借《轉數快》行騙 先SMS後Whatsapp扮過錯錢

日前收到《轉數快》用戶的報料,收到騙徒以「過錯錢」為藉口企圖行騙,以先發送偽冒的轉數通知 SMS 給目標,然後再以 Whatsapp 短訊訛稱過錯錢的手法,目標明顯是讓信以為真的受害者,把誤以為收到的款項「發還」給騙徒。

作案手法及流程
被騙徒當作目標的《轉數快》用戶首先會收到一則 SMS 通知,內容是用戶經過轉數快收到 700 元款項,訊息附有交易編號、日期、時間和查詢電話,然後在數分鐘後,騙徒會 Whatsapp 用戶不但能寫出用戶的姓名簡寫,更傳送所謂的「過錯錢」訊息,目標當然是令用戶信以為真,然後發還相關的款項,其實是誘騙用戶從自己的帳號過錢到騙徒手上。

事件中,如果用戶只根據 SMS 短訊和騙徒的 Whatsapp 訊息便信以為真,不進一步考究真偽便「回水」,就會掉入騙徒的陷阱。即使用戶依照 SMS 上查詢電話去查證,由於該電話為真實的中國銀行(香港)的電話號碼,如果只聽到銀行的電話錄音便信以為真而掛線,同樣掉入了騙徒的陷阱。說穿了,只要用戶小心查看自己的帳號,便知道並沒有收到相關的款項。

純社交工程騙局 – 三個令人信以為真的要素
在這個騙局中,騙徒無需要複雜的技術,也沒有惡意程式的成份在內,是純社交工程的騙案。首先,騙徒只需要有 2 張不同號碼的電話卡,然後複製真實的轉數快 SMS 短訊 (個案中似乎是複製了中銀的短訊,不排除會有其他銀行的版本),至於「目標」的電話號碼十分簡單,只要在轉數快系統中輸入任何電話號碼,便會知道該號碼是否轉數快的用戶,如果是轉數快用戶,更會得到該帳號用戶的姓名簡寫,然後便取得騙局所需的全部資料,而且有 3 個要素容易令用戶信以為真!

  • 真實的銀行電話號碼① -  使用真實的銀行電話號碼包含了兩個容易誤信以為真的陷阱,一個是較為實在,另一個則需要碰運氣。較實在的部份是,如果用戶只上網查該電話號碼,或致電聽到電話錄音後便掛線,就容易信以為真。
  • 真實的銀行電話號碼② - 而碰運氣的部份,則是如果用戶的帳號「剛巧」屬於該銀行,就更具「說服力」,不過相反,如果用戶帳號不屬於該銀行,自然就會引起懷疑,所以存在碰運氣的成份。
  • 用戶的真實姓名簡寫 - 最後一個讓用戶容易信以為真的陷阱,就是 Whatsapp 訊息中騙徒能夠講出用戶的真實姓名簡寫,理論上用戶與對方戶不相識,但對方能知道自己的姓名簡寫,表面看有相當高真確性,但是很多轉數快用戶可能都忽略了,其實只要在轉數快系統中輸入電話號碼,不但能知道對方有沒有帳號,更能知道持有帳號的用戶的姓名簡寫 (情況與傳統 ATM 過數一樣,只是銀行帳號換成電話號碼),所以看起來似真實,其實只是掩眼法。

查看自己帳號才是最真實
整場騙局,只要用戶檢查自己的帳號,便能立即分辨出「過錯錢」的真偽。所以俗語有云「騙徒最愛懶人和粗心大意的人」,別因為一時貪快或躲懶而不核實清楚,也別因為粗心大意而被騙徒的掩眼法牽著鼻子走,到底有沒有錢傳入自己的戶口,當然是直接查看帳號最清楚明白!

事件中,如果用戶只根據 SMS 短訊和騙徒的 Whatsapp 訊息便信以為真,不進一步考究真偽便「回水」,就會掉入騙徒的陷阱。即使用戶依照 SMS 上查詢電話去查證,由於該電話為真實的中國銀行(香港)的電話號碼,如果只聽到銀行的電話錄音便信以為真而掛線,同樣掉入了騙徒的陷阱。說穿了,只要用戶小心查看自己的帳號,便知道並沒有收到相關的款項。