「一手故事」是一檔收集許多親歷者故事的podcast,讓受訪者以第一人稱的方式分享自己的經歷與故事。節目第一季的主軸是我們日常中那些正悄悄改變、反映著某些微小趨勢的事,凍卵、元宇宙、寵物、超單身、同志、親密關係、新興職業……,在這些名詞之下,身處其中的人都有哪些故事?
上一篇跟讀者分享了一名54歲的女性,因為交友被詐騙了台幣700多萬的故事。這一篇同樣是跟詐騙有關,受害者是一名叫Vika的女性。
2022年5月,Vika遇上網路購物詐騙。由於在網路購物過程當中,不慎將信用卡授權資料交出來,被詐騙集團綁在7-11的open錢包當中,使得她的信用卡在短時間內被刷了19萬。起初Vika也不敢相信自己會遇上詐騙集團,不過因為她身邊剛好有位好友是資安工程師,於是跟著她一起釐清被詐騙的過程。他們發現了一些電子支付漏洞,以及現行法規的不足之處,於是Vika開始研究詐騙案件,主動聯繫詐騙案件的受害人,希望以自己的經歷幫助更多人。以下就是Vika的第一人稱口述故事,同時也收錄在「一手故事」Podcast第一季的第12集(本文內容經過整理,非podcast內容直翻文字)。
給出1次OTP驗證碼,就被盜刷8筆共19萬的金額
我叫Vika,是一個住在台北市的平凡上班族,過著跟大家差不多的朝九晚五生活,平時大部分時間都消耗在工作上,是一個非常依賴網購的人。
2022年5月28日下午5點46分,我記得很清楚,這是目前為止,一件改變我的人生的事情──我遇到詐騙了。在此之前我從來沒有留意過什麼詐騙新聞,也沒有想像過我會是一個詐騙的受害者。
當時芒果季快到了。我有一個朋友向我推薦了台東的芒果果農,說他們家的芒果品質很好,我就去果農粉專的貼文下面留言,告知我要買芒果、想買幾箱,不久之後我就收到一則私訊:「你是不是要買芒果?」
傳訊息給我的人並不是果農粉專本身,但他告訴我自己是小幫手,要跟我確認訂購資訊,麻煩我到一個線上表單填寫購買資訊,幾箱、幾盒、大果、小果,要寄到哪個地址,以及要用什麼包裝。當時我覺得看起來滿像一回事的,雖然我心裡的確閃過一個念頭,「對方會不會騙我?」於是我去了果農的粉絲專頁,私訊問他們「請問某某某(號稱小幫手的帳號)是不是你們的人?」但可能果農太忙,沒有即時回覆。加上我有點懶,想說不過買個芒果而已,是能怎樣?
在這種偷懶的心態之下,我開始填寫表單。匯款方式的部分選擇「信用卡支付」,刷卡對我來說的確比較方便,因為我買的金額滿大的。
接著,這個號稱小幫手的帳號跟我說之後會排單出貨,等果農收成,可能兩週採收一次之類的。我想說,那的確是信用卡支付會比較方便,於是我就給出信用卡資料。整個過程就跟一般網路購物流程一樣,先輸入16位數字的信用卡號、CVC碼以及驗證碼。輸入完之後,我收到一個刷了1塊錢的訊息。我問對方,這不是我消費的金額?對方跟我說,他們會等實際芒果要出貨的時候,才會跟我收實際的數字,先刷1塊錢只是要確認信用卡是可以刷的而已。我聽一聽覺得合理,就把收到的網路交易驗證碼(OTP)給對方。
當天下午5點46分,我忙著做家事,手機不在我旁邊,我的信用卡銀行(匯豐銀行)打電話過來,問我有沒有刷了總共8筆19萬的消費?我說沒有,不是我刷的。
坦白說,我當下並不知道我遇到詐騙,我沒有把買芒果這件事跟19萬的刷卡金額連在一起,我以為只是一個盜刷案,就是你根本沒做任何事,信用卡就被盜刷,我沒想到這件事跟詐騙有關係。後來我越想越不對勁,於是去問了這位小幫手,沒想到對方就直接封鎖我,我才知道我一定是遇到詐騙了。
但我完全搞不清楚這件事情怎麼會發生,雖然遭遇詐騙,但我也只給出了一次授權碼呀!為什麼會被刷了8筆總共19萬的金額?
鑽數位支付系統漏洞,把受害者信用卡綁在open錢包
當時,我正在跟一個資安工程師的朋友「貍貓」聊天,我跟他說我遇到詐騙了,現在要去警察局報案。我說,我只給出一次OTP驗證碼,不知為何對方可以盜刷8筆?
貍貓要我把手機畫面截圖給他看,他一看到1塊錢的訊息之後就告訴我,這是被綁在某個電子支付系統上面,綁卡成功後,對方就不需要你每次給OTP驗證碼。我唯一的綁卡經驗就是Apple Pay,記得綁卡時會送來一則訊息寫這是Apple Pay綁卡,成功後還會再發一則訊息說綁卡成功,如果不是你本人操作的話,請聯絡銀行。所以聽完貍貓的話,我很困惑,這到底是被綁在哪裡?
我知道在現行法規之下,我給出了OTP驗證碼,銀行都會要求受害者付錢,因為他們會說這是消費者自己授權的,所以我的想法是,如果我有機會攔到這一筆出貨,店家只需要取消交易,那我也不需要承擔這一筆19萬的費用。
第一時間我先打電話到銀行,問對方是在哪刷卡,刷了什麼東西?銀行告訴我,對方是刷7-11線上購物網,然後是整數盜刷,就是25,000、25,000、25,000的形式,我去7-11線上購物網看了一下,25,000到底可以買什麼東西?
原來,對方並不是在7-11的線上購物網上購物,他是把我的卡綁上open錢包之後,把掃碼支付的QR code截圖,傳給他的車手,讓不同車手到7-11臨櫃購買遊戲點數。畢竟截圖要傳很快,所以才有辦法3分鐘一刷,在不同的門市之間購買。也因為是購買遊戲點數,所以盜刷金額才會呈現整數狀態。
不專業的支付系統,怎麼讓人掉入詐騙陷阱?
確定自己遇上詐騙之後,Vika起先專注在釐清真相,等她完整了解案件來龍去脈之後,她第一時間的感受,就跟很多詐騙案的受害者一樣,都覺得非常自責。
我第一時間是非常自責的,就跟大部分受害者一樣,覺得我怎麼可以犯這麼蠢的錯,為什麼這個來聯絡我的人,明明不是粉專的帳號,為什麼我要相信他?
我是第一次遇到犯罪,也是第一次踏入警察局。一開始我也覺得有點羞恥,要去跟別人說我被騙了19萬,但其實我講出來之後,我另外一個台大畢業、在某知名外商工作,大家認為是高級知識分子的朋友私訊我說,他前陣子也被騙,是被一個釣魚網站詐騙,就是那種中華電信要付關稅包裹的詐騙手法。他說,但我沒有你這麼勇敢,我覺得實在太丟臉了,所以沒有跟任何人提起這件事,我也佩服你可以如此的坦然地講這件事情。
我覺得我很快能夠轉變想法的原因在於,我的朋友就是資安工程師,他的工作需要設計驗證流程,去設想一個系統可能會有怎樣的風險、要怎麼去防範。他第一時間就跟我說,他覺得這完全不是我的錯。他對這件事情非常憤怒,為什麼有人可以做出這麼不專業的支付系統,產生我這樣的受害者?
再來就是,一般正常的商家的確也會用刷1元的方式,驗證信用卡有沒有問題,等到實際出貨的時候才真的刷大額,實務上真的有店家這麼做,所以真的很難要求受害者看到1塊錢訊息,就立刻意識到說這是一個綁卡陷阱。
另一方面,銀行應該要有異常偵測系統。我相信大家可能都有過一些經驗,例如連續刷2筆大筆金額後,銀行打電話來確認這是不是本人交易,但我是被刷到8筆之後,銀行才打電話來給我。所以我覺得不光是支付系統本身,銀行本身的異常偵測系統也有問題。
我跟朋友貍貓很快就達成共識,這事情不管最後誰要負責任,就算銀行認賠,我們兩個也不希望就此罷手。我們倆很清楚知道,我們都是有知識可以釐清真相,然後也有人脈、資源爭取權益的人。我認識很多受害者,他們只知道自己被盜刷,但不知道這件事是怎麼發生的,在爭取權益上比我弱勢非常多。我要做的不只是討回19萬,而是希望整個流程被改進。
後來,我們收集到夠多受害者之後,下一步就寫信到立委辦公室,財政委員會是最接近這一塊的委員會。我寫信給幾個財政委員會的立委,同時把案件整理一下,這個案子就進入立委辦公室討論,要怎麼修改現行流程。
從受害者到助人者
事件發生後一個月,我試著把我的故事發到PPT的信用卡版。這段期間,我很認真研究電子支付法規、第三方支付法規,以及美國銀行是怎麼在後台做監測,避免像我們這樣綁卡連續盜刷的事件。我們受到很多同學幫助,有法學院的同學,在商學院的同學,在銀行的同學,把整個詐騙產業鏈整理一遍。
然而在信用卡版講述時,卻受到很大的衝擊。很多銀行的從業人員從銀行的角度指責我,為什麼要受人指使去一個不明網站?而且對方的帳號根本不是粉專帳號,為什麼會相信對方?平常我在同溫層裡太習慣,突然面對那樣的指責,有一種玻璃心碎滿地的感覺。不過貍貓是一個比我還要堅強、勇敢的人,他跟我說,站在一個資安工程師的立場,有非常多簡單的措施可以做,而且並不會影響支付的方便性。
其實我常常會跟朋友開玩笑說,我可能是被詐騙的天選之人,因為我是受害者當中相對有各方面資源的,有各個領域的朋友。坦白說,我可以用他們的資源幫我釐清一些事情,也因為這些資源,比較有機會去做一些倡議的工作。
從這件事之後,我開始研究非常多跟詐騙有關的政策。我去聽交友詐騙或投資詐騙的個案,也聽了其他國家的詐騙政策公聽會,想辦法跟立委辦公室溝通,把其他國家立法時考慮的點分享出來。簡單來說,其他國家的詐騙政策,都會認為金融機構有非常大的責任。
我現在每天都在網路上看各式各樣的詐騙案例,然後會私訊給對方,告訴他們如果是電子支付或網購類的受害者,要怎麼舉證會比較有利,有機會讓銀行賠償這筆款項。反正我是比較了解這一塊的人,我覺得能幫到這些人多少我就幫,至少可以促進受害者跟銀行之間有個公平對話的空間。
被騙錢或成為人頭戶?總有專門為你設下的騙局
Vika在被詐騙之後,除了盡力推動改變之外,她每天下班都會在網路各個社群當中查看詐騙案件,主動聯繫案件受害者,提供一些幫助。不過當她看到越來越多詐騙案之後,越來越覺得許多案件是非常複雜難解的。
對我來說,我比較震驚的是那些被騙人頭戶的受害者,他不是直接被騙錢,但可能認為他在貸款,對方跟他說需要帳戶跟印鑑,或是告訴他需要借用網銀帳戶幫忙匯工程款給另一個供應商,然後他就在整個過程裡不知不覺成了人頭戶。
現在詐騙集團的分工非常精細,他們有一群人是專門實施詐術,讓你以投資或交友這種名義把錢匯到某個帳戶的,另一組人專門騙人把帳戶提供給他們使用。在這當中,會有兩個受害者,一個是被騙錢的人,一個是被騙帳戶的人。在現在的法規之下,人頭戶要負的責任非常大,這對我來說是很難解的一個事情。
事實上我現在加入幾個網路詐騙的社團,每天就在看這些文章,我覺得這已經變成「月經文」,一天到晚就有人說自己是被騙人頭戶的受害者,然後很多被騙人頭戶的人,社經地位通常都比被騙錢的人更弱勢。被騙了600萬、1,000萬的人,通常也表示他有600萬、1,000萬的資產可以讓詐騙集團騙;但被騙人頭戶的人,往往不是這個狀況。我遇過身障人士被騙帳戶,但還是必須背起債務,因為是他要還受害者錢。
在詐騙社團裡這已經成為固定的戰文,有人會說,一個是被騙錢,一個被騙帳戶,大家能不能互相體諒?其實大家都是被騙的人,沒有必要讓一個犯蠢的人去抓一個可憐人。但被騙錢的受害者也會說,這就是我的權利,我怎麼知道這是真的人頭戶還是假的人頭戶,反正都要負責。
我聽過的個案太多了,所以我知道詐騙這件事情,只是你有沒有遇上適合你的局,以及對方到底要用多少的時間成本騙你而已。我不會說我以後一定不會再遇上,但基本上我也不到很擔心了。
事實上,我覺得詐騙比我們想得還要近。如果你身邊有很多被詐騙的人的經驗,你自然就就會知道,這件事是時時刻刻都在發生,我們的確必須提高警覺。但某種程度上,我也不希望我們的社會會有這種氛圍,我覺得信任成本是很高的,如果這個社會彼此都不信任別人,每天連想買個芒果也要思考對方是不是詐騙的話,對社會也不健康。
透過微小的努力,產生一些改變
在經歷過一切事件後,Vika有段話想送給讀者和自己。
從被詐騙以來,我們投了很多的努力,希望協助受害者跟金融機構之間有一個公平的機會。你可以透過「一手故事」聯絡到我,如果你或你周圍的人有這樣的經歷、覺得需要幫助的話,我非常樂意幫忙。
對我自己的部分,因為我是基督徒,我始終相信很多事情都是神的安排,我相信我們可以透過自己的努力改變一些事情,所以我會繼續在這條路上求神帶領,看我們能夠做到什麼地步。
分享圖文請註明出處,未經本站同意不得轉載
瀏覽次數:5528
