身為資安人員,我以為自己早已練就「詐騙免疫力」。沒想到短短一年內,我連續兩次差點把錢拱手送人,幸而及時察覺、緊急止損,才讓帳戶平安無事。今天分享這兩段驚魂記,希望讓更多人不要成為下一個受害者。
事情得從今年春天的一則簡訊說起,標題赫然寫著「監理所違規未繳, 逾期將強制執行」,我點進連結,看見介面與監理服務網站如出一轍, 心想「先補繳再說」,於是輸入姓名及完整的信用卡號, 接著一連串「交易失敗」訊息彈出, 連刷了三次都不過, 我還以為網路不穩。
晚上回家路過超商,索性在 KIOSK 補查罰單編號,螢幕卻回覆「查無違規紀錄」, 那一瞬間寒意直竄而上,才意識到我把關鍵個資雙手奉上...,幸好當下立刻撥電話掛失信用卡、申請補辦,才沒讓那張卡變成詐騙集團的提款卡。
就在自以為經一事、長一智之後,六月初我又在信用卡帳單上看到一筆四萬多元的消費紀錄,我連忙致電銀行,客服告訴我該筆交易「有經過OTP」 驗證,聽來就像是我本人操作。
翻查瀏覽器歷史紀錄才想起,當天晚上七點多,我曾收到一封「ETC 通行費未繳」的 Email,繳費期限剛好到當天!網頁設計一樣精緻得跟官方網站一樣。
我當時急著用信用卡繳費,簡訊跳出OTP 後,目光只剩那六位數驗證碼,全然沒注意畫面顯示的幣別竟是CAD,金額是一千多加幣,收款商家還寫KKDAY,親自放行刷了台幣四萬多,直到帳單寄來才驚覺出事,最後靠爭議款流程把錢追回來,但「專業卻被戲弄」的羞恥感,至今仍讓我汗顏。
回頭檢視,兩起事件如出一轍:首先是「時效壓力」,欠費與罰單天生帶著緊迫感,迫使人恨不得立刻解決;其次是真實細節的「高仿混搭」,詐騙網站模仿的跟官方極為相似;最後則是「注意力轉移」,讓我把心力放在驗證碼能否順利通過,完全忽略畫面裡足以拆穿詐騙的蛛絲馬跡。
跌倒兩次後,我替自己制定了「三十秒檢查原則」:開啟任何要求付款的頁面,先看網址是否混入奇怪字母或多出來的副網域;再點擊瀏覽器鎖頭查看憑證,確認「頒發給」 真的是政府或大型企業;最後核對幣別、金額與商家名稱,只要其中一項對不上,就立即關掉頁面,改用官方App、網站或實體通路驗證,這半分鐘,比任何防毒軟體都便宜、有效。
如果連經常跟資安打交道的我都能兩度中招,任何人都可能在高壓情境下失手,鼓勵宣導身邊的同事和家人,提醒他們,真正的官方單位不會因為你晚了幾分鐘就追加罰款,OTP 只能證明「這支手機在操作」 ,無法保證交易合法;下次再看到欠費、罰單或退款訊息,深呼吸,數到三十,再決定是否點擊。多這半分鐘,你的薪水和個資就能安然無恙。
願我們年年都零損失、零中招,讓詐騙沒有可乘之機。