點解我差啲俾人偷咗 Coinbase 帳戶
上星期我接到一個電話,時間大約下午一點半,來電顯示是650區號,我認得呢個係舊金山灣區。雖然顯示來電號碼不詳,但標籤顯示來自舊金山,考慮到舊金山係全球創新科技中心,亦係CNBC其中一個重要辦事處所在地,我就接起電話,雖然而家好少人會咁做。
電話那頭自稱係Coinbase保安部嘅Brian Miller,快快手話我聽我嘅帳戶有「可疑活動」,問我係咪用iPhone喺德國法蘭克福登錄帳戶。我答佢:「冇,我20年前去過德國,平時都唔會用手機登入Coinbase。」佢話有人用一個叫Mohamad25@gmail.com嘅電郵地址登入我嘅帳戶,而且試過轉帳。佢仲講「我未聽過呢個人,佢話喺法蘭克福機場行李傳送帶遺失咗部電話,要緊急用返你個帳戶。」之後佢又話「佢而家仲想做多一次轉帳。」
佢繼續話:「我試緊搵點解佢會攞到你嘅社會安全號碼、電話同電郵地址。佢仲提交咗一張同你Coinbase面部掃描相似嘅相片。你最近有冇比過人哋你嘅資料?或者你有冇發覺其他帳戶有可疑行為?」
我答:「冇。」
回想返,呢啲明顯係經典嘅壓力策略,令我覺得自己好似陷入危險,好快作決定,而唔係冷靜思考。
威斯康辛大學資訊科學教授Rick Wash話:「佢哋會令你驚,令你覺得自己係受害者,而佢哋係嚟幫你。」Wash教授係一位電腦科學家,二十年前已研究電子入侵,後來專注研究騙局中人性因素,佢認為「人性係電腦騙局最關鍵嘅因素。」
當Miller提到我嘅相片時,我開始更加懷疑。「我從來冇俾Coinbase我嘅相片。」我話。
佢話:「你開戶時一定要交,雖然你可能唔記得,但根據客戶身份驗證規定,我哋要保留。」佢又話:「佢而家想做多次轉帳,但我已經攔截咗。」
我叫佢寄封電郵畀我證明係Coinbase打嚟。佢話:「我10秒前寄咗個案件號碼,你應該收到。」之後佢讀咗一個六位數字俾我。我話冇收到。
佢話:「我再寄多次,呢次會係新案件號碼。」寄咗第二個號碼,仲話:「我等你收到電郵先,你可能收唔到入郵箱,因為佢試圖改你嘅電郵地址,記得睇下垃圾郵件箱。」
兩封郵件都喺垃圾郵件箱,似係Coinbase寄嚟嘅,內容同佢講嘅確認碼一模一樣,冇錯字,有Coinbase標誌同全部重要資料。不過我覺得奇怪,郵件冇寫Miller嘅名,仲發現兩封郵件嘅寄件地址唔同,一個係「no-reply@mail-coinbase.com via sportuel.com」,另一個係「support@info.coinbase via live-coinbase.com」,感覺唔啱。
佢問我:「你上次喺Coinbase做咗乜交易?」我諗咗陣,記起之前喺「Squawk Box」節目聽過有人提過一隻叫Monad嘅幣,我買咗少少。
佢再問:「你總資產有幾多?」我答:「你唔應該知咩?」
佢話:「出於保密理由,我唔可以講。」
我只好講個大概數字,心裏開始覺得唔對路。
Miller話我應該買個「Coinbase硬件錢包」,問我識唔識,我話唔識,佢話幫我設定。
我問:「我係咪應該先改Gmail密碼?」
佢話:「係,可能係好主意。」
我又問:「我應唔應該改Coinbase密碼?」
佢遲疑咗陣,話:「我哋唔建議你改。因為我而家已將你帳戶凍結,如果你改密碼,可能要凍結兩星期。」
我話:「我五分鐘後有會議,你話設定硬件錢包要幾耐?」佢話20分鐘。我話我要走,但約佢下午三點再傾,佢答應會打返嚟。
險象環生的經歷
掛咗電話後,我試住諗點做好,雖然感覺唔啱,但好多細節都好似啱晒。我登入帳戶檢查,冇嘢異常。
我將佢寄嚟嘅電郵地址複製,問Anthropic嘅AI聊天機械人Claude佢哋係咪真。回覆係:「呢個幾乎肯定係釣魚詐騙。」
AI指出多個紅旗,包括郵件來自錯誤嘅域名。
「真正嘅Coinbase會用@coinbase.com寄郵件,唔會用@live-coinbase.com。呢種有連字符嘅域名係典型釣魚伎倆。」AI仲指出郵件透過第三方域名轉發,「正規公司唔會咁做。」
我心諗:「多謝Claude,差啲就俾人呃。」
我搵咗Coinbase公關舊同事,佢話:「我已經唔係嗰度做,但呢啲好大機會係騙局,Coinbase唔會打電話畀用戶。」
佢答應會通知現任團隊,幾分鐘後Coinbase打嚟確認係騙局。
電話來電顯示係「Coinbase」,因為我等緊呢個電話,起初有啲緊張但都信咗。後來我答應幫佢哋寫低整個15分鐘嘅通話過程,希望可以警惕其他人,最後決定寫篇文章喺CNBC.com分享。
Coinbase發言人話,公司有多重防護措施,即使有人中招,亦會監察大型轉帳或突然賣出,尤其係平時唔常用轉帳或賣出嘅帳戶。
「我哋投放大量資源喺預防、偵測同快速反應。」發言人電郵補充,Coinbase絕對唔會叫用戶轉移加密貨幣去所謂安全錢包。「如果有人話要你轉錢去保護資產,肯定係騙局。」
Coinbase亦承認人工智能令騙局更猖獗,更高明。
「攻擊者利用多種機械人同AI自動化工具,令工作流程更輕鬆。」佢哋指出AI聲音代理已用嚟製造更可信嘅自動電話。
根據ZeroShadow公司,專門協助追回被盜加密資產,過去一年「冒充騙局」增加咗1400%。
ZeroShadow CEO Casey G.話:「騙徒來自美國內外,但佢哋通常會僱用年輕男性或青少年,因為佢哋較少顧忌,然後訓練佢哋,賣劇本,有時仲用聲音變調器。」
Casey G.表示過去四年佢哋幫受害人追回約兩億美元,但過程困難。
「一旦加密貨幣離開你帳戶,雖然可以追蹤,但要搵番唔係易事。」佢話,「我哋需要當地執法部門協助。加密貨幣嘅保障遠低於美國傳統銀行系統。」佢亦指出AI被騙局組織用嚟擴大人手。
最成功嘅招數係製造緊迫感。佢哋話當時有人試轉帳,令我差啲緊張到想即刻行動或交出資料,我心跳加速,想即刻阻止。
反詐騙專家話,呢種手法好普遍,並不斷進化,因為不法分子會喺暗網買賣成功嘅「騙局劇本」。Coinbase建議大家「慢落嚟,冷靜,獨立核實,唔好畀壓力下作決定。」
大家出門在外要小心。
—
編輯評論與啟發
呢篇文章真實呈現咗現代網絡詐騙嘅複雜性同高明手法,尤其係針對加密貨幣用戶。詐騙者利用社交工程技巧,結合技術偽裝(如偽造電郵、模擬來電顯示),以及AI生成嘅聲音或文本,令受害者難以分辨真假。尤其係「緊迫感」嘅壓力戰術,令人喺恐慌中做出錯誤決定。
值得注意係,Coinbase同類平台雖然有多重保安防護,但用戶警覺性依然係防範詐騙嘅重要一環。今時今日,單靠技術防線已經唔夠,教育用戶冷靜應對、獨立求證係不可或缺。
另外,AI嘅雙刃劍角色日益明顯,雖然便利咗許多領域,但同時亦被不法份子利用,形成新型態嘅詐騙手法。未來防範策略必須結合技術、心理學同法律執法,並加強跨國協作,因為呢啲詐騙往往跨境操作。
對香港用戶而言,雖然文章背景係美國,但加密貨幣全球化特性令詐騙無遠弗屆。我哋應該加強本地教育和宣傳,提升市民對加密貨幣安全嘅認識,尤其係要提醒大家唔好輕信來電或電郵嘅「官方通知」,遇到可疑情況應該直接聯絡官方客服核實,避免落入陷阱。
最後,呢篇報道亦提醒我哋,科技發展固然帶來便利,但同時亦帶嚟新挑戰。面對日益猖獗嘅網絡詐騙,建立多層防禦,提升個人資訊保護意識,係每個用戶不可忽視嘅課題。
以上文章由GPT 所翻譯及撰寫。而圖片則由GEMINI根據內容自動生成。
