大家还记得在3年前,加拿大发生了一场震惊全国的CRA黑客案吗?
当时有黑客骇入成千上万账户,盗用身份冒领每月$2000的CERB福利金。税务局后来突然宣布封80万加拿大人的CRA网上账户,因为有超过万人的身份被盗。
在加拿大身份被盗非常可怕,不仅会被冒领福利金,还可能发生一系列盗身份申请信用卡、贷款甚至买房子的事。而这些钱根本不是你自己花的。
2020年受到大规模CRA安全漏洞影响的成千上万加拿大人,都苦不堪言。现在有2万多人发起集体官司,把CRA告上法庭。这些加拿大人声称CRA系统中的一个故障让黑客绕过了用户的安全问题,能直接进入账户。虽然 CRA 最初表示只有 5,600 个账户受到影响,但诉讼称实际数量可能超过 26,000 个。
Toronto Life近日采访了一名受害者。他自爆经历了3年噩梦般的生活,被盗身份领福利,买豪车,而他则被疯狂追债,每天超过 20 个垃圾电话。
2020 年 7 月下旬,加拿大的税务局遭黑客攻击。一名身份不明的攻击者使用从网络其他地方窃取的用户名和密码成功登录了数千个网上税务账户。
现年 66 岁Stephen Real就是受害者之一。他住在多伦多Don Mills西区,以前是一名 IT 安全顾问。
他和其他上万倒霉的加拿大人一样:社会保险号SIN、电话号码、地址、银行信息......所有重要的信息全被泄露给黑客了。用了这些信息,黑客可以轻松冒充他来花钱领福利。
他的噩梦始于3年前的一个凌晨。2020 年 8 月长周末的周日凌晨 4:03,Stephen的手机在床头柜上响起。
这是他为重要电子邮件设置的提醒声。这是来自 CRA 的邮件,邮件显示他在税局的直接存款信息已被更改。之前从事IT工作的他非常警觉,他知道可能出问题了。
他马上给 CRA 打了电话,但当然没人在工作。所以他就登录了自己的 CRA 账户,试图弄清楚发生了什么。
结果,他发现3个账户之一的存款信息已从原来他的CIBC银行 更改为 BMO,这是一家他从未使用过的银行。他赶紧截屏。
然后,他还发现了一条通知,说他已经申请了 CERB。那是不可能的:他刚刚退休,没有资格也从未申请过。
在短短一个小时之内,他的另外两个账户也链接到了密西沙加的一家 BMO 分行。这时候他已经知道:有人黑了他的账户,他截屏留下了证据。
接下来的周末,他一直都在给 CRA 打电话,由于没人接电话,他留言说:“我被黑了!”
当他在周二早上终于联系上CRA时,工作人员对此置之不理,说会有人回电话。直到星期四,CRA才锁住他的账户,并让他打电话给 Equifax、多伦多警方的金融犯罪部门和加拿大皇家骑警,总之所有可以做的来保护自己。
与此同时,Stephen决定自己去调查。他去了密西沙加那家 BMO 分行,就是在CRA网上被更改的那家。当他把身份证件交给前台的工作人员时,她说,“我得去找经理。”
一分钟后,经理出来说道:“我们不得不请你离开,我们不准讨论这件事。” 他们给了Stephen BMO总部的电话,让他自己举报欺诈行为。
接下来,黑客通过冒充他申请了两次 CERB 福利并直接存款,以欺诈手段将 $4,000 存入黑客以Stephen身份创建的银行账户。不过当第三次申领$2,000时,CRA系统默认将支票邮寄给Stephen,所以一周后他收到了一张从未申请过的 CERB 支票。
当他再次打电话给 CRA时,税局突然责问:“你是怎么拿到那张支票的?”
Stephen很生气,他觉得税局好像在指责他是骗子。
在那之后,三位不同的 CRA 员工给我打电话,都说了不同的话。有人要他必须将支票寄回 CRA 总部,所以他通过挂号信寄回了。他跟踪知道支票已寄到并被签收,但没想到3年后的现在,CRA 仍在询问他这张支票去了哪里。
2020 年 8 月中旬,媒体开始报道黑客攻击事件,CRA 承认这是由该机构的安全软件漏洞引起的。它说大约有 5,600 个帐户可能已被泄露。
但当他与多伦多警方取得联系时,他们说警方欺诈部门仅在两天内就接到了来自多伦多的 2,000 多个电话。似乎一定有比 CRA 声称的有更多受害者。
一个月后,也就是 2020 年 9 月,Stephen收到了一家Acura车行的电话。电话里的女子问他目前开的是什么车。他一头雾水问为什么会问这个问题时,她很惊讶。她说“你不是刚去了旺市Woodbridge 店,想买一辆 Acura新车吗?”
Stephen说没去过。这名女子知道这是诈骗了,她让他举报欺诈行为。
然而这还没完。大约一年后,有人试图以他的名义购买价值 $65,000的凌志车!
Stephen都怕了,他赶紧让 Equifax 在他的帐户上设置了一个警报。因为他不确定到底还有多少次会被冒充购买。当他自己要买大件东西,都需要打电话通知 Equifax 解锁。
六个月来,CRA 完全停止通过电子邮件和他联系。但最终,CRA开始向他发送通知,要求他不断更改密码并监控信用记录。
Stephen表示,这太不可思议了,CRA自己的系统出了问题,却好像在责备用户的安全性差。
这些天,他的手机不断接到垃圾电话。他说每天大约会收到 20 个,通常是在晚餐时间。这些电话都说他们来自 CRA 或 Visa信用卡,需要他提供安全密码。
Stephen后来烦了,就说他自己就是 CRA的员工,结果对方就会挂断电话。
他说,很可能是黑客从 CRA 那里得到号码,现在把这些信息卖给了诈骗者。
今年 6 月 1 日,他终于接到一位在温哥华为 CRA 工作的女士打来的电话。在过去的两年里,他的案子在四五个不同的检查员之间转移,很多时候在解决前就被放弃了。这名女士说,CRA 正在考虑解锁他的账户,这样Stephen就可以缴纳去年的税款,但除此之外,其他事情他们无能为力。
Stephen说,从第一天起,他就一直要求CRA向他详细说明所发生的事情,但始终没有。他说自己在 IT 安全领域工作了 50 年,他认为CRA没有向受害人讲述完整的故事,而宁愿责怪纳税人不更改密码。
2022 年 10 月,他加入了一项针对加拿大联邦政府的集体诉讼,指控官方在保护在线信息方面存在疏忽。希望能补偿所经历的一切,并为这个烂摊子承担责任。
他坦言已经对政府失去了信心。IT 实施做得如此糟糕,先是黑客CRA泄露信息,然后是出现故障的 ArriveCAN 应用程序,然后本周新斯科舍省政府被黑,泄露了 100,000 人的社会保险号码。
各级政府都表现出技术上的无能,CRA 只是一个例子。他说,除了打电话的那位女士外,他没有收到 CRA 的任何消息。而当打给税局时总没人接听。
Stephen说,“我要CRA道歉。我想清理我的税款。我需要一个新的网上ID。在我得到新的ID前,我只会一次又一次地被黑客利用。”
希望大家都不会身份被盗吧,要不然烦心事真是一大堆。
作者:晓晨