加拿大的银行服务一直都饱受诟病，感觉又慢又落伍。

但不得不说，e-transfer（电子邮件转账）这项服务还是很给力的，平常朋友聚餐大家AA，没带现金也不怕，戳一下身边的朋友“帮我付一下，e-transfer还你。”还有很多人会选择用e-transfer来交房租，或者进行一些小额的账务往来，也十分方便。

但网络安全专家警告说，e-transfer转账比人们想象中的风险更大。

e-transfer在加拿大每天使用超过一百万次，但它并不像宣传的那样安全，一位皇家银行（RBC）的客户说，他在电子转账期间被盗窃了1734元。

这件事发生在安大略省，一个叫Anne Hoover的女士，想把她RBC账户中的钱通过e-transfer转给她的朋友Fran Fearnley，但万万没想到，这笔交易竟然被网络拦截了，黑客还把钱转移到另一家银行的账户。

“我经常使用电子转账，”Hoover说，“我一直以为这是一种安全的汇款方式。”

一位RBC的经理说，内部调查显示，Fearnley的电子邮件账户遭到黑客入侵，当Hoover发送电子转账和安全问题时，黑客找到了安全问题的答案，然后将钱转到另一个银行账户。

Hoover说，误导性营销让她认为，Interac电子银行和RBC会在电子转账出现问题时保护她，但他们没有。

Hoover很生气，RBC承认有一位陌生人黑了她的电子转账，但却不会完全赔偿她，RBC认为，是她的安全问题和密码太弱导致被黑。

在线隐私保护和安全方面的专家表示，金融机构选择了便利，这导致强大的电子邮件密码和强大的安全问题和答案至关重要。

“你如何设置、管理这些密码非常重要，”《加拿大网络诈骗手册》的作者Claudiu Popa说，他也是为政府和公司提供建议的网络安全专家。

“银行和金融机构的电子邮件转账很方便。不幸的是，由于方便，它缺乏安全性。”

Hoover和Fearnley 3月18日从墨西哥旅行回来，就像一般朋友一样的操作，Hoover用e-transfer还她朋友垫付的旅行费用。

但当Fearnley打开电子邮件并试图接受转账时，她收到一条消息说电子转账已经被提取了。

于是她俩打电话给RBC的欺诈部门，一名银行员工提供了黑客的姓名，他的电子邮件，并说他已将钱转移到道明银行（TD）账户。

“这显然是一个完全陌生的人，”Fearnley说，“怎么可能发生这种情况？”

她俩又去了当地的RBC分行，他们都是RBC的老客户，Hoover已经用了RBC的服务30多年了。

结果没想到，银行将责任完全归咎于Fearnley的电子邮件不够安全。

Hoover在转账的时候，向她朋友设置的安全问题是：“谁是我最喜欢的披头士？”

额……显然，这个问题只有4个可能的答案，因为披头士只有4个人啊！不是John, Paul, George就是Ringo啊！这等于黑客有四分之一的机会猜到正确答案啊！

CBC的Go Public节目，对RBC的Interac系统进行了测试，回答安全问题刚好有四次机会，就算是把答案都试一遍，也没问题。

不得不说，这个密保问题确实有点欠考虑，但说实话，谁在设置问题时会想到，除了自己指定的收款人，还会有别人看到并有机会回答这个问题呢？

那些在e-transfer的时候直接把答案设置成“123456”或者“000000”的人，不也是为了方便对方收款嘛~~现在想想，后怕么？

“银行经理继续坚持，这不是他们的问题，是我们的问题，” Hoover说。

最终，经理同意赔偿Hoover一半的损失，作为“善意的表示”。

对这样的结果，Hoover当然不满意，于是向当地警方提交了一份报告，但警察告诉她，很难打击在线欺诈行为，找回这笔钱可能需要很长时间，而且很可能毫无结果。

Hoover这才向CBC的Go Public节目爆了料，她觉得自己被银行的网站误导了。

一个关于RBC数字安全的网页显示，他们“受到了全面保护”，并且会“报销”任何未经授权的交易。

但当Hoover向银行指出这一点时，银行表示，如果客户在网上转账时使用的密码太弱，则不会受到保护。

小编注意到，RBC的网站上，确实有很大很明显的内容，在宣传自己的对于客户电子转账的安全保障。但在被隐藏的“法律免责声明”里，却有这样的内容：

“持卡人对因其无法控制的情况造成的损失不承担责任，但前提是他们已采取合理的预防措施来保护自己的卡和PIN密码。”

敲黑板划重点：注意了！如果因为自己的原因密码泄露了，或者密码设置的太简单而被破解了，银行是不负责任，不会赔偿的。

就是这样一个普通人很难注意到的免责声明，让Hoover拿不到银行的赔偿。

RBC拒绝了Go Public的采访请求。

RBC的公关总监AJ Goodman在一份声明中写道：“作为我们电子转账协议的一部分，客户需要承诺使用独特的密码和安全问题，并且不容易被其他人猜到或获得。”

Interac公司公关高级经理Adrienne Vaughan也在一份声明中写道，加拿大人必须“保护他们的电子邮件和密码，以免成为网络犯罪的受害者，由此可以安全地在线交易。”

在另一个类似的案例中，萨省的Sylvia Veith医生在2017年6月使用e-transfer转钱给儿子的曲棍球联盟时，损失了7000元。

这笔钱也同样是被截获了，RBC也同样将问题归咎于她的密码太弱。

“电子邮件转账比人们想象的风险要大得多，” Popa说。“人们已经习惯了e-transfer带来的便捷，所以没出事前吗，也默认它是安全的。”

他说，银行和其他金融机构，其实是牺牲安全性，换取便利，来吸引大量使用该系统的人。

这等于是把保卫账户安全的任务，悄悄转移到了用户头上。

根据加国最大的在线资金转账服务公司Interac Corp.的数据，去年在加拿大的电子转账超过3.71亿笔，金额超过1320亿。

加拿大反欺诈中心告诉Go Public，它在2018年收到了163份涉及电子转账犯罪的报告。

Popa在www.haveibeenpwned.com上快速搜索了Fearnley的电子邮件，这是一个跟踪数据泄露的网站，报告了近80亿次个人账户信息被盗取的情况。一个电子邮件地址可以从几个不同的来源获取。

Popa发现Fearnley的电子邮件在两个网站上遭到黑客入侵：LinkedIn（全球最大职业社交网站，是一家面向商业客户的社交网络。）和Verification.io（一家提供企业级邮件验证服务的公司。）

“这意味着人们的电子邮件列表已经被卖给了其他人，”Popa说。 “不同的人从这些名单中获取了他们所需要的东西。”

网络安全专家表示，金融机构和Interac需要一种“双重身份验证”的东西来更好地保护人们的账户。

“每次登录账户时都需要使用验证码，”Popa解释说。“比如发个短信到手机上，或发个电子邮件到另一个邮箱里作验证，仅在收到后几秒钟或几分钟内有效。”

他说，金融业知道需要更多的安全保障，但他们更关心的是让客户方便使用e-transfer。

Go Public向RBC和Interac询问，他们为什么不使用双重身份验证。两家公司都拒绝解决这个问题。

长按下面的二维码，就能扫描关注我们的公众号哦~