加拿大電子郵箱轉帳日益普遍,每天都有幾百萬次的轉賬。但郵箱轉帳真安全嗎?不一定,安省RBC銀行客戶胡弗女士(Anne Hoover)前不久的經歷,或可提供前車之鑑。
據CBC報導,彼得堡市居民胡弗前不久通過RBC銀行帳戶郵箱轉帳功能,向朋友菲爾利女士(Fran Fearnley)轉帳1,734元,結果中途被騙子截走,錢被轉到騙子開的另一個帳戶中。
事後胡弗說,她經常使用郵箱轉帳,以為這種方法轉錢很安全。RBC經理透露,銀行內部調查發現,菲爾利郵箱被黑客破解,胡弗發送郵箱轉帳後,黑客破解了轉帳安全問題答案,然後將錢半道截走。
《加拿大網絡欺詐手冊》(The Canadian Cyberfraud Handbook)一書作者、網絡隱私保護和安全專家波帕(Claudiu Popa)表示,銀行和金融機構提供電子郵箱轉帳服務,方便是方便了,但安全風險加大了。這種情況下,用戶郵箱密碼和郵箱轉帳安全問題和密碼設置一定要強大,密碼設置和管理,尤其關鍵。
安全問題易猜測
事情經過是:今年3月18日,胡弗和菲爾利從墨西哥度假歸來,胡弗上網用RBC網上電子轉帳功能,將菲爾利墊付的旅遊費用轉給她,菲爾利打開郵箱接收轉帳時,卻發現郵件說錢已經被接收和存入了。打電話問RBC反欺詐部門怎麼回事,工作人員提供了騙子姓名和郵箱,並說騙子已將錢存入道銀帳戶。
兩人找到RBC分行,銀行責備菲爾利郵箱不安全才造成此事。胡弗發出的安全問題是,她最喜歡的甲殼蟲樂隊成員是誰。甲殼蟲樂隊成員只有4個,這意味著騙子只需猜4次,就能猜到正確答案。CBC記者測試RBC Interac電子轉帳功能,發現的確有4次機會。
分行經理堅持認為錢被騙子截走是她們的錯,不是銀行問題,爭持良久,銀行最後表示出於好心,賠償他們一半的錢以作補償。
報警也不管用
隨後胡弗報警,但警方說這種網絡欺詐很難查,要把錢追回來,可能得等到猴年馬月,還有可能白費功夫。胡弗表示,銀行網站說,客戶電子轉帳受到銀行完全保護,任何轉帳失誤銀行都會金額賠償,當她把這條規定指定給銀行工作人員看時,工作人員卻說密碼如果太簡單,客戶轉帳就不受保護。
RBC和Interac均拒絕CBC採訪。RBC公關部主管古德曼(AJ Goodman)在聲明中回復,銀行電子轉帳服務協議中,要求客戶設置不易被他人猜到的獨特密碼和安全問題。Interac在聲明中回復,客戶必須保管好自己的郵箱和密碼,不要輕易成為網絡犯罪受害人,這樣才能保證網絡轉帳安全。
其它類似案例
薩省居民威斯(Sylvia Veith)也有類似遭遇。2017年6月,她用RBC銀行電子轉帳功能給兒子冰球隊轉帳7,000元,也是被人半道截走,銀行也是責備她設置的安全問題答案太簡單,銀行不能賠償,也不能追回錢。對這一案例,RBC也是拒絕評論,只重申客戶一定要設置複雜密碼。警方答覆是,此案還在調查中。
波帕稱,人們經常用電子郵箱,以為很安全,因此很快就對電子郵箱轉帳風險麻痹大意。但實際上,它的風險比想像的要大得多。出了這種事,銀行也不願聲張,怕被隱私專員或其它什麼監管部門調查。銀行和金融機構,為了吸引更多人使用電子郵箱轉帳功能,也不太注重安全保護。
Interac網絡轉帳服務公司數據顯示,去年全加共3.71億起電子轉帳服務,總計金額逾1,320億元。加拿大反欺詐中心(CAFC)透露,去年共收到163起電子轉帳欺詐投訴。波帕在www.haveibeenpwned.com數據泄露跟蹤網站上快速搜索顯示,菲爾利的郵箱因黑客攻擊LinkedIn 和 Verification.io 2個網站而被泄露。也就是說,個人郵箱被泄露,然後被人賣給其它各有所需的人,再導致郵箱被黑客攻入。
專家:2步驗證程序很關鍵
網絡安全專家建議,金融機構和Interac應設置2步驗證程序,以更好保護用戶帳號。即用戶登陸帳戶後,需第二步驗證,輸入手機或另一個郵箱地址接收到的密碼,且密碼收到後有效時間只持續幾秒或幾分鐘。有些銀行提供2步驗證程序,但只是備選項,非必選項。
波帕稱,銀行也知道安全很重要,但更在意吸引人們都來用電子轉帳功能。被問到為何不使用2步驗證功能時,RBC和Interac均拒絕答覆。胡弗表示,經歷此事後,她才意識到安全問題和密碼的重要性。她還透露,她已將此事投訴到RBC監察員,希望能敦促RBC提醒用戶電子轉帳風險和賠償等方面的問題。
經歷此事後,胡弗關閉了使用了30年的RBC帳戶。