蒙特利尔银行(Bank of Montreal)的客户对该行基础设施内的安全措施不足提出了警告。此前,CTV曾采访了该行的四名客户,他们或他们的家庭成员银行账户中的钱被盗取,并通过全球汇款转移到海外。报道发出后,又有数十位客户发邮件称他们也遇到了类似的情况。
渥太华居民 Katya Feder 接受采访时表示,2023年4月,她曾与冒充 BMO 员工的诈骗者通过电话进行了一次简短交谈,之后损失了$14,500。
据悉,她被告知有一笔可疑交易从她的账户中购买加密货币,银行希望确认该交易是否合法。之后称要验证客户身份,给她发送了验证码。
她还想着银行真负责,就告诉了他。结果账户就被盗了。
在那通电话几天后,Feder得知她的钱被从她的账户中取出,并以一笔大额全球汇款的方式汇往英国。她向BMO银行报告了这一情况,并被告知银行正在展开调查,但几个月后,她没有看到任何形式的赔偿,也没有收到任何有关犯罪分子如何如此轻易地进入她的账户的信息。
“我使用BMO银行40多年了,一直使用同一个银行账户,从来没有使用过全球转账。我甚至不知道可以进行全球汇款。”
更多BMO客户遭遇诈骗
Feder表示,她还加入了一个WhatsApp群,里面大约有20人最近都因为欺诈活动损失了数千元。他们都是BMO的客户。
Laurie Johnson 81岁的母亲就是受害者之一。她试图追回2023年10月13日从母亲账户被盗的$1.5万。Johnson表示,她母亲的遭遇基本上是Feder的翻版,她的钱被汇到了孟加拉国。
还有安省的Christine 和 Kevin Avey夫妻,因访问了假BMO网站账户被盗$15,000,钱也被汇出国。
安省Debbie Sammit的经历更离奇,她称自己从未收到过任何一次性密码,也从未使用过任何公共 Wi-Fi,但还是被人从账户转走了钱。
没有验证可疑交易
这些受害者们都表示自己从没有用过全球汇款功能,而银行竟然不会标记这一点,或者直接停止交易打电话过来确认。
Christine Avey表示:“我从来没有过电子转账,更不用说全球转账了。我只在这个账户上存过钱,而这么大的一笔交易却被允许通过,甚至没有通知我们,或者没有被暂停。这笔交易对我的银行习惯来说太不寻常了。”
”我们从未向任何人提供过我们的密码,但他们仍然指责我们。BMO解释说,如果我们没有把密码给任何人,那么我们就没有采取合理的措施来保护我们的密码。这似乎是BMO给客户的标准说法,但他们并没有实施更强的安全措施,或者对全球转账设置一些限制。”
“警察抓不到他们。他们似乎什么都做不了。他们只会说找不到这些人,银行也没有采取任何措施,而骗子们继续进行着欺诈活动。这种情况到处都在发生,真是令人沮丧。”
曾有11万客户信息被泄露
科技分析师Carmi Levy表示:“网络犯罪分子甚至不必需要是电脑高手。他们可以购买套件,购买数据,购买整个流程,包括通过电话联系你时应该遵循的脚本。所以,我们现在看到的几乎是网络犯罪的商品化。”
犯罪分子如何获取这些数据?可能是社交媒体、网络钓鱼电子邮件或之前的数据泄露等任何原因。
三年前,加拿大隐私专员办公室发现BMO存在“安全缺陷”,导致约11.3万个账户大规模被盗。
“第一次网络攻击发生在2017年6月至11月期间,而第二次攻击发生在同年12月下旬。直到2018年5月收到封勒索邮件,BMO才意识到个人信息已被攻击者窃取,促使其对其系统进行全面的技术审查。经过审查,BMO发现第一次泄露涉及36,755名客户,第二次涉及76,399名客户。”
“在这些攻击中,未经授权的第三方获得了广泛的个人信息,其中包括(取决于个人)财务账号、社会保险号(SIN)、姓名、职业、出生日期(DOB)、地址和/或信用卡/借记卡号。”
“这些数据不会在几年后消失,它仍然掌握在恶意行为者手中。这些信息会被抓取并在暗网上共享,网络犯罪分子可以免费使用这些资源。所以,当他们打电话过来时,感觉就像他们是从银行机构打来的。感觉他们认识我们。这是因为他们有足够的关于我们的数据信息,让我们相信他们是合法的。”
认为银行没有充分调查其担忧的消费者可以选择联系银行服务和投资监察员 (OBSI)。过去两年,OBSI 收到的投诉数量大幅增加。
“过去5年,我们的投诉量一直在增加,在疫情期间投诉量非常高之后,2023年银行和投资投诉量都达到了创纪录的水平。2023年,银行案件从2022年的686起增加到2388起,同比增长近250%。”OBSI沟通和利益相关者关系主任Mark Wright说。
10月17日,联邦政府宣布,OBSI将很快接管加拿大银行业的唯一外部投诉机构,而不是让银行自己进行调查。这一变化将于2024年11月1日生效。
BMO银行回复
尽管CTV多次向BMO银行提出了请求,但该银行尚未安排任何人接受采访。相反,该公司发言人向 CTV 发送了以下声明:
“我们非常重视诈骗事件,并理解对我们客户造成的非常不幸的影响。我们提醒客户注意最近流行的诈骗行为,并在此处提供资源。
不幸的是,客户可能会成为使用假冒、欺骗和网络钓鱼诈骗的犯罪分子的受害者,在这些诈骗中,客户被说服分享他们的私人、机密银行凭证。
如果我们收到客户的疑虑,我们会根据其本身的事实对其进行单独审查。客户可以使用正式的投诉流程。通常,我们会向每位客户提供书面答复,解释审查的关键事实和结果。
我们使用双重验证作为额外的安全方法来验证客户的身份。一次性密码(OTP)是我们双重验证的一个组成部分。
当发送一次性密码时,会附有以下披露内容,警告客户与任何人共享此代码的风险:“警告:此代码授予访问您帐户的权限。请求该代码的电话可能是骗局。如果致电,挂断电话并拨打BMO卡上的电话:XXXXXX”。
在我们审查的背景下,我们考虑导致交易的具体事实,包括客户是否是网络钓鱼骗局的受害者,共享他们的银行信息(包括密码或在线或通过电话)或忽略了OTP的提醒消息。
我们始终以帮助客户为目标,在可能的情况下尽最大努力追回资金,并与执法部门合作。
出于隐私原因,我们不能分享有关特定客户的信息。”
ref:https://ottawa.ctvnews.ca/customers-voice-concerns-with-bmo-security-measures-after-scammers-gain-access-to-their-accounts-1.6795729
https://ottawa.ctvnews.ca/it-s-outrageous-growing-number-of-bmo-customers-raise-concerns-with-bank-s-security-investigative-processes-1.6797411
图片:CTV