牛经沧海

牛经沧海 名博

被骗记:对手实在太狡猾

牛经沧海 (2024-05-24 15:43:37) 评论 (30)

牛经沧海

5/24/2024

下午1:52 , 接到一个电话,自称是fidleity客服,问我有没有在德州消费。我说没有。他说,你的信用卡出问题了,他们已经denied那笔支出。然后说要换卡,问了我的生日以及社安号后4位。我说你是fidelity的吗?以前这个卡被盗并不是fidelity处理。他说他是fidelity, 马上从fidelity发个邮件过来。

我收到邮件,2:01. 我仔细看了域名,没有看出破绽。他说是不是有个code xxxxxx, 我说是。此时我已经上了他的套了。真的认为他确实是fidelity的客服。他说要给你开个新的账号,发个验证码给你。我说好的。我收到验证码,不知咋地话赶话就给了他。

他用这个code以及之前的个人信息,成功地开了一个fidelity brokerage 账户(我当然不知道, 还以为他在新开卡号)。

过了一会儿,2:31, 我发现我的fidelity 登录不了。我打电话向fidelity求证上述anti fraudulent 电话是不是真的来自fidelity?客服查了一下回我说确实是fidelity锁了我的账户。我说以前信用卡被盗用并没有锁我的fidelity brokerage 账户,因此不放心,想确认一下。客服解释说,根据fraudulent涉及级别不同,可能锁住不同范围的账户。我觉得有些道理,放下电话。

到来4:44, 所有fidelity的账户还锁着,感觉还是哪里不对,再次电话fidelity。这次客服转接给反诈部门,我才搞清楚信用卡没有问题,咯噔一下,那问题大了。果不其然,是brokerage账户被别人拿走了。我自己正是促成更改账户的帮凶,因为我提供了验证码。

复盘整个过程,确实有可疑之处,我怎么就着了他的道呢?一个验证码,一念之间,就被骗走了,对手实在太狡猾!

 

评论 (30)

Sugar88

是什么口音的人打的电话啊

Sugar88

问了我的生日以及社安号后4位??? ??

joan2006us

回复 '爱夏夜' 的评论 : 谢谢指点迷津。

爱夏夜

joan2006us 发表评论于 2024-05-25 15:41:11
每次给fidelity客服打电话,他们都会发一次性密码,而且要给他们读回回去验证身份。所以是哪儿不对了呢?
————————————————————-
区别在于,当你打电话给Fidelity时,对方要验证你确实是你,所以要确认验证码,以防有人冒充是你。
但当对方主动打电话找你时,就不应该给对方验证码,因为你无法验证对方是否是真货。

总之,应对骗子就一句话: 对于凡是主动找你的,一律守口如瓶。然后自己主动上官网查资讯,打电话确认。

cowwoman

好奇,你回油管里双击发件人会是什么名字?

BeijingGirl1

谢谢分享。 好危险啊,brokerage 账户被人拿走会被转钱的, 幸亏你及时发现了。 这个 email 地址博主大意了。 @mail.X.com, 不会是X, 我们公司security training 的时候都有这个讲解。

swan2004

的确很无语. 居然把验证码发给陌生人!!
不是八路太狡猾,实在是伪军太….
唉,骗子尝试登陆你的账户进行操作,改密码,转账之类。银行为确保操作者是本人,会发个验证码给你绑定手机或电邮,很常见的操作。 你居然把它给骗子了! 如同把钥匙给撬门的小偷。
大无语了。

爱夏夜

现在很少有骗子直接要密码,社安号之类的低级骗术了。
这里有一篇Fidelity 专门的文章,讲述如何防止类似的诈骗的。
一模一样的手法,看来上当的人挺多的。有些似是而非的网站名非常可以,都是骗子网站,千万看仔细,别点进去。

https://***.fidelity.com/viewpoints/personal-finance/preventing-identity-theft#:~:text=victim%20of%20scams-,If%20you%20get%20an%20unrequested%20call%20or%20text%20asking%20for,official%20Fidelity%20app%20or%20website.

goingplace

借此地问个问题,上次我想在local的网站上卖东西,很快手机上收到一个短信说,要证实一下是否是真的,对方给了我一个Google的验证码,5个数字,要我输入。我立即上网search了,说这是hacker。如果我输了,有什么后果?

GandalfOld

上贴可能有太多的技术细节,对大多数人,比较简化的做法是:
(1)对主动跟你交流的陌生人,不要完全信任。
(2)挂断跟陌生人的联系,回到你最熟悉的流程来,证实陌生人说的话是否可信。

GandalfOld

我是个码工,对安全认证有点发言权。
安全认证可以分成两个认证,(1)客户要证明跟你交流的公司是真的 (2)公司要证明用户是真的。
要证明(1)交流的公司是真的,有几种办法,a)用户主动用https上知名的网站 b)用户主动去打公司知名的电话。b)这个没有a)安全,在特定情况下,无线电话塔都可能是假的。

收到电邮,能不能证明发信人来自真的公司呢?不行,即使电邮地址是对的也不行,任何人都可以设置发信人的地址,没有认证过程。所以不要完全相信任何电邮的信息,制定能通过别的渠道证实。

收到电话,能不能相信对方是谁?当然不能。

别人给你发一个电话信息,要你来回读,是用来证明2)用户是真的,不要跟跟1)混淆:证明公司是真的。在1)公司是真的之前,不要做任何事情。如果是用户主动打电话,用户已经证明了1)公司是真的,对方发个电话信息要用户回读,是在做2)公司在证明用户是真的。

我猜事情发生的过程是这样的,黑客找到了牛经沧海的fidelity密码和电话信息,他再log in之前假装成fidelity工作人员先打电话,然后他用密码log in,fidelity给牛经沧海的email发code,黑客要求回读code,黑客顺利打开账户。黑客利用了一般用户对认证过程的混淆概念,看到fidelity发code是在黑客说话之后就认为一定是他发的。

如何证明一个主动给你打电话的人是真的客服人员,向他问在公司里任何能找到他,然后挂断电话,你要主动给公司公开的电话打电话,根据内部transfer找回到他才能有一定到可信度。为什么不是完全的可信度?因为你的电话局域网可能被截了,或者他可能并不是公司里的客服人员。通过https更安全。

希望对大家有点帮助。

iask

关于密码:
1) 密码也是绝对隐私,正常程序不可能有人问你要密码, 万一要你的密码无疑就是骗子,
2) 直接问密码容易被识破,所以有人会用APP来骗你输入密码。我就碰到过有伪造的Bank of America 网页来骗用户名和密码。 如果你试图登录,它就会偷走你的用户名和密码,然后告诉你密码出错了。
3) 现在大多数金融机构和银行除了密码,还会设置“验证码”作为额外保护。 这样,万一你的用户名和密码都被偷了,验证码就是最后一道屏障。验证码通常发到手机上几分钟之后就失效,骗子不可能有你的手机,所以他还是操作不了你的账户。 这也就是为什么“验证码”万万不能发给别人!

iask

最严重的BUG出在验证码。因为“验证码”是在验证做该操作的是你本人,而不是其他冒充你的人。 所以,任何正常程序都不可能向你要验证码。 向你要验证码的人一定是个骗子。

南方乡巴佬

free3d 发表评论于 2024-05-25 18:22:38
The email is real one.
The only problem is: It is NOT you who initiated this code request.
----------------------
I agree on the point. It is likely that the scammer obtained your personal information, initiated a request to fidelity, you got the email, and released the code to the scammer.

雪狗2014

太可怕了。 一般都是让你自己输码

goingplace

信用卡被盗应该是银行email问你有没有花过这笔钱?因为他们怀疑,如果你花的,什么都不用做,如果不是,你需要告诉他们,他们可以拒付,而且现在你的卡在网上买东西立即port出来。
我经常收到电话说我们的amazon信用卡被盗,我立即挂了,我的卡不可能被盗。

free3d

In current days systems, ever never need your password or your secure code to provide to human being for any reasons. System can do all password identify on SYSTEM only.

So that never ever tell anyone your password or secure code, include the true customer service.
So that anyone who ask you for password or secure code is a cheater.

free3d

The email is real one.
The only problem is : It is NOT you who initiated this code request.

扭曲时代

你怎么在电话上开帐户,并且将验证码给对方?

joan2006us

每次给fidelity客服打电话,他们都会发一次性密码,而且要给他们读回回去验证身份。所以是哪儿不对了呢?

tanjiang10

骗子专骗老人,哎,你老了啊!

玻璃坊

Fidelity.Investments@mail.fidelity.com应该是Fidelity的电邮,但是也许显示的不是真正的地址。如果把鼠标移到这个电邮上,会不会显示隐藏的诈骗电邮地址?

we recently got scammed as well. we searched Google for Apple tech support, it turned out the telephone was from a fake Apple company. they did awful things on us in the name of tech support.

玻璃坊

这个来自官网:https://www.fidelity.com/learning-center/personal-finance/improve-digital-security

Add our information to your contacts. Fidelity will only call you using a phone number listed on our website. Our emails will be sent from either @mail.fidelity.com or @fidelity.com

世界是公平的

几乎每周都接到骗子的手机短信,至于电话,不认识的一般不接. 电子邮件骗子更是不理睬

jewmm

请看chatgpt AI的回答: As an internet fraud department representative of Fidelity, I can confirm that any legitimate email communication from Fidelity Investments would come from an official domain, typically "@fidelity.com." An email address with the domain "@mail.fidelity.com" could potentially be fraudulent.

jewmm

问题出在对方的邮箱@mail.fidelity.com, 这个大概率是骗子,正常应该是的@fidelity.com发;出来的邮件。

灵动的双子

从不接陌生电话,如有紧急事情他们会留言。没有什么事情是需要立刻解决的,即使接了电话也可以放下电话,登陆账户检查后再评断。

北京_01link

永远不能分享OCT, 一次性密码,切切。任何公司的客服都不会向客户索取这个密码。基本常识,罪犯一点儿也不狡猾。只要一问密码,必是骗子。

玻璃坊

如果是诈骗,域名怎么会没问题呢?