今天這集是「一手故事」第一季的最後一個系列故事,在這個系列故事當中,我們分成兩集,跟大家分享兩個被詐騙者的故事。一位是 Vika,她在今年 5 月遇上網路購物詐騙,總共被騙了 19 萬;另外一位是 Samantha,她在前年遇上交友詐騙,一共被騙了將近 700 多萬。這兩個詐騙金額差異很大,但某種程度而言,都改變她們的人生。
這幾年來,我們從媒體報導當中看到越來越多詐騙案件,當中反映的不光是詐騙手法的推陳出新,另外就是詐騙者跟被詐騙者的形象描繪。根據台灣警政署所公布的數據顯示,2020 年通報的詐欺案件數量是 22,945 件。其中超過 5 成 7 嫌疑犯及被害人集中於 18–39 歲。
除了公開數據之外,在製作這集的過程當中,我們也發現「冰山下的詐騙故事」,有很多被詐騙者,他們並不敢公開自己被詐騙的事實,也沒有跟家人、朋友說,當中很多人感到相當自責,也覺得非常丟臉。由於許多人在網路上討論詐騙案的時候,會對受害者套上一種刻板印象,以至於即便有受害者希望公開求救,卻也難以啟齒。
在關於詐騙的兩集故事當中,第一個與我們分享故事的人是 Vika。Vika 在網路購物過程當中,不慎將信用卡授權資料交出來,被詐騙集團綁卡在 7–11 的 open 錢包當中,使得她信用卡,在短短的時間內就被刷了 19 萬。起初 Vika 也不敢相信自己會遇上詐騙集團 不過因為她身邊剛好有位資安工程師的好朋友,跟著她一起釐清被詐騙的過程。
在釐清案件當中,他倆發現一些電子支付漏洞,以及現行法規的不足之處,於是 Vika 開始研究詐騙案件,主動聯繫詐騙案件的受害人,希望讓自己的經歷,幫助到他們。
以下是 Vika 的故事:(內容稍微經過整理,並非 podcast 內容直翻文字)
大家好,我叫 Vika,我是一個住在台北市的平凡上班族,過著跟大家差不多朝九晚五的生活,平時大部分的時間都消耗在工作上面,所以我是一個非常依賴網購的人。
今年的 5 月 28 號下午的 5 時 46 分,我記得很清楚,這的確是到目前為止,一件改變我的人生的事情 — — 我遇到詐騙了。在此之前我從來沒有留意過什麽詐騙新聞,也沒有想像過我會是一個詐騙的受害者。
1.
5 月 28 號當天,我其實才剛隔離完,因為我確診 Covid-19,按規定是要隔離 7 天。我得 Covid-19 的情況是蠻嚴重的,所以當下身體還不是非常舒服,但反正 7 天後可以開始活動了。我想到芒果季快到了,我每年一定要做這件事情,因為我很喜歡芒果,我每年一定要去在網路上買芒果。
我有一個朋友是嘉義一個蠻有名的青農,他跟我推薦台東的一個芒果果農,說他們家的芒果品質很好,我就去果農的粉專下面留言說,我要買芒果,然後要幾箱,不久之後,我就收到一個訊息問我說,「你是不是要買芒果?」
那個傳訊息的人並不是以果農粉專的官方名稱,但他告訴我說他是小幫手。他是要跟我確認訂購資訊,並且要麻煩我在一個他們建立的線上表單上填寫購買資訊,幾箱、幾盒、大果、小果,要寄到哪個地址,以及要用什麼包裝。
當下我覺得看起來蠻像一回事的,雖然我的確心裡閃過一個念頭想說,對方會不會騙我,於是我就又去果農的粉絲專頁,私訊問說:「某某某(號稱小幫手的帳號)是不是你們的人?」但可能果農太忙,所以沒有即時回覆,加上我又有點懶,就想說不過是買個芒果而已,是能怎樣?
其實我覺得是偷懶的心態之下,我開始填寫表單,匯款方式的部分選擇「信用卡支付」,刷卡對我來說的確比較方便,因為我買的金額蠻大的。
對方(號稱小幫手的帳號)跟我說之後會排單出貨,要等果農收成,可能兩週採收一次之類的。我想說,那的確是信用卡支付會比較方便,於是我就給出信用卡資料。整個過程就跟一般網路購物流程一樣,先輸入 16 位數字的信用卡號、CVC 碼,以及三碼的驗證碼,輸入完之後,我收到了一個刷了一塊錢的訊息。我問對方,這不是我消費的金額,對方告訴我說,因為他們會等實際芒果要出貨的時候,才會跟我收那筆我購買的的金額,先刷一塊錢只是要確認我的信用卡是可以刷的而已。我聽一聽覺得蠻合理的,就把收到的 6 位數字的網路交易驗證碼(OTP)給對方,給出去之後,我就覺得我完成一件事情。
當天下午 5 時 46分,那時候我忙著做家事,加上人也不是特別舒服,手機並不在我旁邊,然後我的信用卡銀行(匯豐銀行)打電話過來,問我有沒有刷了總共 8 筆 19 萬的消費,我說沒有,不是我刷的。
坦白說,我當下並不知道我遇到詐騙,我沒有把買芒果這件事跟 19 萬的刷卡金額連在一起,我以為只是一個盜刷案,就是你根本沒做任何事,信用卡就被盜刷,我沒想到這件事跟詐騙有關係。
大概有 30 分鐘我都處在迷茫的狀態,我搞不清楚發生什麽事情。後來我越想越不對勁,想說我是 4 小時前跟果農有過這樣的對話,於是我去問對方,沒想到對方就直接封鎖我,正是因為他封鎖我,我才知道我一定是遇到詐騙了,這人根本不是芒果農。
但我完全搞不清楚這件事情怎麼會發生,雖然遭遇詐騙,但我也只給出了一次授權碼為什麼會被刷了 8 筆總共19 萬的金額,這件事情到底怎麽發生的,在事發當下我是完全搞不清楚的。
當時,我正在跟一個資安工程師的朋友在聊天,他叫貍貓,我跟貍貓說我遇到詐騙了,他本來只是在關心我確診後的情況,然後我跟他說我遇上詐騙,現在要去警察局報案。我說,我只給出一次 OTP 驗證碼,不知為何對方盜刷 8 筆總共 19 萬。
貍貓就要我把手機畫面截圖給他看,他一看到一塊錢的訊息之後就告訴我,你這個是被綁在某個電子支付系統上面,被綁卡成功,所以對方不需要你一次、一次給 OTP 驗證碼,就可以連續盜刷 8 次,直到銀行不對勁才打電話給我。
因為我平常只用 Apple Pay,唯一有綁卡經驗就是 Apple Pay。通常 Apple Pay 綁卡時,會送來一個訊息寫這是 Apple Pay 綁卡,綁卡成功之後,還會再發送另一個訊息說 Apple Pay 綁卡成功,如果不是你本人操作的話,請聯絡銀行。
所以一聽完貍貓的話,我很困惑,那我到底是被綁在哪裡?由於貍貓的工作跟資安有關,所以就開始幫我查。
當天下午 5 時 46 分接到銀行的電話之後,我先去報案。報案之後,我們兩個開始查我到底被綁在哪個支付系統上面,畢竟上面沒有標明來源。我們兩個半夜不睡覺,一直在查這件事情,大概晚上 12 時左右,我們才知道我是被綁在 7–11 的 open 錢包。
我知道在現行法規之下,我給出了 OTP 驗證碼 ,銀行都會要求受害者付錢,因為他們會說這是消費者自己授權的,所以我的想法是,如果我有機會攔到這一筆出貨,店家只需要取消交易,那我也不需要承擔這一筆 19 萬的費用。
5 月 28 日是周六,我當下很想聯絡統一超商,不過因為周六,那天統一集團的客服都不通,我試著打到博客來、7–11 線上購物網站,也試著跑去 7–11 用 ibon 上面的聯絡電話。我想聯絡到統一集團的人,我記得當時是淩晨 4 點多,我們找到了 icash 的電話,但 icash 的窗口告訴我說這是 open 錢包的事情,跟 icash 不一樣,接著跟我說 open錢包的電話號碼,然後我們就打去通知 open 錢包客服,告訴對方我們被詐騙集團綁卡在 open 錢包上面。
其實當我一通知銀行說,遇上盜刷那張卡就失效了,所以有沒有通知 open 錢包都沒有什麽差別,反正那張卡就是不能刷了,但我希望讓 open 錢包知道有人在利用他們系統的漏洞做詐騙。
我跟貍貓做了很多的事情,因為貍貓有這方面的專業,他知道他有辦法查到這東西的,所以很積極想要幫我把這個東西追回來。我給出 OTP 驗證碼已經是一個事實,但到底對方拿去買什麽東西,有沒有可能攔到這一筆出貨,我就不用承擔這筆交易,我記得那 48 小時我應該都沒有睡,就一直在查這件事情。
第一時間我先打電話到銀行,問對方是在哪刷卡,刷了什麽東西?銀行告訴我,對方是刷 7–11 線上購物網,然後是整數盜刷,就是 25,000、25,000、25,000 的形式,我去 7–11 線上購物網看了一下,25,000 到底可以買什麽東西?
當下我們只知道被綁了支付,但不知道被綁 open 錢包,所以只能根據銀行給我的線索去查,後來就覺得這不合理,線上購物網根本沒有 25,000 的東西可以買,就算是買三個 5,000 塊的東西,加上一個一萬塊的東西,湊成 25,000 單筆,很難湊出這種整數,而且購物網上的東西大部分並沒有那麽貴。我就覺得不合理,銀行給的訊息一定有錯,事後也證明銀行的確是給錯訊息。
對方並不是在 7–11 的線上購物網上購物,他是把我的卡綁上 open 錢包之後,把掃碼支付的 QR code 截圖之後,傳給他的車手,讓不同車手到 7–11 臨櫃購買遊戲點數。
畢竟截圖要傳很快,可以從A傳到 B 再傳到C,所以才有辦法三分鐘一刷,三分鐘一刷,在不同的門市之間購買,我們也是看了刷卡的門市資訊才知道,對方不可能三分鐘之內從 A 點移動到 B 點。
事後歹徒被警方逮捕的時候,我們才了解原來他的手法是把 QR code 掃碼支付的頁面截圖,傳給他的兩三個車手購買遊戲點數,也因為是購買遊戲點數,所以盜刷金額才會呈現整數狀態,不然我們購買一般商品,不太容易湊到這麽多 25,000 整數的金額。
2.
在確定自己遇上詐騙之後,Vika 一開始專注在釐清真相,等她完整了解案件來龍去脈之後,她第一時間的感受,就跟很多詐騙案的受害者一樣,都覺得非常自責。
我第一時間是非常自責的,就跟大部分受害者一樣,覺得我怎麽可以犯這麽蠢的錯,為什麽這個來聯絡我的人,明明不是粉專的帳號,為什麽我要相信他?
我真的非常自責,然後也覺得有一點恐怖,我從來沒想過我會被詐騙,我會成為詐騙的受害者,我是第一次遇到犯罪,也是第一次踏入警察局。
一開始我也覺得有點羞恥,要去跟別人說我被騙了 19 萬,但其實我講出來之後,我另外一個台大畢業,在某知名外商工作,大家認為是高級知識分子,精英人士的朋友私訊我說,自己前陣子也被騙,是被一個釣魚網站詐騙,就是那種中華電信要付關稅包裹的詐騙手法。他說,但我沒有你這麽勇敢,我覺得實在太丟臉了,所以沒有跟任何人提起這件事,我也佩服你可以如此的坦然的講這件事情。
我覺得我很快能夠轉變想法的原因在於,我有一個朋友叫做貍貓,因為他是一名資安工程師,他的工作就要設計驗證流程,他會去設想一個系統可能會怎樣的風險,要怎麽去防範風險。他第一時間就跟我說,他覺得這完全不是我的錯,他對這件事情非常憤怒,為什麽有人可以做出這麽不專業的支付系統,產生我這樣子的受害者。
再來就是,一般正常的商家的確也會用刷一元的方式,驗證信用卡有沒有問題,等到實際出貨的時候才真的刷大額,實務上真的有店家這麼做,所以真的很難要求受害者看到一塊錢訊息,就立刻意識到說這是一個綁卡陷阱。
我覺得不安全的驗證流程,加上銀行應該要有異常偵測系統,我相信大家可能都有過一些經驗是,連續刷兩筆大筆金額,銀行打電話來確認這是不是本人交易,我是被刷到 8 筆之後,銀行才打電話來給我,所以我覺得不光是支付系統本身,銀行本身的異常偵測系統也有問題。
我跟貍貓很快就達成共識,就是說,這事情不管最後誰要負責任,就算銀行他認賠,我們兩個也不希望就此罷手,我們倆很清楚知道,我們都是有知識可以釐清真相,然後也有人脈、資源爭取權益的人。
但我認為不是所有的受害者都有這樣的資源,因為我認識很多受害者,他們根本搞不清楚是怎麽回事,他只知道自己被盜刷,但不知道這件事是怎麼發生的,他們在爭取自己的權益上會比我弱勢非常多,我不希望是這樣子的結果,所以我們第一時間就覺得,我們要做的不只是討回 19 萬,而是希望整個流程被改進。
後來,我們收集到夠多受害者之後,下一步就寫信到立委辦公室,財政委員會是最接近這一塊的委員會,我寫信給幾個財政委員會的立委,同時把案件整理一下,這個案子就進入立委辦公室討論,要怎麽修改現行流程。
3.
其實,我有把這件事跟朋友說,但大家都沒有這種經驗,也搞不清楚為什麽我給出一個 OTP 驗證碼,就被刷了 8 筆總共 19 萬,第一時間我說要去找立委的時候,我有些朋友覺得我們很荒謬。這個荒謬是指,他覺得你現在就是一個被盜刷,因為你自己的錯導致 19 萬的帳單,然後你不想付錢,所以想辦法大吵大鬧,他們不太能夠理解我們在陳述什麽樣子的事情。
畢竟我們是朋友,還不至於說出很嚴厲或很尖銳的指責,但就說在現行的銀行流程之下,銀行會認為自己是沒有疏失的,所以這東西很難要求立委改變什麽。
一聽到朋友的回覆,當下的確有點受傷,但我覺得大部分的人可能根本聽不懂這些情況。他把這件事當成一個一般的詐騙事件,可是我覺得這是牽扯到一個電子支付的流程問題,以及應該要怎麼監管的問題。
我還記得當初對我來說最 shock 的一件事情,是我試著把我的故事發到 PPT 的信用卡版,當時大概已經過了一個月左右。
這段期間,我很認真研究電子支付法規、第三方支付法規,以及美國銀行是怎麼在後台做監測,避免像我們這樣綁卡連續盜刷的事件,然後我們也受到了很多不同學院的同學幫助,有法學院的同學,在商學院的同學,有在銀行的同學,我們是得到很多不同領域的親朋好友的支持,把整個詐騙產業鏈有一些基本了解。
等於說,在那一個多月裡面,我都活在同溫層裡,就是說我們這群人覺得要改變制度,這是我們的同溫層,我們是站在一個持卡人,站在消費者的立場,由我們的立場出發的觀點。
當活在同溫層太久,去 PPT 的信用卡版,講述這樣子的故事,會受到很大的衝擊,因為上面有非常多銀行的從業人員,他們從銀行的角度指責說,為什麽要受人指使去一個不明網站,加上對方的帳號根本不是粉專帳號,就是站在一個傳統銀行的角度出發指責你,所以對我來說真的是非常大的 shock。
主要是平常我們在同溫層裡太習慣,突然面對那樣子的指責,心裡有一種玻璃心掉滿地的感覺,但貍貓是一個比我還要堅強、勇敢的人,他跟我說,站在一個資安工程師的立場,有非常多簡單的措施可以做,而且並不會影響支付的方便性。
4.
其實我常常會跟朋友開玩笑說,我可能是被詐騙的天選之人,因為我是受害者當中,相對有各方面資源的人,我有各個領域的朋友,坦白說,他們都是一分鐘幾萬上下的人,我可以用他們的資源幫我釐清一些事情,也因為這些資源,比較有機會去做一些倡議的工作。
從這件事之後,我開始研究非常多跟詐騙有關的政策,以前我真的不會關注這種事,甚至我也不覺得我是個特別有同情心的人,我不是這種人,但遇上詐騙之後,我去聽交友詐騙或投資詐騙的個案各式,也聽了其他國家的詐騙政策公聽會,也想辦法跟立委辦公室溝通,把其他國家立法時考慮的點分享出來,簡單來說,其他國家的詐騙政策,都會認為金融機構有非常大的責任。
我後來認識交友詐騙、投資詐騙的受害者,有些人是被騙了幾百萬、幾千萬,我覺得他們已經沒有能力做任何事情了,他們當下可能都對人生非常灰心,他所有存款都被騙光了。那 19 萬對我來說雖然會心痛,但卻不會打倒我。
我現在每天都在網路上看各式各樣的詐騙案例,然後會私訊給對方,告訴他們如果是電子支付或網購類的受害者,要怎麽舉證會比較有利,就是說是有機會讓銀行賠償這一筆款項。反正我是比較了解這一塊的人,我覺得能幫到這些人多少我就幫,至少可以促進受害者跟銀行之間有個公平對話的空間。
我自己也是從這個案子之後關心這些事,在網路上收集蠻多個案,當中也是有蠻多給出驗證碼之後,然後被盜刷的受害者就是認賠。
Vika 在被詐騙之後,除了盡力推動改變之外,她每天下班都會在網路各個社群當中查看詐騙案件,主動聯繫案件受害者,提供一些幫助。不過當她看到越來越多詐騙案之後,越來越覺得許多案件是非常複雜難解的。
對我來說,我比較震驚的是那些被騙人頭戶的受害者,他不是直接被騙錢,但是比如說,他認為他在貸款,對方跟他說貸款需要你的帳戶跟印鑑,用各式各樣名義,或是我需要借用你的網銀帳戶幫我匯工程款給另一個供應商,然後他在整個過程裡不知不覺成了詐騙人頭戶。
現在詐騙集團的分工非常精細,他們有一群人是專門實施詐術,讓你以投資或交友這種名義把錢匯到某個賬戶的,另一組人專門騙人頭戶,就是騙人把帳戶提供給他們使用。
在這當中,會有兩個受害者,一個是被騙錢的人,一個是被騙帳戶的人。在現在的法規之下,人頭戶要負的責任非常大,這對我來說是很難解的一個事情。
事實上我現在加入幾個網路詐騙的社團,每天就在看這些文章,我覺得這已經變成「月經文」,一天到晚就有人說自己是被騙人頭戶的受害者,然後很多被騙人頭戶的人,通常都比被騙錢的人的社會地位以及經濟情況更為弱勢。
坦白說,你看到那種被騙錢的人,比如說他被騙了 600 萬、1000 萬,通常也表示有要 600 萬、1000 萬的資產可以讓詐騙集團騙,但被騙人頭戶的人,往往不是這個狀況,所以我遇過身障人士被騙帳戶,但他必須背起債務,因為他要還受害者錢。
所以這就是詐騙社團裡固定戰文,有人就會說,一個是被騙錢,一個被騙帳戶,大家能不能互相體諒?其實大家都是被騙的人,沒有必要要一個犯蠢的人去抓一個可憐人。但這些被騙錢的受害者就會說,這就是我的權利,我怎麼知道這是真的人頭戶,還是假的人頭戶,反正都要負責。
我現在聽過的個案太多了,所以我知道詐騙這件事情,只是你有沒有遇上適合你的局而已,以及對方到底要用多少的時間成本騙你,基本上就是這個差別而已,我不會說我以後一定不會再遇上,但基本上我也不到很擔心了。
事實上,我覺得詐騙比我們想得還要近,我甚至覺得如果你身邊有很多被詐騙的人的經驗,你自然就就會知道,這件事是時時刻刻都在發生,我們的確必須提高警覺。
但某種程度上,我也不希望我們的社會會有這種氛圍,我覺得信任成本是很高的,如果這個社會彼此都不信任別人,每天想說想買個芒果也要思考說對方是不是詐騙的話,我覺得對社會來說,也不是個健康的現象。
在故事的最後,Vika 有一段話,想對聽眾,以及對自己說:
從被詐騙以來,我們投了很多的努力,希望協助受害者跟金融機構之間有一個公平的機會。當然大家透過這個聲音其實不知道我是誰,但我相信如果你認識莉雅的話,你就有辦法透過她聯絡到我,如果你周圍的人有這樣的經歷,你覺得你需要幫助的話,我非常樂意幫忙。
對我自己的部分,因為我是基督徒,我始終相信很多事情都是神的安排,我相信我們可以透過自己的努力改變一些事情,所以我會繼續在這條路上求神帶領,看我們能夠做到什麼地步。
