些道理,放下電話。
到來4:44, 所有fidelity的賬戶還鎖著,感覺還是哪裏不對,再次電話fidelity。這次客服轉接給反詐部門,我才搞清楚信用卡沒有問題,咯噔一下,那問題大了。果不其然,是brokerage賬戶被別人拿走了。我自己正是促成更改賬戶的幫凶,因為我提供了驗證碼。
複盤整個過程,確實有可疑之處,我怎麽就著了他的道呢?一個驗證碼,一念之間,就被騙走了,對手實在太狡猾!
每次給fidelity客服打電話,他們都會發一次性密碼,而且要給他們讀回回去驗證身份。所以是哪兒不對了呢?
————————————————————-
區別在於,當你打電話給Fidelity時,對方要驗證你確實是你,所以要確認驗證碼,以防有人冒充是你。
但當對方主動打電話找你時,就不應該給對方驗證碼,因為你無法驗證對方是否是真貨。
總之,應對騙子就一句話: 對於凡是主動找你的,一律守口如瓶。然後自己主動上官網查資訊,打電話確認。
不是八路太狡猾,實在是偽軍太….
唉,騙子嚐試登陸你的賬戶進行操作,改密碼,轉賬之類。銀行為確保操作者是本人,會發個驗證碼給你綁定手機或電郵,很常見的操作。 你居然把它給騙子了! 如同把鑰匙給撬門的小偷。
大無語了。
這裏有一篇Fidelity 專門的文章,講述如何防止類似的詐騙的。
一模一樣的手法,看來上當的人挺多的。有些似是而非的網站名非常可以,都是騙子網站,千萬看仔細,別點進去。
https://***.fidelity.com/viewpoints/personal-finance/preventing-identity-theft#:~:text=victim%20of%20scams-,If%20you%20get%20an%20unrequested%20call%20or%20text%20asking%20for,official%20Fidelity%20app%20or%20website.
(1)對主動跟你交流的陌生人,不要完全信任。
(2)掛斷跟陌生人的聯係,回到你最熟悉的流程來,證實陌生人說的話是否可信。
安全認證可以分成兩個認證,(1)客戶要證明跟你交流的公司是真的 (2)公司要證明用戶是真的。
要證明(1)交流的公司是真的,有幾種辦法,a)用戶主動用https上知名的網站 b)用戶主動去打公司知名的電話。b)這個沒有a)安全,在特定情況下,無線電話塔都可能是假的。
收到電郵,能不能證明發信人來自真的公司呢?不行,即使電郵地址是對的也不行,任何人都可以設置發信人的地址,沒有認證過程。所以不要完全相信任何電郵的信息,製定能通過別的渠道證實。
收到電話,能不能相信對方是誰?當然不能。
別人給你發一個電話信息,要你來回讀,是用來證明2)用戶是真的,不要跟跟1)混淆:證明公司是真的。在1)公司是真的之前,不要做任何事情。如果是用戶主動打電話,用戶已經證明了1)公司是真的,對方發個電話信息要用戶回讀,是在做2)公司在證明用戶是真的。
我猜事情發生的過程是這樣的,黑客找到了牛經滄海的fidelity密碼和電話信息,他再log in之前假裝成fidelity工作人員先打電話,然後他用密碼log in,fidelity給牛經滄海的email發code,黑客要求回讀code,黑客順利打開賬戶。黑客利用了一般用戶對認證過程的混淆概念,看到fidelity發code是在黑客說話之後就認為一定是他發的。
如何證明一個主動給你打電話的人是真的客服人員,向他問在公司裏任何能找到他,然後掛斷電話,你要主動給公司公開的電話打電話,根據內部transfer找回到他才能有一定到可信度。為什麽不是完全的可信度?因為你的電話局域網可能被截了,或者他可能並不是公司裏的客服人員。通過https更安全。
希望對大家有點幫助。
1) 密碼也是絕對隱私,正常程序不可能有人問你要密碼, 萬一要你的密碼無疑就是騙子,
2) 直接問密碼容易被識破,所以有人會用APP來騙你輸入密碼。我就碰到過有偽造的Bank of America 網頁來騙用戶名和密碼。 如果你試圖登錄,它就會偷走你的用戶名和密碼,然後告訴你密碼出錯了。
3) 現在大多數金融機構和銀行除了密碼,還會設置“驗證碼”作為額外保護。 這樣,萬一你的用戶名和密碼都被偷了,驗證碼就是最後一道屏障。驗證碼通常發到手機上幾分鍾之後就失效,騙子不可能有你的手機,所以他還是操作不了你的賬戶。 這也就是為什麽“驗證碼”萬萬不能發給別人!
The email is real one.
The only problem is: It is NOT you who initiated this code request.
----------------------
I agree on the point. It is likely that the scammer obtained your personal information, initiated a request to fidelity, you got the email, and released the code to the scammer.
我經常收到電話說我們的amazon信用卡被盜,我立即掛了,我的卡不可能被盜。
So that never ever tell anyone your password or secure code, include the true customer service.
So that anyone who ask you for password or secure code is a cheater.
The only problem is : It is NOT you who initiated this code request.
Add our information to your contacts. Fidelity will only call you using a phone number listed on our website. Our emails will be sent from either @mail.fidelity.com or @fidelity.com