去年被骗的两笔学费｜写给上过当不敢说的孩子和家长

写于波士顿｜Apple Li（李双）｜U Plus Education

前两天我发了一篇关于留学生在美国常见骗局的文章。一位读者留言质疑里面「虚拟绑架」那一种——他说「自己绑自己、自己拍照、自己发出去」这种事不可信。

我特意做了一份深入回复。因为我理解他的质疑。现在的骗局精密到匪夷所思的程度，让人很容易上当。聪明、有职业训练、平时谨慎的人，都会上当。

包括我自己。

这一篇是写给上过当但说不出口的孩子和家长。和我曾经一样。

上一篇：留学生防骗完全指南：10种真实骗局与家庭安全协议

一、被骗走的两笔学费

去年的某一天，我收到一所学校发来的学费通知，且是一个我熟悉的学校管理层发邮件给我，介绍学校会计给我，抄送了会计，我们三人在同一邮件链条里。

那是一份格式完整的邮件，后来的邮件也都是从学校会计部的邮箱发来，附了正规发票。金额准确、用途准确。我做了我能做的所有核查：核实了会计的邮箱地址、CC 了学校的另一位管理员，让两个人都在邮件链上。

我转账。会计邮箱回复：「已收到。」我把转账截图回复过去。

过了一个月，第二笔学费要交了。我重复了同样的流程。同一个会计邮箱、同一种 confirmation、CC 同一位管理层。第二笔款转完，「已收到」也回来了。

大年三十。

我在家里给亲戚朋友发红包、发新年祝福、做饭、家里热热闹闹的时候，手机响了。

来自这个学校，说：「你的学费一直没有交。」

学校的会计邮箱被黑了。攻击者用她的邮箱给多位家长发了「学费通知」，附上篡改过银行账号的发票，然后用同一个邮箱回复「已收到」。被骗的不止我一个人。

那一刻「五雷轰顶」四个字一点不夸张。

我事后回想，那个 CC 的学校管理层，最开始的几封邮件她是回复了的，后来就不回复了。我当时想，她可能忙，不好意思去催她。

换句话说：我观察到了 anomaly（异常），但我用「她可能忙」安慰自己，把这个 anomaly 绕过去了。这一点后来反复让我想起。

我去报警。警察告诉我：「网络诈骗我们管不了。你去网上提交报案材料。」

我提交了。收到了 confirmation 邮件。一年多过去了，至今没有任何后续。

警察当时还告诉我一句话：这类网络诈骗，钱追回来的可能性低到等于零。

那之后很长一段时间，我对这个世界有一种强烈的不安全感。让我难过的不只是损失了那笔钱。是我引以为傲的判断力居然这么容易被绕过。一个学过临床心理、做了多年顾问、习惯于「看见别人内心」的人，居然没看见一封邮件背后的劫持。

那段时间我的人生观受到了挑战，安全感也受到了极大的挑战。

二、今天差一点又上当

今天我又差一点中招。

收到一封看起来是 Citizens Bank 发来的邮件，说他们系统升级了，让我登录看看信用卡账户。我点了进去。注册登录。所有信息都准确。

然后我看到信用卡支付金额不对，就点进去查看详细。但页面一直报错。

紧接着——大约就在我注册完一分钟之后——电话来了。

一个声音说：「这里是 Citizens Bank 反欺诈部门。刚才检测到你账户有异常活动，你是不是开了一张新信用卡？在上海有几笔消费？」

我直接挂掉。

挂掉之后我反复想这件事。然后我意识到一件让我后背发凉的事：

邮件是真的。

mail@em.citizensbank.com 是 Citizens Bank 真实的 email marketing 子域名。邮件确实是它发的。

网站是真的。 我注册的就是 Citizens Bank 官方网站。

页面报错也是真的 ——大型银行网站偶尔有 bug，再正常不过。

但电话是假的。

骗子是怎么知道我刚刚注册完、网站刚刚报错、要在这一刻打这通电话的？最可能的几种解释：

• 我的电话号码早就在某次 data breach 里流出过，骗子手上有一份「Citizens Bank 客户」的电话列表。他们每天自动拨几千通，恰好这通打到我时是这个时机。
• 或者更精准的版本：某个第三方 tracker、数据中介、甚至浏览器扩展把我的浏览行为卖给了骗子，他们 real-time 知道我刚和 Citizens Bank 有 interaction。
• 或者：我电脑或手机上某个 app 被入侵了。

真相是哪一种我不知道。但这件事教会我一件比之前任何防骗经验都重要的事：

即使邮件是真的，网站是真的，紧接着打来的电话也可能是假的。

这一次我抓住的几个关键点：

• 银行从来不会用 unsolicited 电话主动问你消费细节。任何这样开场的电话——挂掉。
• 任何来电号称是「银行反欺诈部门」——挂掉之后，自己用银行卡背面的官方电话回拨过去。这是唯一可靠的验证方式。
• 时机巧合反而是 red flag。 骗子最擅长的就是踩着你刚做完某个动作的瞬间打来——让你的大脑自动把「上一个真的动作」和「这一个假的电话」绑成一件事。
• 电话里直接质问 + 制造紧迫感 + 让你立刻提供个人信息——典型的 emotional flooding，前额叶下线的标志。
• 最重要的： 即使前面所有的环境（邮件、网站、官方域名）都是真的，下一步仍然可能是假的。骗子不一定要伪造整条链路——他们只需要在你已经放下警惕的瞬间，加进一个假的环节。

去年那笔学费的代价，换来了今天我把电话挂掉的反应。

三、我开始到处说之后，才看见骗局的真正规模

去年那次被骗之后，我做了和大多数人不同的反应——我到处说。

对我的学生说。对我的家人说。对我朋友圈里所有可能听见的人说。

我不怕别人觉得我愚蠢。我只想多提醒到一个人，就少一个人上当。

说出来之后，我才发现身边那么多人都经历过类似的事——只是大多数人不敢说。

上一篇我整理了 10 种最常见的诈骗。这一篇，我再加 10 种——专门发生在留学生身上、上一篇没有覆盖的。

11. Facebook Marketplace / Craigslist 网购骗局

留学生买二手家具、自行车、手机最爱用 Facebook Marketplace 和 Craigslist。骗子也最爱在这里下钩。常见套路：你看上一件东西，价格特别好。「卖家」说自己在外州、正在搬家、不方便当面交易，要求先用 Zelle / Venmo / Cash App 转 deposit「锁定」商品。钱转过去之后人就消失，商品要么不存在，要么早卖给了别人。

红旗： 价格明显低于市场、卖家不愿见面、要求线上预付而不是当面交易、催你「快点决定否则卖给别人」。

12. 二手车买卖陷阱

留学生第一次买车特别容易踩。Craigslist 或 Facebook 上「私人卖家」价格比 KBB 估价低 30% 以上的车，卖家说自己在外州或即将搬家，要求先付 deposit 锁定。钱进去就消失，车不存在。

另一种：车存在，但 title 有问题——车是问题车、抵押未结清、被偷过、洪水泡过的。私人卖家不告诉你，你买回家后发现保险办不了、车经常出问题、或者过户时出事。

必做： 买二手车前一定要查 VIN 报告（CarFax 或 AutoCheck）。

13. 假支票 / 多付款骗局（Fake Check / Overpayment）

你在 Marketplace 卖东西，「买家」用 cashier's check 多付款，说「对不起多付了，请把多的部分用 Zelle 退给我」。你看是 cashier's check，以为银行担保过的就把多的钱退了过去。几天之后银行通知你支票是假的，原款被收回——你既丢了商品，又欠银行那笔钱。

⚠️ 任何「多付款 + 请退给我」的剧本都是骗局。cashier's check 不是 100% 安全的，银行最终拿回 chargeback 时所有损失都算在你头上。

14. Zelle / Venmo 假退款骗局

骗子先给你 Zelle / Venmo 转一笔小钱（$50–$500），说「对不起转错人了，请退回去」。你以为是好心人帮一下就退了。但他的原始转账用的是被盗账户的钱——真正账户的主人会向银行投诉，银行从你账户里把那笔钱追回。你不仅亏了你退给骗子的钱，可能还被卷入 fraud investigation。

⚠️ 陌生人转账给你后让你退回去，一律不要直接退。先联系 Zelle / Venmo 客服或银行说明情况。

15. AI 深度伪造声音 / 视频诈骗

这是 2024–2025 急速崛起的一类骗局，技术门槛低到任何人都能做。

骗子只需要 3 秒钟你父母或子女在社交媒体上的声音录音，就能用 AI 克隆出完全一样的声音。给国内父母打电话：「妈，我出事了，被警察抓了，急需用钱保释。」声音、语气、口头禅都对得上。

根据 FBI 2025 年度报告，AI 语音诈骗在 2025 年第一季度录得同比 1,600% 的增长。

升级版本是视频通话：骗子用 deepfake 技术做出和你儿子或女儿一模一样的视频画面，表情、嘴型同步。香港 2024 年一家公司就在一次「全员视频会议」里被骗 2,560 万美元（约 2 亿港元）——会议里除了被骗的那一位真人，其他人全是 deepfake。

在你的孩子出国前——和他约定一个只有你们两个人知道的词。

可以是孩子小时候的小名、家里养的猫的名字、第一次全家旅游去的城市——任何外人不可能查到的细节。

约定规则：以后任何「紧急情况」打来的电话——绑架、急病、出车祸、被警察扣留、需要急汇钱——一律先问这个暗号。问不出来的，无论声音多像、视频多真，都是假的。

不要在微信、邮件、社交平台上用过这个词。声音不再可信，眼睛看到的视频也不再可信。在这个时代，只有暗号可信。

16. 微信 / Instagram / Facebook 被盗号借钱

你信任的朋友或家人的社交账号被黑，攻击者用他们的身份给你发「急用钱」。典型说辞：「我手机坏了，临时借我 $500 周一还」、「我在国外，钱包丢了，能不能帮我转一下」、「在外地办急事，先帮我付一下，明天还你」。你以为是真朋友，直接转账。

⚠️ 任何熟人通过文字消息借钱，无论金额多小，一律打电话或视频确认是本人。骗子最不希望你做的事，就是打电话验证。

17. OPT / 求职假 offer + 付费培训

骗子假冒名公司（Google、Microsoft、Meta、Tesla 等）的 hiring manager，通过 LinkedIn 或 Indeed 联系留学生，说有 remote position，时薪 $50–100。你「被录取」后，HR 要求你先付：equipment deposit、background check fee、training fee、software license。每一笔几百到几千美元。付完之后人消失，或者继续找新理由要钱。

FBI 2024 年数据：就业骗局损失从 2020 年的 9,000 万美元升到 2024 年的 5.01 亿美元——爆炸式增长。OPT 期间的留学生急着找 sponsor 公司，是这类骗局的重灾区。

任何要求「先付费」的工作 offer，都不是真的工作。

18. 网恋短期「急用钱」骗局

和杀猪盘（pig butchering）不同。杀猪盘是 3–6 个月的长线培养感情然后引诱「一起投资」。这一类是几周到一两个月的短线：聊得很热络，对方突然说「我父亲住院」、「被困在国外回不来」、「信用卡盗刷了」、「急需用钱保命」、「等下就还你」。

钱转过去，人消失。研究显示三分之二的国际学生在到美国的头几个月经历严重孤独感——骗子吃准了这一点。

19. 游戏代充骗局

专门盯玩 Steam / Roblox / Fortnite / Genshin Impact 等游戏的高中生和大学生。「代充值打折」——你给骗子 $80，他承诺帮你充 $100 到游戏账户。充进去后账户被冻结，需要继续转钱「解冻」，金额越来越大。

任何游戏内「代充值打折」，一律是骗局。所有正规游戏都有官方充值通道，价格透明。便宜的代充不存在。

20. Tech Support Pop-up 骗局

你浏览某个网站时突然弹窗，警告「你的电脑中毒了，请立即拨打 Microsoft / Apple 技术支持电话」。号码看起来正式，pop-up 也做得像系统警告。你打过去，对方让你下载 remote control 软件让他「修电脑」。一旦下载，骗子获得你电脑的控制权，可以盗取所有数据，或者锁定电脑要赎金。

Microsoft / Apple / Google 永远不会用 pop-up 警告你电脑中毒，也永远不会给你电话号码让你打过去。任何弹窗里的电话号码都是骗局。

这 10 种，加上上一篇的 10 种，覆盖了我这些年看到的、听到的、自己经历过的约 80% 的真实案例。

四、临床心理学角度：聪明人为什么也会上当

学过临床心理咨询之后我才明白：上当不是因为人不聪明。是骗子精准利用了大脑里几个固有的 bug。

Bug 1：Authority bias（权威偏差）

邮件标识是「学校会计」、「银行」、「中国公安」。大脑对权威源头的信息默认高信任。这是几万年进化出来的快速判断机制，正常情况下让我们高效，被骗时让我们脆弱。

Bug 2：信息打包（Information packaging）

骗子用 80% 的真实信息（你的真实姓名、真实地址、真实信用卡余额、真实学费金额、真实学校会计邮箱）包住 20% 的假信息（假账号、假发票）。大脑会自动用「真实的部分」为「虚假的部分」背书。

Bug 3：紧迫感 + 稀缺感（Urgency + Scarcity）

「必须立刻处理」、「今天截止」、「否则会有后果」。紧迫感让大脑的前额叶皮质（理性判断中枢）下线，让杏仁核（情绪反应中枢）接管。这种状态下，一个 40 岁的人的判断力可以瞬间回到 14 岁。

Bug 4：孤立决策（Isolated decision-making）

骗局的一个核心动作，是把你孤立。「不要告诉别人」、「这是机密」、「现在不能挂电话」，目的都是阻止你和第三方核实。如果你能跟一个清醒的人核对一下，骗局立刻穿帮。

Bug 5：信任传递（Trust hand-off）

你信任学校，学校信任会计，骗子伪装成会计。你信任银行，银行有 marketing 子域名，骗子踩在你对真实品牌的信任上打来电话。骗子不需要骗你信他，他只需要骗你信你已经信的人。

当这 5 个 bug 同时被精准利用的时候，没有人是真的免疫的。

五、那次之后我建立的几个具体协议

那笔学费没追回来。但它让我建了几个一直用到今天的协议：

• 任何 unsolicited（自己没主动找的）邮件，3 天不操作。 邮件里的链接一律不点。要登录账户，关掉邮件，从浏览器自己输入官网地址。
• 任何转账前，必须电话或当面 verify。 不是回复邮件 verify，是用我从其他独立渠道查到的电话号码打过去 verify。
• CC 多人的邮件链里，必须每个人都回复了我才放心。 如果有人中途停止回复，我会主动追问。anomaly 不能用「她可能忙」绕过去。
• 任何来电要我提供信息或转账的，挂断后我主动打回去。 用官方网站上查到的号码，不是来电显示的号码。
• 重大金额的事项，必须和家人讨论一次。 孤立决策是骗子最爱的状态。哪怕家人说「听起来没问题」，这次确认本身就让大脑从情绪状态切回理性状态。
• 不在网络上和陌生人讨论钱。 任何号称「投资机会」、「内部信息」、「高回报」、「急需用钱」的，无论包装多漂亮，一律拒绝。

六、写给上过当不敢说的孩子

如果你正在读这篇文章，你已经上过当——

第一，你不蠢。

骗子的剧本被反复测试、反复优化，它精准利用了人脑几个 hard-coded 的 bug。学过临床心理学、做了多年顾问的我都中过招，你没有理由因为上当就觉得自己愚蠢。

第二，越早说出来，损失越小。

包括金钱的损失，也包括情绪的损失。一个人扛着「我居然这么傻」的羞耻几个月、几年，比损失的钱本身伤害大得多。说出来不会让损失变更大，说出来是让伤口开始愈合。

第三，去报警。

警察大概率追不回钱（这是事实，要面对）。但报案有几个意义：(a) 给后来的受害者积累证据；(b) 让骗局的某些环节进入执法视野；(c) 这本身是一个「我承认这件事发生了」的仪式，对你自己的心理修复有帮助。

第四，如果你是留学生，告诉一位你信任的成年人。

这个人可以是父母，可以是学校 counselor，可以是一位 mentor。不要一个人扛。被骗这件事让人产生强烈的孤立感——而孤立感正是骗子在你身上留下的最持久的伤害之一。打破孤立，是修复的第一步。

七、写给会指责孩子「你怎么这么傻」的家长

如果你的孩子告诉你他上当了，你的第一反应将决定他下一次会不会告诉你。

你说「你怎么这么傻」，他下次不会告诉你了。

你说「我们一起想想怎么办」，他下次还会告诉你。

被骗的孩子已经在用最严厉的语言指责自己。他需要的不是你再给他加一层羞耻，是一个他能回去的地方。

你也可能上当过。承认这一点，让他知道你也会犯这种错。羞耻被分担之后会变轻很多。

尾声

写这篇文章的时候我犹豫了好几次。

公开承认「我被骗了两笔学费」，对一个职业上靠「专业判断」立身的人来说，不是没有代价的。读者可能会想：「她连自己都看不清楚，凭什么帮我看清楚我家孩子？」

但我做了这个决定。

因为那段时间扛着「我居然会上当」的羞耻，我太懂那种感觉了。如果我作为一个受训过的临床咨询师都需要好几个月才走出来，那些没受过专业训练的孩子和家长又怎么走得出来？

如果有一个孩子因为读到这篇文章，鼓起勇气告诉父母他也上过当，这篇文章就值。

骗局真正的伤害不是损失的那笔钱，是它在你心里留下的那道「我居然这么傻」的疤。

那道疤的解药，是原谅自己。

重要信息与如何报案

• FBI 网络犯罪举报中心（中文也可填）：ic3.gov
• 美国联邦贸易委员会消费者投诉：reportfraud.ftc.gov
• 中国驻美国大使馆领事保护：+1-202-495-2216
• 中国外交部全球领事保护 24 小时热线：+86-10-12308
• 学生优先联系：学校的国际学生办公室（International Student Office）

数据来源

本文核心数据来自：FBI IC3 2024 与 2025 年度报告、FBI Operation Level Up 公开数据、美国联邦贸易委员会 (FTC)、Chainalysis 2024 加密犯罪报告、香港警方 2024 年 deepfake 诈骗案件公告、以及《Journal of International Students》《Frontiers in Psychology》等学术期刊。

Apple Li Boston, 2026