7月的一个星期五,我第一次注意到有些不对劲。在一个美好的夏日,我和家人在一起,游泳,喝啤酒,尽量忽略我的手机。当我最终查看我的通知时,我收到了来自Verizon的两条提醒。两者都包含授权码——当你对账户进行更改时,它们采取的一种安全措施。还有一张来自威瑞森(Verizon)的0美元收据和一条感谢我激活新设备的信息。
我立即查看了我的Verizon账户,但似乎没什么问题。这张收据看起来像是一个小故障——就好像威瑞森公司姗姗来迟地向我收取了手机的费用,而我的手机是在四个月前激活的。事后看来,我应该多加怀疑。我应该马上给Verizon打电话的。但如果我可以在船上度过这一天,我为什么要在客服地狱里度过呢?
然而,第二天早上,又发生了一件奇怪的事情。当我去发短信的时候,我意识到我没有信号。我试着打开和关闭手机服务,重新启动我的手机——什么都没有。我不能发短信,也不能打电话。我让我的未婚夫去查一下当地的威瑞森通讯是否中断了,但什么也没找到。我想知道也许我只是在一个死区,但我从来没有遇到过这个问题。然后我开始感到一种慢慢浮现的恐惧感。
几天前,我的同事罗布·普莱斯(Rob Price)发表了一篇可怕的报道,说黑客发起了一场骚扰和恐吓活动,窃取了社交媒体上Instagram的用户名和其他令人垂涎的用户名。在这个故事中隐藏着一个我以前从未听过的短语,一种我必须查找的破解方式:SIM卡交换。
在SIM卡交换中,黑客不需要实际窃取你的SIM卡——你手机里识别它是你手机的东西。他们只是假装成你,说服你的电信运营商的员工用你的电话号码为他们激活一张新的SIM卡。一旦发生这种情况,你的手机就会立即失去服务——黑客就可以用你的号码来破坏你的生活了。他们可以冒充你给别人发信息,拦截你的银行短信,甚至重置你的密码,把你锁在自己的账户之外。
SIM卡交换出现的时间并不长。它始于大约2018年,作为游戏玩家窃取他人加密货币的一种方式,一旦你完全访问某人的手机,这很容易做到。但是现在,专家说,犯罪变得更加普遍,也更加有组织。美国联邦调查局报告称,在2021年,SIM卡交换抢劫了超过6800万美元的受害者。“你可以把这些人想象成小偷,”网络安全公司Unit 221b首席研究官艾莉森·尼克松(Allison Nixon)说。“但2018年之后,这些小偷小盗变成了百万富翁。”
我借了一部手机,打电话给威瑞森,他们证实我的SIM卡被换了。当我在纽约西部度假时,距离这里有四个多小时的路程,黑客出现在俄亥俄州哥伦布市的一家Verizon商店,假装他们是我,还带着一张假身份证。他们告诉店员他们的手机被毁了,并要求用我的电话号码激活他们带来的一部旧iPhone。
我想起了前一天收到的那张奇怪的0美元收据,并查看了底部的商店地址。果然是来自哥伦布地区的一家Verizon商店。
有人能如此轻易地偷走我的手机,这让我大吃一惊;当然,这一定是商店员工的一个重大失误。但当我与Verizon的高层交谈时,他们解释说,实际上,他们的设备激活过程完全按照预期的方式运行。当无法进行双重身份验证时——比如手机丢失、被盗或损坏时——一张身份证就足够了。黑客所需要的只是了解Verizon安全系统的明显漏洞,一张假的塑料,还有一点厚颜无耻。
威瑞森立即停用了黑客的手机,恢复了我的手机。但与我交谈的员工警告我,这可能只是骗局的开始。
事实证明他是对的。
一旦黑客控制了我的电话号码,他们没有浪费太多时间。他们离开了Verizon的商店,去了附近的一家苹果商店,用我的大通信用卡花了6370美元。然后,他们开车到城市另一边的一家购物中心,在古驰(Gucci)购物,在那里他们分别进行了两笔交易,总计2,956美元。最后,他们去了一家名为Psycho Bunny的服装店,在那里花了大约452美元。在短短几个小时内,他们用我的卡购买了近1万美元。
第二天早上,也许是想试试运气,他们又在百思买买了一件东西。但这是在我和威瑞森通话并锁定我的信用卡之后。所以他们就用我的名字开了一张百思买信用卡。
(地图:Chay Thawaranont/Insider)
尽管如此,这些交易还是让我很困扰。我注意到黑客从来没有登录过我的大通银行账户或社交媒体账户——他们只是在我的信用卡上刷了账。我不明白他们为什么要我的电话号码。
但当我翻看我的短信记录时,我意识到他们在做什么。蔡斯知道我一般不会在一个下午就花掉1万美元,所以每当黑客试图进行大宗交易时,他就会发短信提醒我有诈骗行为。我可以从我的短信记录中看到,每次收到诈骗警报,黑客就会用我的手机回复,让收费通过。
这个谜很容易就解开了。但还有一件事我不明白:黑客最初是怎么用我的卡买了这么多东西的?我可以从我的账户中看到,这些费用是在实体店发生的,而不是在网上。黑客从未登录我的iCloud账户设置Apple Pay,而且我的信用卡一直被安全地塞在我的钱包里。
我决定给黑客购物的每家商店打电话,试图弄清楚发生了什么。我先试了Gucci。古驰中央总机的一名代表告诉我,古驰甚至连各个零售门店的电话号码都没有,要想了解更多关于购买过程的信息,唯一的方法就是去商店看看。考虑到我在纽约的家,距离这里有14个多小时的路程,我决定去苹果试试运气。
苹果同样没有提供帮助。一名店员礼貌地告诉我,除非我确切地知道购买了哪些商品,否则他无法查询有关交易的信息,即使我知道花费的总额、卡号以及购买的日期和时间。那名员工说还有另一种选择。他可以交出完整的收据,没有问题——只要警方要求苹果法务部提供。
我决定和Psycho Bunny做最后一次尝试,这是一家男装零售商,它的标志是兔子头骨和交叉骨头。一位乐于助人的商店经理查看了商店的系统,并确认了一个叫艾弗里·h的人用我的卡号购买了452美元。这位经理说,这位顾客甚至提供了一个与我的电话号码相差一位数的号码。不幸的是,这就是她所知道的全部信息。
我心灰意冷地挂了电话。我一点也搞不清楚小偷是怎么拿到我的卡的。
然后,大约15分钟后,我的电话响了。是商店经理打来的。她和她的团队决定查看购物当天的监控录像,他们发现了小偷站在商店柜台前的录像。她让我描述一下我的长相。
“是的,”经理说。“我现在看到的这个人基本上和你完全相反。”小偷是一名女性,但她买东西时戴着帽子和口罩。
我问商店经理她是否能看到小偷是如何付款的。
“他们使用实体信用卡,”她告诉我。
经理似乎很乐意交出小偷作案的录像,所以我打电话给哥伦布警察局,兴奋地提出这个新证据。我已经向警方提交了一份报告——这是我采取的23个步骤之一,包括向联邦调查局的互联网犯罪中心提交索赔,冻结我的信用,以锁定我的生活,捆绑我身份的磨损末端。但是,当我与哥伦布欺诈小组的一名官员交谈时,他问我,我的银行账户中是否有钱被盗,或者我的信用卡公司是否要我对这1万美元负责。不,我告诉他了。蔡斯已经同意撤销所有指控。
军官沉默了一会儿。“是的,”他说,“我们不打算调查这个。”
该小组只有5名警员,每年收到7000起欺诈报告。警察告诉我,如果我没有丢钱,就不值得他们浪费时间。
事实证明,我说得太早了。几周后,我收到了大通银行欺诈部门的一封信。我们改变了主意,它说。我们不相信你的指控是欺诈。我们认为你有责任付钱给他们。
突然,我的信用卡上有了9,778.24美元。离我的婚礼还有三个星期,我的信用卡几乎刷爆了,开始收利息。
我恳求大通银行撤销撤销,但他们告诉我,他们认为我在撒谎,原因有二。第一,因为他们在购买时给我发了欺诈警报,而我已经批准了它们。(但那是小偷,不是我!我抗议道。第二,因为我使用了一张实体信用卡来购物,尽管我仍然持有我的信用卡。当我指出,在《惊魂兔》的监控录像中,可以看到小偷在支付亭上敲击一张实体卡时,大通银行的代表说,任何人都不可能复制我卡上嵌入的微芯片。她说,蔡斯同意撤销指控的唯一办法是,如果我能向他们提供我的SIM卡被换了的证明文件——要么是一份官方的警方报告,要么是一封来自威瑞森的确认我的电话号码被劫持的信。
警方已经告诉我,我的报告要过几个星期才能通过系统。所以,在我给威瑞森的第三个电话中,我请求该公司向我提供欺诈的文件,它已经承认发生了欺诈。但在我花了一个半小时打电话,辗转于五个不同的部门之后,Verizon的一位代表告诉我,他们无法提供任何书面证明,证明我的SIM卡被换了。她说,当时这是一个法律问题。
然后,突然间,我又得到了一个幸运的机会。在蔡斯告诉我,我要对这些指控负责后,我请求他们重新审理我的诈骗案,再核实一下。我给他们发了一个文件夹,里面有我掌握的所有证据。黑客在哥伦布激活我的手机时,有一张收据的截图,那里离我当时所在的地方有几百英里。有文件表明我向警方、联邦调查局、联邦贸易委员会和联邦通信委员会提交了报告。还有一份书面记录证明,我被迫将自己的信用档案锁定在主要的信用报告机构。
我的恳求一定起作用了,因为蔡斯派了一个新的调查员来调查我的案子。在我被威瑞森拒绝几天后,他给了我一个电话。他发现了第一个调查员遗漏的一些东西。首先,在黑客试图用我的卡进行第一次购物,而大通银行发出了欺诈警报之后,黑客用我的电话号码给大通银行打了电话。他们说他们是我,并要求大通银行允许购买。
你知道当你打电话给客服时,他们经常说:“这个电话可能会被监听和录音。”他们没撒谎,切斯有电话录音。诈骗调查人员听了录音,打电话给我确认是不是同一个声音。虽然他不愿透露太多细节,但他说,显然不是我批准了这笔交易。
但还有一件事使他感到奇怪。通常,当你的信用卡即将到期时,就像我的一样,银行会提前几周寄给你一张新卡。大通银行的调查员告诉我,当人们拿到新卡时,他们会遵循一种相当标准的行为模式:他们立即停止使用旧卡,转而使用新卡。但我没有这么做——我还在用我的旧卡。
在我们谈话的这一点上,我几乎可以听到我的心开始跳得更响了。
“事情是这样的,”我告诉他。“我从来没有收到过有新有效期的信用卡。”
调查人员解释说,在哥伦布购物时使用的是有新有效期的信用卡。与此同时,在同一天,我用我的旧卡在纽约西部买了晚餐。信用卡之谜终于解开了。黑客拿到了我的新卡,所以所有的购物看起来都是合法的。信用卡被盗的证据和黑客的录音,足以说服大通银行改变主意,永久撤销指控。
但现在一个新的谜团出现了:黑客最初是如何得到我的新卡的?大通银行的调查员对此摸不着头脑。我住在纽约市。那黑客怎么可能先进入我的邮箱然后又跑到俄亥俄州的Psycho Bunny买男士t恤呢?
除非,他们根本就没有从我的邮箱里偷卡片。
事实证明,大通银行是美国最大的信用卡发行商。它恰好在俄亥俄州中部有一个巨大的运营中心。2016年,彭博社报道称,大通银行60%的信用卡都是在该地区生产的。银行发行的新信用卡到达了韦斯特维尔镇,那里有一个邮政信箱,距离哥伦布市中心22分钟车程。
我想这不可能只是巧合。也许侵入我手机的人能以某种方式进入大通银行的运营中心,并在我的信用卡发祥地拿到了我的信用卡。但当我向Chase询问此事时,他们向我保证,他们公司有严格的安全协议,从卡片制作到进入邮政服务期间,几乎不可能被盗。事实上,大通银行能够准确地告诉我,我的卡离开运营中心的时间(7月13日),以及最后一次在邮局扫描的时间(7月16日)。“很有可能,”蔡斯说,“我的信用卡是从邮件里偷来的。”
尤蒂卡大学(Utica University)金融犯罪项目主管苏珊娜·林奇(Suzanne Lynch)告诉我,自2015年以来,从邮件中取出信用卡实际上变得越来越普遍,当时大多数信用卡公司开始在信用卡上植入微芯片。林奇说,面对新技术,小偷们只是改变了他们的策略,走了“老一套”——偷卡片而不是伪造卡片。
但这个谜团还有最后一个转折。邮政服务发言人苏·布伦南解释说,我的信用卡是在离当地邮局最近的处理中心扫描的。也就是说,小偷7月16日在纽约偷走了它,并把它带回了俄亥俄州,赶上了7月22日在商场购物的大日子。
9月29日,在我被黑两个月后,纽约的联邦检察官宣布,他们破获了一个听起来很熟悉的阴谋。三名邮政工作人员被指控从邮件中窃取信用卡,并将其传递给五名“购物者”,他们用这些信用卡在香奈儿和爱马仕等商店购买奢侈服装和手袋,然后在网上转售。据称,该团伙总共窃取了数百个身份信息,诈骗了零售商和信用卡公司130万美元。这两名化名为Lady Fab和Junzie-J的邮政工人被逮捕。该组织的头目艾斯和包括Payso、戴夫和康尼·卡什在内的购物者仍然在逃。
不管是谁黑了我的身份,他们都是从我的信用卡开始的。这就解释了为什么他们一开始就决定换我的手机SIM卡——这样他们就可以拦截诈骗警报,使用我的卡而不受惩罚。而且因为他们从邮件里偷了我的卡,所以他们有我的地址,这就很容易伪造一个假身份证给Verizon看。一旦他们控制了我的电话号码,在我发现黑客入侵并阻止他们访问我的账户之前,我就得和时间赛跑,去逛苹果商店、古驰和Psycho Bunny。
同样清楚的是,我的身份被盗在很大程度上是由那些本应防止这种情况发生的公司和官员造成的。威瑞森接受了一个假身份证,然后拒绝帮助我确认攻击已经发生。蔡斯想收我1万美元我根本没买过的东西。警察忙得无法调查。古驰甚至都懒得给我提供它一家门店的电话号码。黑客可能确实犯了罪,但美国企业只是事后的从犯。
但是谁是黑客呢?作为一名记者和受害者,这是关于我身份被盗的最困难的事情之一——根本没有办法知道是谁干的,更不用说追究他们的责任了。如果不是Chase和Psycho Bunny的敬业员工花时间和精力去调查,我现在还不知道发生了什么,也不知道黑客是怎么做到的。她盗用了我的身份,但我对她的身份一无所知。
这种感觉在身份盗窃的受害者中很常见,而且毫无意义。帮助身份犯罪受害者的非营利组织身份盗窃资源中心(Identity Theft Resource Center)的总裁兼首席执行官伊娃·贝拉斯克斯(Eva Velasquez)告诉我,大多数人都不知道自己的数据在哪里或如何被泄露。在很多情况下,诈骗团伙的总部都设在海外。
“对你来说,把注意力集中在你的康复上比集中在那一磅肉上要好得多,”委拉斯开兹告诉我。“这是一种正常的人类感觉,但在这种情况下,它不会产生效果。”
“最重要的是,”她说,“我要保持警惕。资源中心进行的一项调查发现,一半的身份盗窃受害者最终再次受害。这是因为大多数身份验证程序依赖于Velasquez所说的“静态数据”,比如社会安全号码,这些数据在我们的一生中保持不变。这意味着,无论我如何锁定自己的信用文件、设置双因素认证、使用强密码或避开网络钓鱼,有人再次窃取我身份的可能性仍然高得吓人。
“我把受害比作身体疾病,”委拉斯开兹告诉我。“它可以进入缓解期,但这并不意味着它就消失了。”
尽管如此,我发现自己有时还是会想那个在“精神病兔子”用过我信用卡的女人。她是我能找到的最接近真实存在的人。也是她黑了我的手机吗?如果是的话,她为什么要这么做?为了钱吗?为了好玩吗?在别人的命令下?这是一个单独的行动,还是越来越多的有组织犯罪的一部分,就像在纽约被逮捕的邮政工人一样,他们利用SIM卡交换和信用卡盗窃每年赚取数百万美元?我永远不会知道。她盗用我身份的唯一证据是一个模糊的图像,她的特征被帽子和面罩遮住了,出现在疯子兔的监控录像里,蔡斯的录音系统里有一个声音听起来不像我。
艾弗里·哈特曼是《内幕》杂志的资深记者。
一个关于话语故事
通过我们的话语新闻,内幕寻求探索和阐明当天最迷人的问题和想法。我们的作者通过分析、报道和专业知识提供发人深省的观点。点击这里阅读更多话语故事。
