「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

本文作者為陳柚霖,曾任職於網路產業,目前是Dolphin Cloud消費性電子產品的行銷主管,對於數位內容、社群行銷與電子商務等議題感興趣。

就在2014.10/31萬聖節晚上,我的Paypal帳號遭到駭客入侵,在我Paypal帳號中所連結使用的信用卡帳號一共被駭客盜刷了2萬5仟多台幣。

幾經思考,我覺得應該把這個被駭客盜刷的經驗放到網路上讓更多人瞭解,其實在我們每天使用並重度依賴的網路環境,或許並沒有你想像中的安全。

[事件經過]

11/1早上,在手機上發現ㄧ連串從Paypal 網站寄來的e-mail通知,起初不以為意,但回神後,第一眼看到的通知是「楊恩齊 via Paypal / 楊 恩齊 accepted your payment 」…看到了關鍵字「Paypal」與e-mail上的敏感標題,心想似乎不妙,「楊恩齊」這個人是誰,他為什麼會接受我在網路的付款?

接著,從手機把e-mail打開,看到的是以下的畫面(畫面節錄自PC)。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

原來在10/31晚上,也就是萬聖節這一天,有人用我的Paypal帳號支付了NT$1元(台幣)給楊恩齊,同時,楊恩齊也接受了我Paypal帳號的付款。

這時候,可以確定的是「我的Paypal帳號被盜用了!」。

於是,當我打開電腦進入gmail,就看到了以下的畫面。
這幾封是駭客在網路上使用我的Paypal帳號在網路交易的e-mail通知,在畫面中我用紅色的框線把它框起來。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

在這幾封使用Paypal帳號交易往來的郵件,內容分別說明如下 (對照上圖Paypal網路郵件通知的時間序由下往上)…

第一封         告知我的Paypal帳號在網路上付款 NT$1 元(台幣) 給「楊恩齊」。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

第二封        「楊恩齊」接受了我付給他的Paypal款項 NT$1 元(台幣)。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

第三封         告知我的Paypal帳號(被駭客)寫信給Paypal客服。

駭客為什麼會用我的帳號寫這一封客服信給Paypal客服?

後來我從隔天(11/2) Paypal另一封回覆給我的信件,才瞭解了這中間原來曾有一筆駭客企圖在ebay購買USD$1,000元(美金)的「錢幣」,想使用我的Paypal帳號付款給賣方,但因為某種原因我的Paypal帳號沒有支付成功,所以駭客就寫信給Paypal客服,詢問原因並要求Paypal履行支付。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

第四封         我的Paypal帳戶(被駭客)從Agoda網站訂購了網路上某間高級飯店(Paypal的e-mail通知並沒有告知我是哪一間飯店的消費明細)房間,消費金額總共是USD$821元(美金),折合台幣約為NT$25,901 元。

收到這一筆Paypal的消費通知,即表示該筆交易已經成功,如果帳號持有人(就是我本人)當下沒有異議,Paypal就會向我的信用卡發卡銀行申請支付這一筆款項給Agoda。如下圖:

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

 

第五封          告知「楊恩齊」退回之前(被駭客)從我的Paypal帳戶付款給他的 NT$1 元(台幣)。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

第六封          告知我在Paypal帳戶中使用的信用卡資料(被駭客)已經更新了。

在我的Paypal交易帳戶上,曾有一張卡號過期的信用卡,但因為我一直沒有去更新,歹徒就自己幫我把這張過期的信用卡資料刪除更新。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

第七封          告知我的Paypal帳號(被駭客)已經關閉。

收到這封信換句話說,我再也沒辦法透過這個被盜用的Paypal帳號做任何網路交易的查詢或針對個人帳號做客服申訴動作,因為我的Paypal帳號已經因為我自己(被駭客)關閉而找不到了。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

當時我原本想要在第一時間透過Paypal帳號進入Paypal查詢我的帳號交易明細,但是很無奈的,因為歹徒已經關閉了我的Paypal帳戶,我非但無法登錄,也完全沒有辦法在第一時間利用我的帳號向Paypal申訴已遭駭客入侵的情況。

很明顯的,這個駭客應該是個慣犯,在偷完東西後還不忘記把你的房門反鎖,讓你連想爬窗戶進去的機會都沒有。

經由上述信件的內容,我個人推測發生的情況是,歹徒可能早已入侵了我的gmail信箱,並從我的信箱中發現我有使用Paypal帳號 (方法很簡單,他只要在gmail的搜尋框查詢他想要找的關鍵字如:「Paypal」,即可從信箱中找到我在Paypal的所有交易記錄),找到後就立即用我的gmail帳號在Paypal網站登入,再以猜測Paypal密碼或是使用暴力破解的方式進入。

由於當年一開始使用Paypal帳戶時,即很粗心的把我的Paypal帳號密碼設定為與gmail相同(原因是比較不容易忘記),所以只要歹徒一但駭進我的gmail信箱,想要進入我的Paypal帳戶就等於比小偷闖空門還容易了。

 

簡單總結一下上述駭客在入侵我的Paypal帳戶後所發生的網路交易過程。

駭客先嚐試從我的Paypal帳戶轉出一筆小額付款給另一個同時可能也被他控制的Paypal帳戶(楊恩齊),當他發現我的Paypal帳號可以轉帳成功而且是有效帳號時,就開始使用我的帳號在網路上做假交易。

他先是在ebay做了一筆買錢幣的USD$1,000元交易,發現沒有成功,又緊接著在Agoda盜刷第二筆USD$821元的訂房,盜刷成功後,就把原先從我帳戶轉出給楊恩齊的NT$1元(台幣),退回到我的Paypal帳戶。

最後,把我的Paypal帳號直接關閉,讓我無法做任何登入查詢交易的動作。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

由於這不是ㄧ筆小數目,並且我推測這位駭客是先入侵我的gmail信箱,再使用我的Paypal帳號盜刷,為了不希望我在gmail中其他更多的網路交易資料被歹徒取得,於是我在第一時間就先變更了我的gmail信箱密碼,並且要求gmail帳號在登入時必須經由手機輸入驗證碼的「二階段驗證」做登入,讓駭客想要入侵或破解的難度提高。

變更完gmail信箱帳號的密碼後,隨即打電話給銀行告知我的Paypal帳號被盜用的情況,並要求止付該筆已經被歹徒網路盜刷成功的USD$821元帳款。銀行表示,將會把我被盜用的信用卡做廢,並在為我更換新卡的同時,郵寄一份信用卡遭盜刷的委託調查授權書,待我簽名回傳並由銀行徵信確認盜刷屬實後,我被盜刷的款項才有可能被退回或不用繳交。

而下一步,就是連絡Paypal。由於我無法在網路上使用我的Paypal帳號要求Paypal給我協助,我便透過Google搜尋引擎找到Paypal在台灣的客服電話,直接向Paypal打電話要求將我原本被駭客盜刷的款項中止支付,並請他們展開網路詐騙調查。

這些動作從我在11/1早上9:00多發現交易異常開始,並逐一處理完上述步驟後,直到當天上午11:00多,就立即接到Paypal客服人員打來的電話,表示他們經由交易記錄已經確認我的Paypal帳號確實在10/31晚上有幾筆交易異常的情況,表示會協助爭取取消該筆已經被盜刷的網路交易,並向商家要求退回盜刷款項到我的Paypal帳戶。

事後共三筆由Paypal發送的交易取消通知如下。

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

「客座文章」 2014萬聖節,我的Paypal帳號驚魂記

 

[後記]

原本在星期六(11/1)向信用卡發卡銀行及Paypal要求中止付款後,就以為這件事應該告一段落,但是在星期三(11/5)仍然收到銀行的客服電話「語音留言」,表示我所申訴的該筆境外交易,對方(Agoda)已經來向銀行請款。

「語音留言」?不誇張,真的只是留言,銀行客戶發生這麼嚴重的網路盜刷事件,竟然只是用留言方式在我的手機語音信箱告知。我想,待這個事件結束後,將會慎重考慮不再使用該銀行(永X銀行)所發行的信用卡。

後來經由主動打電話詢問銀行客服,才瞭解原來經由我個人申訴被盜刷的款項,因為早在10/31就已經被刷卡授權成功,在銀行端還沒確認交易是否屬實的情況下,對方(受付方)仍然可以向銀行做交易請款的動作,只是這筆款項會由銀行暫時列為「爭議款項」,並且仍會在我下一期的信用卡帳單中出現。

而「爭議款項」部份,需要由客戶在填寫完授權書,並載明需要被調查的款項發生時間及明細,傳真到銀行後才會展開調查,客戶則須靜候銀行調查的結果,以判定該筆爭議款項是否需要由客戶自己吸收與繳交;但在調查結果出爐前,客戶在收到帳單後,仍然可以先自行把該筆已經列帳的「爭議款項」扣除,而待最後調查結果確定,再留待下一期帳單做後續併帳處理。

在考慮銀行的調查時間可能曠日廢時,我在星期三(11/5)得知對方仍向銀行請款的訊息後,實在不希望在網路上有更多人因帳號遭駭客盜用而受害。在當天晚上,立即前往位於我居住轄區的派出所報案。警察表示,最近在他們受理的網路案件中,網路信用卡盜刷似乎有愈來愈多的趨勢,這個警訊也特別在此提供給大家參考,以提高警覺。一但網路的便利性提高,個人在帳號管理上的風險與負擔事實上也相對增加了不少。

 

[事件經驗分享]

  1. 個人經常使用的e-mail,由於它的唯一性,往往是在網路上加入會員或進行網路交易的依據,而這也是網路上的駭客最想要取得的最寶貴資料。因為,你在網路上所有重要或不重要的書信往來,全都需要靠它連絡,而駭客一但入侵成功,是否進一步破解你在e-mail裡存留的其他網路金融帳號交易內容,就是任他予取予求了。
  1. 個人常用e-mail 信箱的重要性不言可喻,所以,不要再使用任何與你個人「基本資料」或「社會線索」相關或太容易被連想與猜測的密碼了,是的話從現在起,還是趕緊更換吧。
  1. 開始使用任何網站所提供的「二階段驗證」登入服務,也就是在登入時,需要再經由手機接收另一道驗證碼,以確保登入帳號的是你本人。這個雖然可能會造成某種不方便,但同時卻也是目前防止你的帳號被陌生入侵的重要方法。
  1. 你經常使用網路銀行嗎?如果你擔心你的銀行帳號因為網路銀行的使用而產生任何轉帳或交易風險,可以要求銀行把網路銀行中的「網路轉帳」功能關閉,或是僅提供「網路約定轉帳」使用(也就是你的網路銀行帳號只能把錢轉給某些已經約定好的其他銀行帳號),以畢免因個人的網路帳號遭駭而徒增損失。
  1. 在網路上瀏覽網站或進行任何網路交易時要隨時保持警覺,不要任意下載或購買看起來有問題的商品,例如「破解版」的「免費xxx」或是進入情色網站、賭博網站瀏覽等。因為「免費的代價,通常也是世界上最高的代價」。
  1. 雖然目前網路上的「事後人為管控機制」都還算具亡羊補牢的作用,但從這個事件,你可以發現歹徒千方百計的想要利用「你的個人疏忽與不察」或「事後人為管控機制」的漏洞或時間差,盡量拖延你處理問題帳款的時間,只要被盜刷的金額盡快請款得手,這筆呆帳要算誰的就比較麻煩了。因此,一但你發現問題,最好把握事件剛開始發生的1~2天黃金時間,用最短時間緊急連絡相關單位協助你把問題解決,而不要等到信用卡帳單來了才著手申訴處理,因為這時候,歹徒早已把錢領走快活逍遙了。

不免俗的,仍然在這裡提供三個在未來也許有幫助的連絡電話供朋友們參考。

最後,個人在這裡為PayPal 處理申訴事件的明快反應給予正面肯定。但事實上,他們的客戶服務線上連繫主要還是以Paypal帳號登入後才能進行連絡,這個流程我認為還是有檢討改進的空間,雖然Paypal客服表示「就算失去了帳號,仍然可以在線上與他們進行連絡」。不過,在客戶問題發生的當下,尤其是發生網路帳號盜用這種緊急事件,總是需要有一個能立即協助解決問題的快速管道,如果只透過一般的客戶服務反應問題,是否還能在第一時間得到適當處理,個人對這個部份仍是抱持相當疑問的。

希望大家可以從我的「萬聖節Paypal帳號驚悚記」經驗分享得到ㄧ點小小啟示。

✎ 文章封面 [暗夜騎士]圖片引用來源 www.taringa.net
✎ 如欲引用本文或圖片,請註明本文作者、文章標題及網址出處。
✎ 本文同步刊登於 yoz  原作者網站。