2018年2月24日星期六

BMO网银被盗及存款失而复得记

【作者:ameccy】

去年以来时有耳闻,加拿大各大银行账戶出现过网银被人非法登录後、存款被通过E-transfer途径盗走的事件,没想到今年1月自己就遭遇一回,前後历时四周终获解决。应聚沙博主之邀,特投稿将事件细节记录如下,也供大家参考。

1月22日(周一)晚上,我突然收到一条短信(见上图),是BMO通过266-898这个号码发来的Low Balance Alert,告知我某个BMO账戶的餘额仅剩一百多加元。由於BMO的几种支票账戶都需要每日保持至少数千餘额方能免除月服务费,我之前特意通过网银设置过Low Balance Alert,当支票账戶餘额低於此底线时便同时给我的手机和Email发送提醒。(但我并未收到Email提醒,下文会做解释。)

我分明记得当日并未有过与BMO账戶有关的交易,即使是先前设置的自动交易,也不应将餘额降至如此之低,所以我马上试着指纹登录BMO手机App,却被提示无法登录!之後又用电脑登录两次,皆提示密码错误,而且由於连续三次登录失败,网银被锁,需要在线重设网银密码。重设的过程中,我又被提示“我输入的Email地址不匹配网银记录无法重设密码”(事实上,我输入的确实是我一直在网银系统中使用的email地址)。至此,不仅网银无法登录,而且基本可以确定账戶出了问题。

由於此时已是晚上,BMO各分行早已下班。慌乱了几分钟後,开始向刚才网上提示的Password Reset服务号码拨电话。Hold了快半小时,终於与一位BMO客服说上话并描述了上述异常情况。

接电话的BMO客服倒像是一听就知道发生了什么,立即问了一些验证我身份的问题,包括询问我的BMO信用卡的副卡持卡人姓名这种在网银不会显示的信息,确认了我是真正的账戶持有人,客服就告知了当天曾有一笔两千三百多元的E-transfer支出,我立即告知这不是我授权进行的交易。客服也见惯不惊的语气,表示我的账戶显然已被compromised,让我同意冻结了在BMO的所有存款账戶,并让我第二天携带两种ID去分行填写相关表格以便进行调查,最後声称若调查结论是未授权的交易,则BMO会将损失补偿给我。我还特地要求将我的BMO信用卡也一并冻结并换号重发,客服将电话转给了信用卡部门并很快满足了这项要求。

第二天一早便去了BMO分行,那的工作人员明显也是见得非常多了,接待我的那位工作人员甚至告诉我他的朋友也遇过一模一样的存款在BMO通过网银被盗走的事情,而BMO做了全额补偿,所以让我不用担心。他也帮我查到了我的账戶被更改的情况,显然我网银中的email在E-transfer发生之前就被改掉了,所以我并没收到任何email alert,幸好还留有手机短信的alert,窃贼应该没有注意到这项设置。

那天在银行主要的工作就是填一份编号410的表,确认那笔E-transfer是非授权的交易,并且回答一些情况调查的问题,例如Debit卡是否遗失、密码是否和生日接近、密码是否曾被别人得知等等;另外,如果曾有收到可疑的邮件或短信(phishing scam),也可在表中详述(我并没有遇过,这一项就是空白)。填完、签名之後,上传给Fraud Team,并给我了下面这样一份回执,”Committed Response Date”一栏写着两周内会回复,那位银行员工也说根据他的经验一两周内钱就会回来,但最终事实并非如此。


一周和两周过去时,我都再次询问了分行,没有见到进展。超过了”Committed Response Date”的时候,我让分行去push了一下,发送了一个urgent request,但是似乎并没有起到什么作用。分行告诉我最近BMO这类事件实在太多,无法即时处理完毕。

事隔整整四周的周一,我才又收到分行员工的电话,调查结束、被盗的钱也已经全额补回到了我的账上,让我约时间去分行重新设置网上银行并换账号。而我去分行则直接取钱、关账戶、关Debit卡。

另外我还发现由於过去四周处於冻结状态下的支票账戶餘额一直只有一百多元,故被银行收取了两笔月服务费(一月底收取一笔,pending关戶的时候又收取了二月的一笔,因为二月已经过半),在完成关戶取款之前我要求银行员工将这两笔服务费加回到我的账上,因为关闭账戶之後就无法进行了。整起事件至此也算告一段落。


总结起来,这起事件中也有不少值得注意的事项和经验:
  1. 可能是老生常谈,网银密码和安全问题的答案要尽量设置得难以破解。BMO网银密码仅允许六位字符、且不允许特殊符号,这可能是BMO网银最近频繁出事的原因之一。另外不排除BMO部分系统被黑客攻破的可能,因为我的两个朋友的BMO账戶也分别在近期遭遇同类手法的盗窃,网上查到的近期事例也有不少(见文後所附参考文献[1][2])。即使存在这样无法控制的因素,仍应将密码设置为包括尽量多种类的字符(大小写、数字),安全问题的答案千万不能过於简单,从而降低网银失窃风险。
  2. 平时在网银中设置发生交易的通知,根据银行的不同,有withdrawal alert, low balance alert, transfer alert等等,而且最好是同时开启接收email和手机短信(有些银行还能通过手机app push通知),从而最大可能性地保证在发生未知交易时至少通过一种渠道及时收到银行的通知,避免进一步的损失。加拿大五大银行中,除了TD没有提供这项功能(不知TD怎么想的),其它四大行都能在网上银行进行设置。
  3. 加拿大五大银行都有类似Online Banking Security Guarantee的政策,原则上保证客戶在遭遇未经授权的网上交易时不受损失,但条款各有不同。BMO的条款中(见文後参考文献[3][4]),值得注意的非常明确的一条是,客戶发现可疑交易或可能导致网银信息泄露的情形时,必须在24小时内报告BMO,才受到BMO政策的保护。所以在此提醒大家,即使是在非工作时间、特别是周末或节假日发现账戶异常状况,一定要及时电话报告银行,不要等到上班再去查询。
  4. 我这次事後回想还应该做的一件事,就是事发之初、拿到银行出具的Transaction History/Details的时候应该报警,留下一个case number并提供给银行。报警的目的并不是让警察去把钱追回来,而更多的是通过此一形式进一步表明那笔交易确定是自己未授权的交易,日後若银行调查中存有疑问,报警记录也是对自己的一种保护。
  5. 关於银行补偿到账之後对帐戶的处理。如果仍需继续保持在这个银行的账戶,则一定要完成的手续有:全部支票/存储帐戶关闭重开(换号),Debit卡换号,网上银行重新设置密码和安全问题等。支票/存储帐戶关闭重开的意义在於,由於网上银行显示的Transit Number和Account Number都已经被窃贼知晓,账戶中的存款仍有机会通过电子支票清算等方式被转走,所以不可不防。另外,网上银行中的Payee List和Bill Payment History中如果显示出收款的完整帐号,也可能被窃贼得知,需自行检查相应账戶有无危险。

参考文献:
[1] BMO (Ontario) - Fraud, Hacks & Unauthorized e-Transfers (Jan. 2018)
https://www.reddit.com/r/PersonalFinanceCanada/comments/7pv85e/bmo_ontario_fraud_hacks_unauthorized_etransfers/dsvyb3x/
[2] $3000 stolen from e-interac, what will BMO do to help? (Dec. 2017)
https://www.reddit.com/r/PersonalFinanceCanada/comments/7mcdsb/3000_stolen_from_einterac_what_will_bmo_do_to_help/
[3] 100% Online Banking Guarantee for Personal Banking Customers, BMO
https://www.bmo.com/home/popups/global/security?pChannelId=74876#s2
[4] Electronic Transactions, BMO
https://www.bmo.com/home/popups/about/firstbanking-transactions

(多谢作者同意本站转载。本文章只代表作者个人观点,不代表本站的观点或立场。其他网站如需转载, 请与作者联系。)

相关阅读:

版权信息

版权信息