遭遇钓鱼
-
鱼叉式网络钓鱼(spearphishing)通常是指通过电子邮件、电话短信、社交网群等手段,骗取受害者的个人信息、资料。今天下班后的遭遇,也可以称得上是 spearphishing。
下班之后,有些私事要处理。此时接到一个电话,来电显示是 (800) 388-2200。电话里一位略带印度口音的男子,用熟练的英语说,他是 Citi Bank(花旗银行)的工作人员,问我是不是刚在网上用尾数 8964 的信用卡了,有一笔 $2900.61 的交易。我不记得有这么一张信用卡,翻出唯一一张 Citi 的信用卡,尾数根本不对,就回答说没有,完全不知道有这张卡的存在。
几个来回问答下来,对方告诉我,这显然是个 Identity Theft Fraud(身份盗窃欺诈)案例,要换他们的 Fraud Department(欺诈防治部)来跟我谈。
换了一位小哥,还是略带一点印度口音,开始问我各种问题,语气显得很专业。问我最近有没有网购、有没有加入啥俱乐部组织之类、有没有注册自动付账,提到电商大家亚马逊、阿里巴巴、天猫之类,提到移动电话商家 AT&T、Verizon、等等最近的数据泄露,说希望帮助我搞清楚个人信息资料可能是怎样泄露出去的。我一一回答,反问他,你们银行发给信用卡,必须得有申请者完整的社安号吧?他回答说,应该是的,他要去问清楚这个卡是怎么批准的。
过了两秒钟,他回来说,他部门头头说,这张卡是在花旗银行上海分行申请的,三月四日申请,三月十四日批准。然后说,他们跟我联系,实际上是因为有人用这张卡,在 GunsAmerica.com 网上订购四支枪械,触发了国土安全部,DHS 联系信用卡发行银行,银行才联系我。
然后,他说 DHS 只给两个小时期限,如果这个案子不得到妥善解决,我可能会遭受 DHS 追查,搞不好会被冻结所有银行账户,在他们彻底查清楚之前,会有各种麻烦。
他让我立即向警察保安,立案调查身份盗窃欺诈犯罪。给了我他的名字 Danny M.、他的工号 AED56653 和电子邮件地址 Spoof@citi.com,让我保安是明确告诉警察给他们送一个电子邮件拷贝,同时,Citi 防欺诈这个案子的编号是 CRW185079,证明我确实报案了,他们会转告 DHS,以防事件进一步恶化。说完一切,还让我把所有的这些给他复述一边,证明我确实都用笔记录下来了。
又过了数秒,这位 Danny 对我说,他的部门头头觉得这个案子问题严重,说因为卡是在上海申请、发放的,我必须向上海警方报案。我说这有点麻烦,我人不在上海,那么大个城市,我不知道向哪个部门报案。过了几秒,Danny 说,他们头头说 Citi 可以为此提供帮助,通过他们的国际 24x7 直接通话,接通上海公安,不用我花一分钱。
然后 Danny 问我,说上海公安的人英语可能不咋滴,有没有问题?我说没问题,我会说汉语。
过了一小会儿,电话里真的响起了电话振铃。三声铃响后,电话里先响起一段录音,什么“上海……奉贤……公安……”,然后一个男声问道:喂?! 我回答,你好!我是某某某。需要向你报案,有人偷窃我的个人身份信息资料,申请信用卡……对方似乎有点摸不着头脑,反问我,“你说什么?”
这时,电话不知怎么断了。
这时,我用谷歌搜了一下 Citi Bank fraud department phone number,找到一个信用卡欺诈报案的电话,拨了过去。几经周折,跳过了录音电话系统,接听电话的女士(又是一个略带印度口音)问我 security question,我说我不知道,手边没有笔记,但是我已经有一个信用卡欺诈的案子,我需要问清情况。
她给我找来一位处理信用卡欺诈案的男性 Robert,我把前面记录的细节一一向他复述,对方嗯、啊、OK 了一番,显得并不完全清楚我在说什么。
于是,我干脆直接问他,他的系统有没有编号 CRW185079 的这么个案子?是不是我说得这一切完全是胡扯?
他回答说,他找不到这个案子。他可以用我的社安号找到我的信用卡账号,我说不是我的卡有问题,是有人盗用身份申请了一张新卡。我给他 Danny 报给我的完整卡号,几秒钟后 Robert 说,这张卡在系统里找不到。
这期间,Danny 那边又打电话过来,我因为在跟 Robert 这边说话,没有接听。
最后,Robert 说,完全没有看到我的信用卡有任何问题,他同意我的怀疑,这也是一个彻头彻尾的 phishing 企图。
到最后,我还是很好奇,想知道这个 phishing 后面要怎么继续下去!?
信用卡号验证
之后我突然想到,信用卡号应该是可以验证的。翻出谷歌 Gemini,把 Danny 给的卡号放进去,一下是 Gemini 的回答。
要确定号码 4693 8028 2548 8964 是否为有效的信用卡号,我们需要使用 Luhn 算法(也称为“模 10”算法)。这是金融机构用于验证各种身份识别号码的一种简便校验公式。
Luhn 校验计算步骤
- 列出所有数字: 4, 6, 9, 3, 8, 0, 2, 8, 2, 5, 4, 8, 8, 9, 6, 4。
- 从右向左,将每隔一个数字翻倍(从倒数第二个数字开始):
- 需要翻倍的数字是:6, 8, 4, 5, 8, 2, 0, 6。
- 翻倍后得到:12, 16, 8, 10, 16, 4, 0, 12。
- 计算翻倍后数字的数位总和: 如果翻倍结果大于 9(例如 6 ⨯ 2 = 12),则将两个数位相加(1 + 2 = 3)。
- 调整后的翻倍数字:3, 7, 8, 1, 7, 4, 0, 3。
- 将所有数字求和: 将这些调整后的数字与未翻倍的数字(4, 9, 8, 2, 2, 4, 8, 4)相加。
类型 数字 计算过程 结果 翻倍并调整后 6, 8, 4, 5, 8, 2, 0, 6 3+7+8+1+7+4+0+3 33 保持不变的数字 4, 9, 8, 2, 2, 4, 8, 4 4+9+8+2+2+4+8+4 41 总和 33 + 41 74
判定结论
对于有效的信用卡号,最终的总和必须能被 10 整除(即个位数为 0)。
由于总和是 74,不能被 10 整除,因此这不是一个有效的信用卡号。
小提示: 大多数 Visa 卡以 4 开头,位数为 13 或 16 位;而万事达卡(Mastercard)通常以 51–55 或 2221–2720 开头。虽然这个号码以“4”开头(暗示是 Visa),但它未能通过所有真实卡片都必须进行的数学“一致性检查”。
Hello! It looks like you're interested in this conversation, but you don't have an account yet.
Getting fed up of having to scroll through the same posts each visit? When you register for an account, you'll always come back to exactly where you were before, and choose to be notified of new replies (either via email, or push notification). You'll also be able to save bookmarks and upvote posts to show your appreciation to other community members.
With your input, this post could be even better 💗
Register Login