January 26, 2012

Catch me if you can - 由 Frank Abagnale 親授預防 identity theft 的幾個小撇步

在銀行當小職員恐怕是世界上數一數二無聊的工作,既不像 consumer product companies 三不五時有免費贈品或 discount 可以拿,也不像娛樂業常常有機會見到名人或到處旅行,更不像消防員或警察等有一堆英勇事蹟可以拿出來炫耀,或是像工程師一樣可以驕傲的指著某某地標對兒子說:「這可是爸爸 (媽媽) 參與設計的喔!」。

不過,今天可以說是我在銀行工作以來最興奮的一天,因為今天我不僅有機會見到所謂的 celebrity,更有機會和 celebrity 合照! 這位名人就是電影 「Catch me if you can」 裡的主角......



不是 Tom Hanks,也不是 Leonardo DiCaprio,而是 Leonardo DiCaprio 在電影裡所飾角色的本尊 - Frank Abagnale!!



看過 Catch me if you can 的人都知道,Frank Abagnale 是 1960 年代赫赫有名的智慧型白領罪犯 (white collar criminal),當年不到 21 歲的他已經在 26 個國家偽造過支票,累計犯罪金額高達兩百五十萬美金。被逮捕後吃過五年的牢飯,後來被 FBI 網羅成為打擊白領罪犯的 consultant。(做過白領罪犯的人畢竟最懂得這些罪犯會往哪裡鑽漏洞!)

至於沒有看過電影的人,強烈建議去租 DVD 來看。除了 Tom Hanks 和 Leonardo DiCaprio 兩大演技派演員表現相當精彩之外,Frank Abagnale 本人的人生故事也相當戲劇化。DVD 裡收錄了 Frank Abagnale 的專訪,我記得幾年前和老妹一起看 DVD 的時候,對這個人的傳奇故事興致高昂到連專訪也看了好幾遍。

Frank Abagnale 今天的講題和 identity theft 有關。從他舉的幾個例子裡,我驚訝的發現原來要偽造文件或支票,或是要偷一個人的 identity,竟然是這麼的容易。他說曾經有一位記者向他挑戰,要他在五分鐘之內把前 CIA director Porter Goss 的 identity 偷到手,當時 Porter Goss 剛從 CIA 退休,Frank 反問記者:「如果你在 CIA 工作,最有可能住在哪裡?」 「Virginia。」 「如果你剛從 CIA 退休,最有可能在哪裡置產?」 「Florida。」 於是 Frank 馬上在記者面前 Google 了 Porter Goss 和他太太的名字,查了他退休前後這段期間所有在 Florida 房產買賣的資訊,結果只花了 18 秒的時間,就找到了 Goss 太太房屋買賣的完整文件,上面有兩人的全名,社會安全號碼,地址,還有兩人的親筆簽名。對任何一個罪犯來講,這些資料就足以讓他們冒用 Goss 的身分申請信用卡或貸款了。另外,Frank 還用許多照片講解了如何使用化學藥劑來塗改支票,他指出很多罪犯並不需要特殊的印刷技術或配備,只要去隨便一間 Kinko's 用他們的印表機,就可以印出幾可亂真的支票或鈔票,以今日的科技而言,要犯這類型的罪比 1960 年代要容易太多倍了,大家不可不防!

Frank 演講的內容實在太豐富,我今天聽他演講時忘了帶筆記本,下面是我記得的幾個重點,跟大家分享:

1. 能用信用卡付款盡量用信用卡,最好不要用 debit card 或支票。先不說支票很容易被偽造或塗改,光支票上印的一堆資訊,包括姓名、地址、銀行帳號、routing number、還有親筆簽名,就足夠讓罪犯有機可乘。Debit card 的缺點則是直接從銀行帳戶裡扣款,如果別人得到你的 debit card 卡號,配上你的密碼 (有心的話同樣很容易拿到),馬上就可以從你的戶頭轉帳出來。使用信用卡的話,如果被盜用,該負責的是信用卡公司,持卡人只要對任何一項 transaction 提出 dispute,並不需要直接對該項 transaction 負擔任何損失。

2. 重要文件一定要用碎紙機銷毀。不過並不是隨便的碎紙機都可以喔! 市面上有三種碎紙機: straight cut - FBI 只要一個小時就能把文件拼回來; diamond cut - 約七、八個小時可以把文件拼回來 (據說當年 Enron 就是採用 diamond cut 的碎紙機來銷毀所有和弊案有關的文件,結果全部被拼回來了)。以上兩種碎紙機用了等於沒用,唯有標明 「secure micro cut」 的碎紙機,文件絞碎了之後是怎麼樣也拼不回來的。

3. 非必要千萬不要給別人社會安全號碼。有時候我們去看醫生填表格時,醫院或診所會要求我們填 social security number,事實上除非你的醫藥費很龐大,打算向該醫院申請醫療貸款,否則你是沒有義務要給他們社會安全號碼的。同樣的,如果你去申請健身房的會員,申請表上有 social security number 的欄位,你是可以拒絕填寫的。真正需要填寫 social security number 的情況少之又少,例如向銀行申請貸款或信用卡時 (銀行需要你的 social security number 以便調查你的信用狀況)、向政府機關申請各種文件時 (護照、車子或房屋 title 等等)、或是雇主須要調查員工背景時 (但是在還沒有拿到正式的 job offer 之前,你其實是不需要報上 social security number 的,只有在拿到 offer,成為正式員工之後,你才有義務給公司你的 social security 讓他們進行進一步的 background check)。

4. 不要在 social network 上透露太多資訊。最容易讓智慧型罪犯拿到 ID 的地方就是 social network,如 Linked in 或 Facebook。Frank 建議大家千萬不要把生日放在上面 (我今天回家立刻把生日改成一月一日了),地址和電話也要避免。如果要放照片,最好不要放正面的大頭照,盡量選擇側面或是在從事其他活動的照片,因為嫌犯如果有你的照片,很容易用市面上的 facial recognition 軟體從網路上搜尋到更多關於你的其他資料。另外,家裡有小孩的人要小心別讓孩子用手機上 Facebook,因為綁架犯可以藉此即時追蹤孩子的所在地,這是非常不安全的。現在有很多公司在 interview 之前會上 Facebook 去搜尋 candidate 的 profile,所以平時也要避免在 Facebook 上發表偏激或不當的言論。

5. 使用 uni-ball 207 原子筆簽署任何文件。據 Frank 說,這款並不貴的日本製的原子筆是唯一一款用任何化學藥品都無法塗抹掉的原子筆,用它來簽支票或重要文件,可以避免支票或文件被竄改偽造。

6. 丟棄影印機或 scanner 時,要記得把裡面的硬碟取出銷毀。我直到聽 Frank 演講這天才知道原來影印機裡面也有硬碟。許多公司行號在汰換影印機時,不知道要提醒回收廠商將硬碟銷毀,結果廠商把舊的機器回收之後又轉賣給別人,造成機密資料外洩。所以各位朋友家裡的私人 printer/scanner 也要小心處理喔!

(今天先寫這些....改天想到了再一一補上。)

最後和大家分享一個我個人覺得最厲害的犯罪 (當然也是 Frank 轉述的): 某個小學生拿了一張十元鈔票到 Kinko's 影印,用的是普通的彩色印表機和普通的紙,而且只印了正面,反面全是白的,他就這樣印了好幾百張單面的十元鈔票,拿到自助洗衣店裡,塞進零錢兌換機的入鈔口,換到了一大堆硬幣。這整個過程真的是再簡單也不過,Kinko's 的店員根本不在意客人拿甚麼東西去印,而自助洗衣店裡平時沒有人看守,零錢兌換機的設計則是只 scan 鈔票的正面,並且 build in 了 5% 的 error tolerance (這是為了避免客人拿去兌換的鈔票太老舊,如果機器不能容忍某種程度的誤差,可能會造成大部分的鈔票都不能使用)。就這樣,小學生隨便亂印的單面假鈔也可以輕鬆換到錢。今時今日要從事這類型的犯罪活動真的一點也不難,在這樣的世代,道德教育就更為重要了。Frank 提出去年民調的數據,有 48% 的學生不認為駭入別人的電腦是犯罪行為,而且超過一半的大學生承認自己在學生生涯中曾經 cheated、copied、or plagiarized。我們除了要小心提防自己成為 ID theft 的受害者之外,或許也該想想我們的教育是不是哪裡出了問題。

1 comment:

  1. This is really cool. Thanks Portia for sharing!

    ReplyDelete