快查账户！BMO大批客户账户里的钱被“秒光”！网银分分钟被“攻破”

据CTV报道：BMO（Bank of Montreal）又双叒被诟病。CTV从多名客户处获悉，BMO的多位客户警告，BMO网上银行系统的安全措施存在不足。他们或他们的家庭成员经历过账户资金被盗，并通过全球汇款被汇到了海外。

渥太华居民Katya Feder称，2023年4月与一名冒BMO银行员工的骗子进行的一次简短电话交谈，让她损失了$1.45万。

她告诉CTV：”我完全被震惊了。”当时她被告知，她的账户有一笔购买加密货币的交易很可疑，银行想要确认这笔交易是否合法。

她回忆说：”我说没问题啊，银行一直在追踪可疑交易，真是太棒了。然后对方说’我们只是要验证一下你的身份，我们会给你发一个验证码'”。

她把验证码告诉了电话那头的女子，就这样，她的账户被攻破了。

图源：Dave Charbonneau/CTV News Ottawa

BMO银行在给CTV的一份声明中表示，他们”鼓励客户在保护自己的在线和移动凭据方面保持警惕，注册BMO Alerts以监控自己的账户是否有可疑交易活动，经常更改自己的密码或PIN，并且永远不要泄露密码和一次性验证码。”

“在正常情况下，当客户收到一次性验证码时，会附有以下信息：’警告：此代码授予对您账户的访问权限。要求提供此代码的电话可能是诈骗。如果接到此类电话，请挂断并拨打BMO卡上的号码'”。

Feder说她收到了某种免责声明，但她不记得看到过与上述相同的免责声明。在那次通话几天后，Feder得知有人从她的账户里把钱取走了，并以一次性大额全球汇款汇到了英国。

她向BMO银行报告了这个情况，并被告知银行正在展开调查，但几个月过去了，她没有看到任何形式的补偿，也没有收到任何关于犯罪分子是如何如此轻易地进入她的账户的信息。

她解释说：”我的BMO银行账户已经使用了40年，从来没有用过全球汇款。我甚至都不知道可以进行全球汇款，所以我真的大吃一惊。”

 

20多名BMO客户中招 

无独有偶。Feder告诉CTV，她加入了一个WhatsAp 群组，里面大约有20个人最近都成为了诈骗活动的受害者，损失惨重。他们都是BMO的客户。

她说：”这个群组是两个月前刚刚创建的，而且还在不断扩大。”

Laurie Johnson的81岁母亲就是受害者之一，她在2023年10月13日被盗了$1.5万。作为母亲的授权委托人，她承担着试图追回这笔钱的任务。

Johnson说，她母亲的经历基本上和Feder的情况一模一样。

图源：Dave Charbonneau/CTV News Ottawa

她的母亲收到了一个自称是银行员工的人发来的一次性验证码。在将其提供给骗子时，骗子便获得了对她账户的访问权限，并将$1.5万汇到了孟加拉国。

Johnson说：”她从来没有，我也从来没有进行过全球汇款。他们（银行）难道没有发现异常？难道不应该打个电话或暂停交易，先确认这是客户本人进行的交易？这似乎太容易发生了。”

“警察无能为力，他们说他们永远找不到这些骗子。银行也没有采取任何行动，而这些骗子继续到处行骗，”她说。”这令人非常沮丧。我母亲是BMO银行60年的老客户了，我也是，银行应该有能力帮助他们的客户。”

安省Norwich的一对夫妻Christine Avey和Kevin Avey也被骗走了$1.5万。

Christine说，她的丈夫Kevin点击了他在浏览器上添加了书签的BMO网上银行网站。当他进入网站时，他被要求通过提交一次性验证码来确认自己的身份。他按照步骤进行了操作，但仍然无法登录。

他尝试了几次后放弃了，打算第二天早上起床再处理这个问题。

然而，当他第二天登录时发现，他们夫妻俩从未取过钱的一个账户上被人取走了$1.5万。这笔钱被汇到了国外。

Christine在发给CTV的一封电子邮件中说：”这个账户从未进行过电子转账（emt），更不用说全球转账了。我只往这个账户存过钱，而这么大笔的交易竟然能够在没有通知我们的情况下顺利完成。这笔交易明显与我的银行习惯完全不符，一看就很不寻常。”

“我们从未向任何人透露过我们的密码，但银行仍然责怪我们。BMO解释说，如果我们没有把密码告诉任何人，那么就是我们没有合理地保护自己的密码。”

“这似乎是BMO对客户的标准说辞，而不是采取更有力的安全措施，或者降低全球转账的限额。”

在向当地的分行经理提出这个问题后，这对夫妻获得了$7,500的补偿，以帮助他们减轻一些损失。不过，这种情况并不多见。分行经理告诉他们，这样做是出于”善意”，但这并不是银行的政策。

 

客户留下更多疑问

安省Orillia居民Debbie Sammit说，她的BMO账户被骗子盗走$3,000后，她已经花了一年多的时间争取追回自己的钱。

Sammit的情况很特别，她声称自己从未收到过任何一次性密码，也从未使用过任何公共Wi-Fi，这让她很纳闷，怎么会有人从她的账户里取走钱。

她希望能从BMO那里得到答案，但只是被告知已经启动了欺诈调查，现在她仍然不知道自己的账户是如何被他人访问的。

图源：CTV

犯罪分子是如何获取这些数据的？技术分析师Carmi Levy认为，可能是从社交媒体、网络钓鱼电子邮件或之前的数据泄露等途径。

三年前，加拿大隐私专员办公室发现BMO存在”安全缺陷”，导致大约113,000 个账户发生大规模数据泄露。

报告的一部分写道：”第一次攻击发生在2017年6月至11月期间，第二次攻击发生在同年12月下旬。BMO直到2018年5月收到勒索邮件才意识到个人信息已被攻击者窃取，促使其对系统进行全面的技术审查。BMO发现在审查结果中发现，第一次数据泄露涉及36,755名客户，第二次涉及76,399名客户。”

令人担忧的是，这些数据并不会在几年后消失，它们仍然掌握在恶意行为者手中。

然而，根据客户在开设普通银行账户时签署的协议规定，账户所有人必须对所有账户信息和密码保密。BMO告知受影响的客户，他们不会收到任何形式的退款，声称账户持有人未能保护好自己的个人信息，银行对他们的损失不承担责任。

 

银行一小步，客户安全一大步

客户被咋骗的事件频发，也许从程序上讲银行确实没有责任，但也许银行多做一点可能就可以杜绝此类问题，比如发送短信。

在这个问题上，国内银行的做法确实值得借鉴。

前段时间，小编组织了一场活动，信用卡用的是招商银行信用卡。当时酒店只是刷了$750刀的订金，而且是温哥华时间上午11点左右（国内凌晨2点左右），小编立刻收到了招行的短信和邮件提醒，并且直接冻结了小编的信用卡，直至小编发短信+发送邮件声明这笔交易是本人交易，招行才随机重新开通了小编的信用卡。

也许银行的一小步，客户的账户安全性就可以大大提升。你怎么看？

来源：加国无忧综合