最近,一位在新西兰生活的华人网友在小红书上分享了自己令人匪夷所思的一段经历。
在征得当事人同意之后,发现君整理和还原了整个事件。
01
电话号码被“换”走
2026年4月24日13:26分。他的手机收到一条短信,提示正在进行SIM Swap(换卡换号)操作。
13:31分他立即拨打了One NZ的官方0800客服电话。接线员告诉他,他的号码不是One NZ的,不清楚怎么回事,让他念出短信内容后,客服说要去寻求帮助, 通话持续大约9分半钟,13:40左右被对方挂断。
事后他才意识到,正是在这一刻他的电话号码已经被彻底盗走。
由于他的手机号属于Kogan,但收到的却是One NZ的短信提醒,加上One NZ又给不出任何信息,他当时以为只是系统误发,并没有重视。
(Kogan Mobile品牌logo)
(这里需要简单解释一下:Kogan Mobile是一家澳大利亚背景的虚拟运营商MVNO,在新西兰没有信号基站,而是租用One NZ的网络。所以Kogan用户的SIM卡虽然是Kogan品牌,底层网络却跑在One NZ的基础设施上,部分系统短信也会以One NZ的名义发出。)
直到16:30,他发现手机彻底没了信号。反复重启无果后,才意识到那条SIM Swap短信是真实的。此时他的网上银行已经被冻结,电话也彻底失效。
他用微信电话联系了正在上班的妻子,让她登录共同账户查看。结果发现 账户 已经分两笔被转走近两万纽币,转入一个完全陌生的账户。
02
近乎绝望的等待
由于电话卡失效无法拨打任何电话,他只能等妻子下班后用她的手机紧急处理:转移剩余资金、致电ANZ欺诈部门、报警。
接下来是漫长的两周等待。
在此期间他发了无数邮件、打了无数电话,一闭眼就会想到被盗刷的画面。直到几天前,ANZ告诉他被盗款项已经全部追回,才算终结了这一场噩梦。
03
精确到分钟的作案时间线
后来他拿到了ANZ的最终调查报告,看完这份精确到分钟的官方时间线,惊出一身冷汗。
在13:40他的手机号被换走之后:
13:49,作案者利用短信验证码重置了网上银行密码。
13:56,第一笔九千多纽币转账成功。
14:27,再次利用短信验证码登录,第二笔九千多纽币转账成功。
16:49,发起第三笔九千多纽币转账,目标是名为Revolut的海外账户。
ANZ的风控系统在此时发现异常并试图联系他。
17:38,ANZ拨打了“他”的电话。犯罪分子接起后试图欺骗银行相信是本人授权,但ANZ察觉到了破绽,立刻冻结了网上银行。
17:58,他本人才用妻子的手机拨通了ANZ的电话说明情况。最终ANZ通过BNZ追回了被盗款项。
04
当事人复盘:触目惊心的漏洞
整件事复盘下来,他发现了几个触目惊心的漏洞。
第一是Kogan的身份验证机制存疑。不法分子究竟是通过什么方式通过了Kogan的身份核实,到现在仍是一个谜。当事人多次联系Kogan,希望对方告诉他验证流程到底是什么、需要提供哪些信息,但Kogan始终没有回复。他猜测,对方可能用了“手机丢了”、“原SIM卡丢了”等理由走了Kogan的常规补卡流程。
而Kogan在新西兰没有电话客服、没有实体门店、没有任何紧急联络方式,唯一的求助渠道是线上聊天。
第二是品牌和责任的切割。Kogan发出的提醒短信署名是One NZ,但打电话给One NZ又查不到号码。这种“借用底层网络但互相切割责任”的模式,让用户在最关键的时间窗口里得不到任何有效协助。
第三是银行端。ANZ的网上银行过于依赖短信验证码,新设备登录居然不需要额外身份验证。一旦手机号被盗换,从重置密码到完成转账几乎没有任何门槛。
05
运营商永远回复“正在调查中”
事发当天他通过在线聊天联系了Kogan,对方承认了SIM卡被盗换。第二天Kogan邮件告知案件已移交反欺诈部门,并提出免除他一个月话费作为补偿。他拒绝了,并发邮件说明事情的严重性。
此后Kogan每天的回复都是“案件正在调查中”,截至目前依然没有任何实质性进展。
运营商只是在回复中强调:“这次SIM Swap之所以能够发生,是因为不法分子完全通过了账户的身份核实,这些信息可能此前曾被泄露或存储在某个可被访问的地方。”
图片来自被采访者
换句话说, Kogan把责任归结到了“用户个人信息泄露”上。
One NZ的处理流程要正规一些:4月29日立案,5月4日就给出了初步调查结果。但调查结果让当事人非常不满。
他向发现君表示,他打的确实是One NZ官方客服,One NZ后来也把那段通话录音发给了他作为证据。可问题在于,当他在那通电话里描述SIM Swap正在发生时,One NZ的接线员什么都没提醒、什么都没做,就这么让SIM Swap发生了。
当事人指出,即使他不是One NZ的直接用户,作为底层网络运营商,One NZ也应该在察觉异常的第一时间提醒他可能正在遭遇电信劫持。可对方什么都没说,导致他真的以为只是号码发错了。
“不管信息如何泄露,电信运营商也有责任在系统中加强身份验证。”这是当事人反复强调的一点。把所有问题归结到“用户信息泄露”,在他看来是一种推诿。
06
更离谱的乌龙事件
更离谱的是恢复SIM卡的过程。
Kogan给他的快递单号显示SIM卡被寄到了奥克兰东区并签收,而他登记的住址在北岸。
他担心是犯罪分子早已修改了默认地址,立即联系Kogan。一整天调查后对方告诉他是“配送团队给错了订单号”,并给了新单号:而这个新单号其实是当天早上才刚寄出的。
虽然过程一波三折、煎熬了两周,但最终的结果是好的。
ANZ通过BNZ成功追回了全部被盗转的近两万纽币款项,这位网友的损失没有变成实际损失。
图片来自被采访者
07
银行卡被盗刷时有发生
银行卡盗刷在新西兰其实并不罕见,发现君就有过类似经历。
那次是去澳洲旅行,使用了一张ASB信用卡线下支付。回新西兰不久,发现这张卡的额度被刷爆,账单上多出几百笔每笔一纽币的交易,正好把信用卡剩余额度全部用光。
虽然报了警,但警察只是简单做了笔录,并建议前往银行。
随后发现君前往银行柜台注销了卡片,约半个月后银行主动来电,告知这些交易被认定为盗刷,额度已完全恢复,不需要偿还任何金额。
08
找警察没用,找银行才管用
把这两个案例放在一起看,可以发现:在新西兰遇到银行卡盗刷或账户被未授权操作,报警用处不大,真正能解决问题的,是银行内部。
新西兰银行业有一份叫做行业规范,明确规定如果客户因账户或银行卡被未经授权访问而遭受欺诈损失,银行将予以赔偿。钓鱼攻击或身份盗用这类“未授权支付欺诈”通常都属于银行需要赔付的范围。新西兰银行业协会在2025年还进一步明确,对受骗客户最高赔付50万纽币。
也就是说,新西兰银行愿意调查并赔偿被盗刷或未授权交易的损失,并不是某家银行的“善意之举”,而是整个行业的合规义务。
需要提醒的是,这些保护并不保证全额赔偿:
一是如果银行已发出明确风险提示而客户仍忽视提示授权转账,银行可能不承担责任;
二是社交媒体和线上交易平台上的购物欺诈也不在保护范围内。
09
给所有人的建议
如果有一天你也遇到类似情况,正确的处理顺序应该是:第一时间冻结账户、转移剩余资金,然后立即拨打银行的反欺诈热线,越快越好。
当然要报警,但不要太过期待。整个调查过程中要主动跟进、保留所有证据(短信、邮件、通话记录、交易截图),并尽快更换所有相关的密码和身份验证方式。
这件事最令人后怕的地方,是它根本不能算作一次“诈骗”:
“我压根啥也不知道,啥也没点,啥也没动,莫名其妙就被人把号换了,钱转走了。”
之前骗子至少需要让你“上钩”:点链接、接电话、输密码、转账。但在这次事件里,整个过程不需要受害者做任何配合,不法分子就能让你的电话号码被换走,然后用短信验证码登录你的网上银行,再大大方方地完成转账。
当事人已经准备彻底换号、换运营商。
也希望每一位看到这篇文章的朋友,能分享给身边的家人朋友,尤其是父母长辈。多一个人知道,就可能少一个人受害。
ref:
https://www.consumer.org.nz/money/banking/when-is-your-bank-liable-for-scam-losses
https://www.nzherald.co.nz/nz/nz-banks-introduce-new-fraud-protections-will-reimburse-scam-victims-up-to-500000/A4P4372WPRBDXGWNVKQXJH4IKM/
热门跟贴