故事的发生是这样的: 在股市一片大好,奋力冲上5000点,人人脸上都洋溢着通胀的喜悦的这天(我不肯定是哪天…),我发现我许久未用的一张Chase的MC上,出现了 莫名的一条新消费:ACM - $9.85。我们努力的回忆,都无法想起曾经在任何地方有过这么个可能的消费。我甚至都怀疑我们光辉伟大的Association for Computing Machinery提前接纳我为会员,或是Academy of Country Music在发给我传票前先收取一点象征性的版权费。当然,这许许多的可能的答案都是False,那么结论只有一个:我被…(省略xx字)…偷了。 Google一下,发现我不是唯一的受害者:CNet上从去年12月开始就有人发现他们的帐户上多了莫名奇妙的ACM 800-642-3051 CA, $9.85。打这个公司的电话得到的是永远的电话答录机。很明显,这毫无疑问是在偷钱。想从贼的手里把钱抠回来,老百姓只能靠银行了。很多人成功的 dispute掉了,也有很多人没有(特别是那些被从checking帐户扣掉钱的),幸亏我是前者(在这时我对Chase的评价稍稍的升高了,虽然可能 实际上靠的是MC)。所有人都愤怒地表示要跟这个AMC干到底,也有很多人去报警,去IC3举报——钱虽不多,可被人“堂而皇之”的从口袋里掏走可就是让 任何一个人都非常不爽的事……可是很遗憾,弱势群体是很渺小的,弱势群体在美国也是很姥姥不疼,舅舅不爱的:警察局告知最近在忙儿童色情团伙,没人 手;IC3只有一封自动的回复,再没有下文。想来也是,不到10块钱的案子,有谁会放在心上,而这帮小偷们,也正是利用了这种心理钻空子,再加上谁知道有 多少粗枝大叶的美国人连自己账单上多了这9.85都发现不了。真是精妙啊…… 可问题来了,就是这个ACM是如何把这9.85从我帐户上扣走的?很明显ACM只是一个壳而已,只是小偷把钱从受害者帐户中转到自己帐户的中转站之一。那他们如何得到我的帐户信息的呢?网络phishing我肯定没中过,那总结一下,有两种可能: 一种是小偷们从店铺的账单或数据库中得到的。从这么多人在这么多不同的地方被偷来看,应该不是某个小贼从某个小店里偷到的,而是从一个全国规模的组 织里得到的。看起来是某个零售公司甚至银行的数据库被盗,这种事情几乎年年有,受害者也没地方说理去。很多人怀疑是Paypal,不过很显然他们是被以亿 记的phishing email吓坏了,以我对Paypal的了解,发生这种事的可能性很小。银行也不像,因为大家分属各个银行,而且真是银行问题的话银行肯定会用钱摆平,不 至于闹这么久。 二是小偷们利用与某些银行的特殊连接,来charge随机生成的信用卡。咋听起来不可能,可我相信是有可能的,$9.85这个数字不是随便选的。对 一笔信用卡交易来说,核心信息就是卡号和有效期,在特殊情况下,其他的信息甚至包括有效期都不需要就可以完成一笔transaction。虽然Visa和 MC的官方流程上都至少还要核对CVV,甚至持卡人姓名(签名是完全脱离于流程之外的,只是法律凭据而已),但在实际操作上很多银行是不对小额 transaction进行验证的,例如$10以下。再就是有些银行由于种种原因(多半是系统或程序上的漏洞),充当了偷儿们的枪,允许他们反反复复的尝 试合法但不一定存在的信用卡号。 虽然第二种可能是存在的,但这个ACM应该属于前者。原因就是有人的checking帐户也被charge了,而checking和信用卡是完全不 同的两个系统,靠第二种凭猜的怕是不行。而且,就在当天,我相信我发现了我信用卡信息泄漏的源头:TJX(眼熟么?TJX旗下包括TJ Maxx, Marshalls, HomeGoods, etc.)。去年TJX被入侵了整整一年半,可能丢失了从2003年到2006年12月18号之间所有的用户账户信息 |