诈骗、盗提,拜托警方和媒体跟进一下
两天内我收到五通诈骗电话,如果我相信了也许就会演变成盗提。我的同事差点中招,对方假冒惯用的清洁公司催账,误导他下载恶意软件骗取密码,所幸银行自动侦测到不寻常交易,及时制止。此外,盗提新闻不断,加上蹭热度的网媒煽风点火,使得人心惶惶。
防诈过去都从用户角度来谈,且来看看其他层面。假设你被盗提了,你觉得谁最害怕?你固然很怕,但银行可能比你更怕。除核弹发射站外,大概最关注资讯安全的要数金融业了,他们掌握万千客户的血汗,稍有差池不是受千夫所指就是遭五马分尸。银行账户有密码保护和双重认证,再加上内部的人工智慧侦测系统,要骗银行难过骗上帝。若真有漏洞,能盗提一人就能盗提千人,银行怕得很。
你可知道其中一门诈骗学问居然叫做“社会工程学”(Social Engineering)?名词多好听,意思是利用人的心理和惯性行为来行骗。引述凯文·米特尼克在著作《反欺骗的艺术》中的例子,比方说你要进入别人的办公室,但没有门禁卡,怎么办呢?你双手抱着一大堆文件,跟在其他人后头,很可能就会有绅士为你开门。想凭车牌查车主是谁?假扮警察打电话给警局,用上行内术语,对方可能就不疑有他提供资料。米特尼克曾是恶名昭彰的骇客,曾入狱五年。
目前能突破银行防线的办法都离不开社会工程学,专门对付资安最弱一环,即是一般用户。我们自己固然要懂得防诈,但还有两个单位做的还不够:一是警方,二是媒体,拜托你们处理一下。
如果你用安卓手机,去看看Google Activity会捏一把冷汗。何时开关机、搜寻了什么、用过什么app、去过哪里,谷歌巨细靡遗地通通记录。试想象警方从来电号码掌握了这些资讯,要挖到机主行踪何难?每天几千通诈骗电话,相信连警察自己都接过;就算没有,大可用谷歌表格或其他管道向民众收集诈骗电话号码。
电讯公司可提供通话资料,若有庭令谷歌也乐意和警方合作,警察每天吊几个嫌疑犯回警局喝茶,谁还敢随便加入诈骗业?至于不幸受骗或被盗提的受害者,钱总得转到某个目标账户,账户主人躲不开责任。照理说这种满是数码线索的骗案应该很容易侦查才对,诈骗又怎会越来越猖獗呢?难道警察没做工?我不知道,因为媒体没有告诉我。
媒体乐于报导耸动的新闻,谁谁谁又不见了好几万,读者纷纷转发,流量节节攀升。但你有没有发现这类新闻都在受害者的惨况和控诉中打住,没有下文。究竟银行方面说法如何?警方调查结果如何?很可能盗提和内鬼无关,都是个人疏忽罢了;如果媒体不跟进,民众只会继续恐慌和乱猜,没有醒觉到保护账户安全自己也有责任。如果媒体不跟进,我们不知道警方究竟在打击诈骗方面采取了什么主动措施,也没有阻吓作用。
警方是有做工的,大前年破解线上诈骗集团,在赛城捉了千人。可那是前年的事了,之后呢?
2022.06刊于南洋商报