这件事的来龙去脉,温哥华华人朋友最好花两分钟理一下——它直接关系到大家手里的GST退税、CCB牛奶金、退休金这些走CRA的钱,怎么进了别人的口袋。
根据National Post报道,联邦政府将向受CRA数据泄露影响的加拿大人合计支付870万加元和解金。这笔和解延续的是上周已被披露的、自2020年以来累计超过4.2万起的CRA账户安全事件。
黑客是怎么把钱"换路"的
报道里讲清楚的关键一点是:黑客拿到的不只是看一眼账户的权限,他们做了两个动作。
第一步是改直接存款信息。CRA的钱(退税、CCB、GST/HST credit、CPP、OAS等)默认走直存到你绑定的银行账户。黑客一旦能登录你的账户,就把收款银行账号改成自己控制的账户。
第二步是提交虚假福利申请。在已经被劫持的账户上,提交一些纳税人本来没有打算申请的福利项目,让CRA以为是合法请求,把钱划过去。
等真正的纳税人发现"咦怎么这个月没收到牛奶金/退税"的时候,钱已经进了别人口袋了。
哪些人可能拿到这笔870万
本篇要诚实说一句:具体的赔付名单、人均金额、申请截止日期、和解协议的法律细节,原文摘要并未充分披露。这些是看了原报道才能确定的,加拿大小编不强行编。
能负责任告诉大家的是:联邦总盘子是870万加元,针对的就是被改了直存或被冒名申请福利的那批人。如果你近一两年突然收到关于CRA的官方通知信件、说和"账户安全事件"或"和解(settlement)"有关,不要直接当垃圾邮件丢掉——那有可能是真实合法的赔付通知。
但同样要警惕另一面:每次有这类全国性新闻,骗子马上跟风冒充"CRA和解专员"打电话、发短信、发邮件,要你"提供SIN、银行账号、信用卡号来领取和解金"。CRA从不会通过电话或短信向你索要银行密码、信用卡CVV或SIN号最后三位以外的内容。
普通纳税人现在能做的三件事
不管你是不是这次870万里的受害者,下面这三件事,今天就可以做:
第一,登录CRA My Account查"登录历史"和"我的账户活动"。看看有没有陌生设备、陌生城市、不该是你的登录时间。CRA系统能看到最近的访问记录。
第二,确认直接存款(Direct Deposit)银行账号没被改。在My Account里能看到当前绑定的银行机构号(institution)、转运号(transit)、账号尾号。如果这一项不是你自己的银行——立刻打CRA报告。
第三,回顾过去12个月的福利收款。GST退税、CCB牛奶金、Climate Action incentive这些钱,原本应该按节奏落到你账户。如果某一笔本应到账却没到账,又或者你查不到对应的存款记录,这就是危险信号。
开通双重验证不是可选项
CRA这两年其实一直在推强制的多重身份验证(MFA / 2FA)。如果你还没设,趁今天就开。常见做法是绑定手机短信验证码,或者用Authenticator类App。这一步能挡住绝大多数盗号。
另外,CRA账户的密码不要和你常用的Hotmail、Gmail、银行网银重复。一旦你常用的某个平台被脱库,黑客拿你那串密码挨个试,是这类账户被攻破的最常见路径之一。
关于这宗870万和解的资格判断、申请方法、各省受害人具体数据——加拿大小编建议直接看National Post原文,并以联邦政府和CRA官方公告为最终依据。