没天理!网上转账丢了7000刀!银行居然说:谁让你密码太简单!

2019-05-13     温房网 1359 21

加拿大的银行服务一直都饱受诟病,感觉又慢又落伍。

 

但不得不说,e-transfer(电子邮件转账)这项服务还是很给力的,平常朋友聚餐大家AA,没带现金也不怕,戳一下身边的朋友“帮我付一下,e-transfer还你。”还有很多人会选择用e-transfer来交房租,或者进行一些小额的账务往来,也十分方便。

 


但网络安全专家警告说,e-transfer转账比人们想象中的风险更大。

 

e-transfer在加拿大每天使用超过一百万次,但它并不像宣传的那样安全,一位皇家银行(RBC)的客户说,他在电子转账期间被盗窃了1734元。

 

这件事发生在安大略省,一个叫Anne Hoover的女士,想把她RBC账户中的钱通过e-transfer转给她的朋友Fran Fearnley,但万万没想到,这笔交易竟然被网络拦截了,黑客还把钱转移到另一家银行的账户。

 

“我经常使用电子转账,”Hoover说,“我一直以为这是一种安全的汇款方式。”

 

一位RBC的经理说,内部调查显示,Fearnley的电子邮件账户遭到黑客入侵,当Hoover发送电子转账和安全问题时,黑客找到了安全问题的答案,然后将钱转到另一个银行账户。

 

Hoover说,误导性营销让她认为,Interac电子银行和RBC会在电子转账出现问题时保护她,但他们没有。

 

Hoover很生气,RBC承认有一位陌生人黑了她的电子转账,但却不会完全赔偿她,RBC认为,是她的安全问题和密码太弱导致被黑。


在线隐私保护和安全方面的专家表示,金融机构选择了便利,这导致强大的电子邮件密码和强大的安全问题和答案至关重要。

 

“你如何设置、管理这些密码非常重要,”《加拿大网络诈骗手册》的作者Claudiu Popa说,他也是为政府和公司提供建议的网络安全专家。

 

“银行和金融机构的电子邮件转账很方便。不幸的是,由于方便,它缺乏安全性。”

 

Hoover和Fearnley 3月18日从墨西哥旅行回来,就像一般朋友一样的操作,Hoover用e-transfer还她朋友垫付的旅行费用。

 


但当Fearnley打开电子邮件并试图接受转账时,她收到一条消息说电子转账已经被提取了。

 

于是她俩打电话给RBC的欺诈部门,一名银行员工提供了黑客的姓名,他的电子邮件,并说他已将钱转移到道明银行(TD)账户。

 

“这显然是一个完全陌生的人,”Fearnley说,“怎么可能发生这种情况?”

 

她俩又去了当地的RBC分行,他们都是RBC的老客户,Hoover已经用了RBC的服务30多年了。

 

结果没想到,银行将责任完全归咎于Fearnley的电子邮件不够安全。

 

Hoover在转账的时候,向她朋友设置的安全问题是:“谁是我最喜欢的披头士?”

 


额……显然,这个问题只有4个可能的答案,因为披头士只有4个人啊!不是John, Paul, George就是Ringo啊!这等于黑客有四分之一的机会猜到正确答案啊!

CBC的Go Public节目,对RBC的Interac系统进行了测试,回答安全问题刚好有四次机会,就算是把答案都试一遍,也没问题。

 

不得不说,这个密保问题确实有点欠考虑,但说实话,谁在设置问题时会想到,除了自己指定的收款人,还会有别人看到并有机会回答这个问题呢?

 

那些在e-transfer的时候直接把答案设置成“123456”或者“000000”的人,不也是为了方便对方收款嘛~~现在想想,后怕么?

 

“银行经理继续坚持,这不是他们的问题,是我们的问题,” Hoover说。

 

最终,经理同意赔偿Hoover一半的损失,作为“善意的表示”。

 

对这样的结果,Hoover当然不满意,于是向当地警方提交了一份报告,但警察告诉她,很难打击在线欺诈行为,找回这笔钱可能需要很长时间,而且很可能毫无结果。

 

Hoover这才向CBC的Go Public节目爆了料,她觉得自己被银行的网站误导了。

 

一个关于RBC数字安全的网页显示,他们“受到了全面保护”,并且会“报销”任何未经授权的交易。

 

但当Hoover向银行指出这一点时,银行表示,如果客户在网上转账时使用的密码太弱,则不会受到保护。

 

小编注意到,RBC的网站上,确实有很大很明显的内容,在宣传自己的对于客户电子转账的安全保障。但在被隐藏的“法律免责声明”里,却有这样的内容:

 


“持卡人对因其无法控制的情况造成的损失不承担责任,但前提是他们已采取合理的预防措施来保护自己的卡和PIN密码。”


敲黑板划重点:注意了!如果因为自己的原因密码泄露了,或者密码设置的太简单而被破解了,银行是不负责任,不会赔偿的。

 

就是这样一个普通人很难注意到的免责声明,让Hoover拿不到银行的赔偿。

 

RBC拒绝了Go Public的采访请求。

 

RBC的公关总监AJ Goodman在一份声明中写道:“作为我们电子转账协议的一部分,客户需要承诺使用独特的密码和安全问题,并且不容易被其他人猜到或获得。”

 

Interac公司公关高级经理Adrienne Vaughan也在一份声明中写道,加拿大人必须“保护他们的电子邮件和密码,以免成为网络犯罪的受害者,由此可以安全地在线交易。”

 

在另一个类似的案例中,萨省的Sylvia Veith医生在2017年6月使用e-transfer转钱给儿子的曲棍球联盟时,损失了7000元。

 

这笔钱也同样是被截获了,RBC也同样将问题归咎于她的密码太弱。

 


“电子邮件转账比人们想象的风险要大得多,” Popa说。“人们已经习惯了e-transfer带来的便捷,所以没出事前吗,也默认它是安全的。”

 

他说,银行和其他金融机构,其实是牺牲安全性,换取便利,来吸引大量使用该系统的人。

 

这等于是把保卫账户安全的任务,悄悄转移到了用户头上。

 

根据加国最大的在线资金转账服务公司Interac Corp.的数据,去年在加拿大的电子转账超过3.71亿笔,金额超过1320亿。

 

加拿大反欺诈中心告诉Go Public,它在2018年收到了163份涉及电子转账犯罪的报告。

 

Popa在www.haveibeenpwned.com上快速搜索了Fearnley的电子邮件,这是一个跟踪数据泄露的网站,报告了近80亿次个人账户信息被盗取的情况。一个电子邮件地址可以从几个不同的来源获取。

 

Popa发现Fearnley的电子邮件在两个网站上遭到黑客入侵:LinkedIn(全球最大职业社交网站,是一家面向商业客户的社交网络。)和Verification.io(一家提供企业级邮件验证服务的公司。)

 


“这意味着人们的电子邮件列表已经被卖给了其他人,”Popa说。 “不同的人从这些名单中获取了他们所需要的东西。”

 

网络安全专家表示,金融机构和Interac需要一种“双重身份验证”的东西来更好地保护人们的账户。

 

“每次登录账户时都需要使用验证码,”Popa解释说。“比如发个短信到手机上,或发个电子邮件到另一个邮箱里作验证,仅在收到后几秒钟或几分钟内有效。”

 

他说,金融业知道需要更多的安全保障,但他们更关心的是让客户方便使用e-transfer。

 

Go Public向RBC和Interac询问,他们为什么不使用双重身份验证。两家公司都拒绝解决这个问题。

 


长按下面的二维码,就能扫描关注我们的公众号哦~

 unnamed.jpg



做个看完就转的好同志

相关新闻