https://www.cbc.ca/news/gopublic/scotiabank-credit-card-fraud-1.7546483
银行称“有迹象表明”客户应担责;专家则指责银行未做基本调查
2023 年 10 月的一天,乔丹·贾奇(Jordon Judge)正在温哥华当地一家咖啡店喝咖啡,手机响了——来电显示是丰业银行(Scotiabank)。
他完全不知道这其实是骗子伪装的来电,一种叫做“来电显示伪造(spoofing)”的欺诈技术。
电话中的人声称他是来通知贾奇两笔涉嫌欺诈的交易,出现在他的丰业银行 Visa 信用卡账单上。贾奇表示他并未授权这些交易,来电者则说会阻止这些交易继续发生。
但两天后,贾奇在信用卡账单上看到了两笔大额费用,总计将近 2 万加元。
“那绝对不是我刷的,”贾奇告诉 CBC 的《Go Public》栏目,
“所以我当时的感觉就是——震惊。”
这只是一个冗长又令人沮丧的过程的开始,在之后的多个月中,丰业银行始终坚称他要为这些欺诈交易负责。
信用卡诈骗在增加,但调查却不透明
信用卡诈骗问题日益严重。加拿大反欺诈中心(Canadian Anti-Fraud Centre)虽未统计因信用卡诈骗导致的损失金额,但表示在过去三年中,越来越多的身份盗窃案件涉及信用卡信息被盗。
银行服务与投资申诉专员(Ombudsman for Banking Services and Investments)表示,与欺诈相关的投诉是他们接到最多的投诉问题,仅次于电子转账。
根据加拿大联邦法律,如果信用卡发生未经授权的交易,除非银行能证明客户有重大过失(gross negligence),否则客户承担的最大责任额应被限制在 50 加元以内。
网络安全专家克劳迪乌·波帕(Claudiu Popa)表示,在当前诈骗技术越来越复杂的情况下,金融机构应进行彻底调查并出具清晰证据,才能追究客户责任。
“银行目前做的只是指责客户疏忽或故意为之,”波帕说。
“但银行有责任证明客户确实参与了这起相当复杂和高级的诈骗行为。”
诈骗过程:一次电话与一次拒绝
骗子打电话给贾奇,向他索要生日和母亲的娘家姓,这些他如实提供了。但当对方要求提供一条**“一次性验证码”(one-time passcode)**时——这是一种两步验证方式——贾奇拒绝了。
“短信上清楚地写着‘不要将此验证码透露给任何人’,还特别注明银行工作人员不会要求提供此码,”
——贾奇说。
骗子说他已经拦截了可疑交易,随即挂断电话。
然而两天后,贾奇看到信用卡账单上出现了两笔交易:
- 一笔 17,900 加元,支付对象是英国安格利亚鲁斯金大学(Anglia Ruskin University)
- 一笔 1,800 加元,收款人为Paula S. Taylor
“我当时并不担心,因为我知道那不是我刷的,”贾奇说,
“我以为我不用为此负责。”
丰业银行拒绝赔偿,理由含糊
贾奇向丰业银行申请赔偿。几周后,他收到银行的一封信,称银行“审查了所有相关文件”,并认定他应为这笔交易负责。
但信中并未说明审查了哪些证据,也未解释为何认定贾奇需为近 2 万元的欺诈交易(加上不断增长的利息)负责。
“申请信用卡时,人们默认如果被骗,自己就不会为这些费用负责,”贾奇说,
“但显然,事实并非如此。”
他继续申诉,银行“客户问题升级办公室”(ECCO)回复称,一次性验证码确实用于支付给大学的那笔交易,并强调该验证码“已被广泛证明可有效防范欺诈行为”。
信中还称,由于验证码是发到贾奇手机的,这就“说明”他曾泄露该验证码。
贾奇继续上诉,但丰业银行的“客户投诉上诉办公室”也表示,“有证据表明”贾奇泄露了验证码。
“所谓‘可能表明’的证据,根本不能当作确凿证据,”
——公共利益倡导中心(Public Interest Advocacy Centre)执行主任杰夫·怀特(Geoff White)说,
“我们更希望看到实际证据,而不是单纯的指控。”
怀特指出,证明客户清白的责任不应由个人承担,
“恰恰相反,银行才是有责任确保其系统的安全性和程序的完善性。”
专家:连“最基本的调查”都没做
网络安全专家波帕查看了丰业银行的相关信件后表示,银行连最基本的调查都未做,比如:
- 查看交易日志(log)
- 是否查阅过验证码是何时发出、何时被使用的记录
- 是否分析过验证码在哪个网页界面被输入
“这些都没有提供,”波帕指出,
“也没有任何迹象表明银行曾检查过这些基本日志。”
此外,尽管丰业银行声称一次性验证码是防诈“利器”,但波帕指出,短信验证码存在多种被盗用的风险——包括恶意软件入侵手机、SIM 卡劫持等。相比之下,使用身份验证器 app(authenticator app)更安全。
加拿大反欺诈中心也表示,强烈建议用户尽量使用验证器 app,而非短信或电邮接收验证码。
“与短信或邮件不同,验证器应用生成的验证码有时限,不会被 SIM 劫持或信息拦截影响,”
——反欺诈中心发言人杰夫·霍恩卡斯尔(Jeff Horncastle)说。
维权8个月后才获赔:靠的是媒体曝光
总部在魁北克的消费者权益组织 Option consommateurs 一直呼吁联邦政府:
- 加强针对银行诈骗案件中客户权益的保护
- 明确规定银行必须提供透明调查流程
- 强调银行有义务证明客户存在重大过失,才可追究责任
大学退款,银行沉默
《Go Public》栏目联系了英国安格利亚鲁斯金大学,询问贾奇信用卡被盗刷一事。大学方面回应称,丰业银行从未与他们联系——这让网络安全专家波帕大为不解:
“既然你知道这是一个真实存在的机构,为什么不主动去核实?”
“银行有责任进行调查,保护客户。”
在媒体介入后,该大学展开调查,最终向贾奇退款。不过发言人拒绝透露该笔款项是否真的被用于支付学费。
几经追问后,丰业银行最终将贾奇账户中的剩余欺诈款项(1,800 加元)以及所有利息一并返还。
但贾奇表示,银行始终没有打电话或发信解释为何突然改变立场。
“我觉得荒谬极了,必须等到媒体介入,他们才表现出一丝‘在乎’的样子。”
——贾奇说。
此前,丰业银行曾提出以 200 加元“善意补偿金”了结此事,条件是他必须承认问题已解决并放弃进一步行动,贾奇拒绝了。
虽然现在贾奇终于拿回了钱,但整个过程耗时近 8 个月,银行仍未提供任何调查细节或正式解释。
“我最担心的是,还有很多像我一样的受害者……他们没有能力去对抗银行,去要求一个更透明的调查,或者去证明自己是清白的,”
——波帕说。
“有些人就这样默默地成为了受害者。”
Translated by 翻译: Central Alberta Chinese Culture Centre (CACCC)
Discover more from Central Alberta Chinese Culture Centre
Subscribe to get the latest posts sent to your email.