2011 (1)
2015 (202)
2018 (96)
2019 (96)
2020 (225)
2021 (151)
2023 (106)
牛经沧海
5/24/2024
下午1:52 , 接到一个电话,自称是fidleity客服,问我有没有在德州消费。我说没有。他说,你的信用卡出问题了,他们已经denied那笔支出。然后说要换卡,问了我的生日以及社安号后4位。我说你是fidelity的吗?以前这个卡被盗并不是fidelity处理。他说他是fidelity, 马上从fidelity发个邮件过来。
我收到邮件,2:01. 我仔细看了域名,没有看出破绽。他说是不是有个code xxxxxx, 我说是。此时我已经上了他的套了。真的认为他确实是fidelity的客服。他说要给你开个新的账号,发个验证码给你。我说好的。我收到验证码,不知咋地话赶话就给了他。
他用这个code以及之前的个人信息,成功地开了一个fidelity brokerage 账户(我当然不知道, 还以为他在新开卡号)。
过了一会儿,2:31, 我发现我的fidelity 登录不了。我打电话向fidelity求证上述anti fraudulent 电话是不是真的来自fidelity?客服查了一下回我说确实是fidelity锁了我的账户。我说以前信用卡被盗用并没有锁我的fidelity brokerage 账户,因此不放心,想确认一下。客服解释说,根据fraudulent涉及级别不同,可能锁住不同范围的账户。我觉得有些道理,放下电话。
到来4:44, 所有fidelity的账户还锁着,感觉还是哪里不对,再次电话fidelity。这次客服转接给反诈部门,我才搞清楚信用卡没有问题,咯噔一下,那问题大了。果不其然,是brokerage账户被别人拿走了。我自己正是促成更改账户的帮凶,因为我提供了验证码。
复盘整个过程,确实有可疑之处,我怎么就着了他的道呢?一个验证码,一念之间,就被骗走了,对手实在太狡猾!
每次给fidelity客服打电话,他们都会发一次性密码,而且要给他们读回回去验证身份。所以是哪儿不对了呢?
————————————————————-
区别在于,当你打电话给Fidelity时,对方要验证你确实是你,所以要确认验证码,以防有人冒充是你。
但当对方主动打电话找你时,就不应该给对方验证码,因为你无法验证对方是否是真货。
总之,应对骗子就一句话: 对于凡是主动找你的,一律守口如瓶。然后自己主动上官网查资讯,打电话确认。
不是八路太狡猾,实在是伪军太….
唉,骗子尝试登陆你的账户进行操作,改密码,转账之类。银行为确保操作者是本人,会发个验证码给你绑定手机或电邮,很常见的操作。 你居然把它给骗子了! 如同把钥匙给撬门的小偷。
大无语了。
这里有一篇Fidelity 专门的文章,讲述如何防止类似的诈骗的。
一模一样的手法,看来上当的人挺多的。有些似是而非的网站名非常可以,都是骗子网站,千万看仔细,别点进去。
https://***.fidelity.com/viewpoints/personal-finance/preventing-identity-theft#:~:text=victim%20of%20scams-,If%20you%20get%20an%20unrequested%20call%20or%20text%20asking%20for,official%20Fidelity%20app%20or%20website.
(1)对主动跟你交流的陌生人,不要完全信任。
(2)挂断跟陌生人的联系,回到你最熟悉的流程来,证实陌生人说的话是否可信。
安全认证可以分成两个认证,(1)客户要证明跟你交流的公司是真的 (2)公司要证明用户是真的。
要证明(1)交流的公司是真的,有几种办法,a)用户主动用https上知名的网站 b)用户主动去打公司知名的电话。b)这个没有a)安全,在特定情况下,无线电话塔都可能是假的。
收到电邮,能不能证明发信人来自真的公司呢?不行,即使电邮地址是对的也不行,任何人都可以设置发信人的地址,没有认证过程。所以不要完全相信任何电邮的信息,制定能通过别的渠道证实。
收到电话,能不能相信对方是谁?当然不能。
别人给你发一个电话信息,要你来回读,是用来证明2)用户是真的,不要跟跟1)混淆:证明公司是真的。在1)公司是真的之前,不要做任何事情。如果是用户主动打电话,用户已经证明了1)公司是真的,对方发个电话信息要用户回读,是在做2)公司在证明用户是真的。
我猜事情发生的过程是这样的,黑客找到了牛经沧海的fidelity密码和电话信息,他再log in之前假装成fidelity工作人员先打电话,然后他用密码log in,fidelity给牛经沧海的email发code,黑客要求回读code,黑客顺利打开账户。黑客利用了一般用户对认证过程的混淆概念,看到fidelity发code是在黑客说话之后就认为一定是他发的。
如何证明一个主动给你打电话的人是真的客服人员,向他问在公司里任何能找到他,然后挂断电话,你要主动给公司公开的电话打电话,根据内部transfer找回到他才能有一定到可信度。为什么不是完全的可信度?因为你的电话局域网可能被截了,或者他可能并不是公司里的客服人员。通过https更安全。
希望对大家有点帮助。
1) 密码也是绝对隐私,正常程序不可能有人问你要密码, 万一要你的密码无疑就是骗子,
2) 直接问密码容易被识破,所以有人会用APP来骗你输入密码。我就碰到过有伪造的Bank of America 网页来骗用户名和密码。 如果你试图登录,它就会偷走你的用户名和密码,然后告诉你密码出错了。
3) 现在大多数金融机构和银行除了密码,还会设置“验证码”作为额外保护。 这样,万一你的用户名和密码都被偷了,验证码就是最后一道屏障。验证码通常发到手机上几分钟之后就失效,骗子不可能有你的手机,所以他还是操作不了你的账户。 这也就是为什么“验证码”万万不能发给别人!
The email is real one.
The only problem is: It is NOT you who initiated this code request.
----------------------
I agree on the point. It is likely that the scammer obtained your personal information, initiated a request to fidelity, you got the email, and released the code to the scammer.
我经常收到电话说我们的amazon信用卡被盗,我立即挂了,我的卡不可能被盗。
So that never ever tell anyone your password or secure code, include the true customer service.
So that anyone who ask you for password or secure code is a cheater.
The only problem is : It is NOT you who initiated this code request.
Add our information to your contacts. Fidelity will only call you using a phone number listed on our website. Our emails will be sent from either @mail.fidelity.com or @fidelity.com