近日,Costco 被传出信用卡盗刷事件,随后,在其向顾客发出的邮件中,Costco 承认在芝加哥的店内发现了 5 个信用卡盗刷设备,可能会影响到在这期间购物的顾客 - 他们的银行卡、信用卡消息可能被窃取。
因为 Costco 是最受广大华人欢迎的零售商,所以这件事一出,各大华人媒体、自媒体头版头条报导,在华人圈掀起了轩然大波,好多华人不知所措,不知道要去哪里购物了。
基叔认为,实在大可不必把焦点放在 Costco 身上,更不要因此不去 Costco 买东西,反而,有更需要我们关注的事情:
- Costco 被查出受影响的店并不多,影响范围并不是全美。当然我不是说这不值得关注和谨慎,而是美国的信用卡盗用非常猖獗,JP Morgan 的报告表明,在 2020 年,86%的消费者都经历过盗刷或身份盗窃。有太多的盗刷风险点,而大零售商被偷安盗刷器肯定只是凤毛菱角,你在其他很多地方被盗的可能性比在 Costco 还大。
- 从 Costco 的声明来看,此类盗卡设备窃取的是信用卡号、姓名、邮编、CVV, 也就是信用卡侧录技术 (Skimming), 这种手法是用侧录器 (skimmer) 侧录卡号和信用卡内码,或是在刷卡机上植入芯片,芯片会自动记录信用卡的数据,再用来制做假卡,是一种相对比较过时的技术,一般用在餐厅和加油站这种流动性高的地方。
- 这类的盗刷,因为获得的消息比较“孤立”,唯一能做的就是盗刷,而没法结合其他敏感个人消息造成更多更大的麻烦。孤立盗刷找银行 dispute 相对简单,但是如果手机号、银行网上帐户被盗,钱被转走,甚至房子变成了别人的,解决起来要麻烦的多(后面我们会详细讲)。更大麻烦的往往是计划更周祥,消息更充分的身份盗窃引起的。
- 要相信商家比你花更多的时间反欺诈,因为在美国,欺诈的损失几乎不会让消费者承担(除非你没发现),小部分是银行承担,绝大部分是商家承担。
我们还是简单说一下如果防范、处理盗刷先
盗刷会不会影响信用分数?
一个原则:尽速处理,一切安心。如果担心有自己没发现的盗刷,可以订阅信用机构的信用报告(这个也是一种发现身份盗窃的预防方式)。现在还有很多的第三方工具,比单一机构的 Fraud Alert 更为强大,除了可以 monitor 三个机构的数据,还可以检查房子的 title,更改地址记录,甚至防病毒等等,文末我们会做一些推荐。
如何预防盗刷:
- 尽量使用芯片卡或者触碰卡,比较安全。现在大部分新发的卡都至少支持芯片卡。如果你现在的卡不支持,可以询问银行是否可以更换。
- 养成定期看信用卡帐单的习惯,最好是每周1-2次。且最好每消费完一笔金额,就登录帐户核实消费纪录;若有发现异样马上通报银行。大额、境外消费、网络消费建议设置自动通知。
- 警觉钓鱼诈骗 (Phishing)。只要是要你透露个人消息或是信用卡帐号的,一律警觉。有些诈骗集团还会以假乱真,假装自己是一些正经机构(比如做个和美国银行网站长得一模一样的网站)来骗你的个人消息,建议奇奇怪怪的域名一概忽略。
- 银行帐单、信用卡帐单、信用卡消费收据要碎光/撕掉,或是直接 "Go Paperless" 不再寄发纸本帐单,一切电子化。不要的信用卡也要剪成小碎片并分开丢掉。
被盗刷后的处理:
- 如果有明显不是自己消费的记录,不要只是单纯的 Dispute, 一定要向银行、信用卡公司报失,换新卡。
- 如果是整个钱包都被偷了,就更复杂一些,需要先报警,再挂失,最后通知信用机构,具体步骤可以参考这个攻略:砸车贼越来越猖狂,亲历车被砸的咕噜小编附送你不能忽略的预防和善后攻略。
接下来我们讲一下更复杂,更可怕的情况
简单讲就是窃取你更全面的消息,然后通过更周密的操作盗取你的邮箱、银行账号、手机号、甚至更多。
不要以为不会发生在你身上,基叔身边每年都会发生 1-2 起这样的事故,尤其如果发生在中美两头跑的人身上,发现和解决都会复杂很多很多很多。
受害人石头哥:被开了10多张信用卡、转走46万美金
我尽量把事情说得简单一些:
- 第一步:石头哥的房产经纪的邮箱被黑了,邮箱里有当时帮石头哥买房时查的石头哥的信用记录。这个记录里有很多重要消息,包括石头哥的社安号、过去的住址、在哪些银行开户、有哪些债务等等。同时,黑客有他们的通信记录,也得到了石头哥的邮箱地址等更多消息。科普一下这些消息对坏人有什么用处:
- 入侵网上银行帐户。很多银行帐户『找回密码、更换邮箱』的时候,用来验证身份的消息都在里面。坏人可以用这些消息来侵入你的网上银行帐户。
- 更改 Billing Address。同时,银行账号里更改 Billing Address 的时候也会问到这些消息。更改 Billing Address 后,新申请的信用卡可以寄到另一个地址(通常也是肉鸡地址,不是坏人真正的地址)。
- 偷窃电话,用于接收验证码。美国在不同运营商切换的时候是可以不用换电话号码的,坏人拿着受害者的社安号就可以去电信公司申请把受害者的手机号切换到自己的手机上,而很多银行大额转帐的时候是需要手机号的(例如 Bank of America 的 Safepass)
- 有些账号的异地登录验证、找回密码也可以用手机号。
- 第二步:接着,坏人趁石头哥还没有发现,做了这么几件可怕的事:
- 用石头哥的社安号在网上先后申请了10多张信用卡。
- 同时申请了2张 Debit Card(借记卡)。我们通常认为在网上是不能申请借记卡的,但其实有些银行是允许的,这个 Debit Card 坏人应该是用来从其他受害者那里转帐用的,而不是坑石头哥用的 ,也就是说就算你没钱,你可能也会变成“肉鸡”。
- 入侵了石头哥的网上银行帐户(支票帐户、个人信用卡帐户、公司信用卡帐户),更改了 Billing Address,并把石头哥价值$2000的信用卡积分转走。
- 根据我的分析,坏人应该还有尝试将石头哥的手机号切换到自己的手机上,但没有成功,因为石头哥的电话号码不是用自己的社安号申请的。电话号码被盗的悲剧曾经发生在我另一个朋友身上,这里就不多讲了。
- 用 Wire Transfer 的方式,将石头哥公司的 46 万现金转出。这里顺便科普一下,银行对外转帐有几种:其中一种是 Wire Transfer,另一种是普通的 Transfer。Wire Transfer 一般没有当天金额限制,但是没法即时到帐,有些银行为了保证安全,会要求在增加汇款对象的时候进行手机验证,但显然石头哥的账号没有这样限制。此外,石头哥的邮箱在事发前1-2天每天收到几千封垃圾邮件,应该是坏人为了麻痹石头哥,让石头哥在邮件堆里找不到 Wire Transfer 的提示邮件。好在石头哥是一个细心的人,及时发现这笔交易,打电话去银行追回。
- 坏人这次没有使用的方式,是普通 Transfer,因为坏人没有偷到石头哥的手机号。普通 Transfer 一般有按天的金额限制,比如 Bank of America 是$1000/天,如果要增加,可以增加手机验证(SafePass),无论是新增收款人,还是转帐,都必须用手机验证。看到这里是不是一身冷汗?如果石头哥的银行账号和手机号同时被盗,那么坏人就可以即时把石头哥的钱全部即时转走,那要追回就很麻烦了。
- 接下来的几天,就是石头哥痛苦地打电话去银行取消假信用卡、改地址的过程。每次他解决完一张,坏人就又申请一张,最后他只好把自己的信用冻结(Security Freeze/Credit Freeze,即未经授权的人无法查找自己的信用记录 - 开信用卡是一定要查找信用记录的)。他每改一次密码,坏人就又给他改回来(因为坏人有改密码需要的全部消息)。
总结一下,坏人偷走你的信用记录,他了解到的消息再加上完美缜密的规划,是足以让他在盗你帐户里的钱的速度超过你补救的速度的,非常可怕。然而,我们对信用数据被盗多少有些无能为力,因为买车、买房、邮箱被窃等很多时候都有可能造成信用数据外泄,再加上 Equifax 前几年的数据泄露,将近有一半美国人数据被盗,我们的信用数据不再安全。
那么如何尽量防止石头哥的事情发生呢,基叔有如下建议:
- 邮箱密码一定要复杂,难猜,能加上的安全选项都加上(Two Way Authentication 什么的)。
- 在每个开户银行申请一个 Verbal Password: Verbal Password 是一个只有你知道的密码,一经申请,在打电话到银行改地址、修改密码的时候,即便坏人有你的各种消息,但没有你的 Verbal Password,他也做不成这个事情。
- Fraud Alert 是每次有人查找你的信用的时候都给你发一个警报,是我比较建议的方式(尤其是中美两头跑的人)。现在还有很多的第三方工具,比单一机构的 Fraud Alert 更为强大,除了可以 monitor 三个机构的数据,还可以检查房子的 title,更改地址记录,甚至防病毒等等,可以点击下面的链接了解👇🏻
- 亲友之间互用 SSN 申请电话号码,例如老公用老婆的 SSN 申请,老婆用老公的 SSN 申请,这样至少可以杜绝电话号码被盗的情况。
- 不要多个帐户共享同一个密码,尽量用复杂、随机的密码。更多在网上保护隐私的诀窍看这个攻略:住处、电话、亲戚,隐私消息全部被这网站公开,我该怎么办?