澳洲客户存款被盗 Commonwealth Bank声称不负责

在澳大利亚个人理财



据报道，一名新南威尔士州妇女表示，在被骗走超过 40,000 澳元后，她一直无法入睡。Thuy Le 有两个年幼的孩子，分别为 6 岁和 11 岁，丈夫患有帕金森氏症，无法工作。 14 年来，她一直在卧龙岗经营 Sparkle Nails and Beauty，但在去年 11 月 24 日，她的世界发生了翻天覆地的变化。悲痛欲绝的 Le 表示，她的噩梦开始于她接到一个所谓顾客的“丈夫”打来的电话，声称他不小心代表妻子支付了她 60 澳元，并要求退款。检查她的联邦银行账户并发现确实如此后，Le 将钱退给来电者提供的账户。尽管没有交出任何个人信息、号码或密码，第二天她查看账户时发现她的账户被提取了数笔款项，转入来电者提供的同一个账户，当她意识到来电者是骗子时，已有 41,600 澳元积蓄被盗，这笔钱对她丈夫的治疗和年幼的孩子至关重要。



“我经济困难，”Le 谈到她三个月的磨难时说。“我有两个小孩，我的丈夫患有帕金森病，他无法工作。我们还在申请政府帮助，我已经把经济负担扛在肩上了。”Le 说，她的主要业务账户被锁定了，当她意识到发生了什么事时，她打电话给了她的银行。Le 说，她觉得银行把责任完全推给了她，尽管她的账户中有巨额资金，但在 CBA 内部没有引发任何危险信号，而且这位母亲没有交出个人信息。令她沮丧的是，银行的调查发现它不对她的损失负责。CBA 在一封信中告诉她，“对这些登录的唯一合理解释是，未经授权的第三方知道你的网上银行凭证，这将违反密码安全要求”。



该银行还争辩说，登录是从 CommBank 应用程序进行的，Le 应该“合理地知道”她的余额变化。“如果你在登录后立即报告交易......成功收回部分资金的机会会高得多，”CBA 说。“在概率的平衡上，如果你没有自己完成交易，你已经向第三方提供了 NetBank 凭证，第三方继续执行交易。”



Le 决定向澳大利亚金融投诉管理局 (AFCA) 报告，以求退还这笔钱。“我睡不着。我想知道为什么这会发生在我身上，以及它是如何发生在我身上的。”“我不是骗子，不是罪犯。我丈夫没有工作。我们需要钱买药。”

Le 的案子与一位墨尔本母亲的案子惊人地相似，她在 2022 年从她的银行账户中被偷走了 20 万澳元。当一笔不寻常的存款存入她的联邦银行账户时，Donna Brain 正准备搬进她的新家。和 Le 一样，Brain 接到了一个电话，这次是有人冒充银行家打来的，要求退款。这位 56 岁的护士退还了 210 澳元，骗子不知何故侵入了她的账户并窃取了 20 万澳元。“我甚至不知道它是怎么发生的。”

虽然这位维州人不知道自己是如何被骗的，因为她没有交出 NetBank 号码或密码，但网络专家表示，犯罪分子一直在不断发展，寻找银行安全方面的任何漏洞。Sophos 全球网络安全解决方案发言人 Aaron Bugal 在 8 月份表示：“通过访问设备，攻击者可以提取足够的个人身份信息，然后他们可以设置‘支付授权’直接借记和/或进行定期转账。”。“或者，如果他们获得了对她设备的远程访问权限，攻击者就可以在她登录到她的银行后更改任何新的转账以进行重定向。”澳大利亚统计局最近的数据显示，澳大利亚人一直是目标，在 2021-22 年，近三分之二的 15 岁以上的人都曾遭受过诈骗。几乎一半是通过电话 (48%) 或短信 (47%) 定位的。


ABS 犯罪和司法统计负责人 William Milne 表示，虽然越来越多的人接触到诈骗，但回应诈骗的人却更少。“调查显示，2.7% 的澳大利亚人在 2021-22 年对诈骗做出了回应，低于 2020-21 年的 3.6%。”虽然许多人对危险迹象保持警惕，但诈骗者一旦上钩，就会大赚一笔。AFCA 表示，自 7 月以来，它收到的投诉数量已从 2021-22 财年的每月 340 起增加到每月 400 起。AFCA 首席执行官大卫洛克说：“不仅仅是涉及诈骗的投诉数量在增加，涉及的金额也在增加。”“人们正在失去家庭存款和退休储蓄。我们知道，弱势群体可能会因为失去为账单预留的钱而感到沮丧。“这种情况不能继续下去，我们鼓励所有银行考虑他们可以采取哪些进一步措施。”

上个月，CBA 宣布将引入新技术来打击在数字平台上发起的诈骗战争。其中之一是 NameCheck，该银行表示，它将通过表明姓名和账户详细信息是否合法来打击虚假账单诈骗。这一变化将于 3 月下旬生效。该银行还通过名为 CallerCheck 的功能推出了应用程序内来电验证技术，这应该让客户放心，因为他们的银行正在与他们联系。


http://7news.com.au/technology/ ... o-account-c-9910287

评论

不用搞道德绑架，上演苦肉计，肯定是她给了人家密码和授权。
能够远程访问你的手机也没用，需要发送短信验证码，不然也是转不走钱的。CBA首次陌生账户转账，会冻结48小时，不会立刻转走的。

同情她被骗，但是她也不该撒谎。
银行又不是保险公司。

评论

看看全文再说吧，应该是设备被黑了，谁也不傻，怎么会轻易给陌生人密码啊。

评论

吓我一跳，幸亏你这样解释了才明白，谢谢，看来只要我不给出code 账户还是安全的

评论

现在向不认识的人交出账号密码的傻子不多。
她被盯上了，骗子知道她的手机号和账号，就差密码。
骗子然后给她发短信或邮件时乘机在手机植入木马，当她使用app转账时被盗走密码。


评论
唉

评论


看过了，不会被这样的报道迷惑。

被骗是悲剧，但是上当后出来骗人博得同情，给银行压力以获得赔偿，就是自己的不对了。
这样的骗术太低级了。

评论
这是越南人吧？满嘴跑火车。

几周前，有个越南人未正确系安全带被罚，狡辩是她要去拉那个遮光板够不到。必须把手从安全带上面伸出去，才导致被被拍照。

我不知道她这样的狡辩，法官会不会信。

评论
每天都有诈骗电话，很烦！

评论
越南人都鬼精鬼精的，说不定有内情

评论
自从电信公司，保险公司私人信息泄露之后，经常收到骚扰和诈骗电话和短信。

澳洲政府完全可以从源头严格管控。

评论

由于第一次向陌生账户转账银行会发SMS验证码，不过这第一次是她自己将骗子“送”给她的钱退回，已经完成验证了，以后骗子转账银行就不要验证码了。

这也是骗子的高明之处。



评论

感觉这是正解

评论
Suncorp挺好，超过2000刀，不论是啥账号都要验证码，也不论转过多少次。

评论
CBA子公司 bankwest用老式的电子钥匙，独立在手机之外的验证码，小tag。

评论
转走4.1w，没有她授权？我不信。
这个额度cba也是要二次验证码的，不然转不走。增加转账额度也是要二次验证码

评论
这事儿，我站银行。

评论
她绝对没有把故事说完整，CBA的网银在安全和使用上几乎是土澳最好的了，肯定是她自己泄露了个人信息。


评论

我也觉得一次转40K应该有限制。而且银行的Code是发在netbank的，不是手机的，银行根据这一点才说网银密码泄漏。

评论


原文有写是分批多次转走的。

另外，如果手机被植入木马，你收到了短信，骗子马上也能收到。

你的手机安全吗？除了iPhone，三星，华为其它品牌基本是2年厂商就不再安全升级了。

评论
CBA的安全系数已经非常高，不知道她为何没有收到验证码



评论
手机中木马银行不负责吧，否则我自己装几个木马，然后转给朋友不就完了

评论
报警有用吗？如果有用，是不是可以顺藤摸瓜。

评论
我每个星期都会半夜收到短信说我有toll road 的账单已经due, 要点那个支付链接去付款，我八百年不用Toll road,不胜其烦。

评论
不要相信陌生人的任何和钱，银行账户有关的电话。

评论

你怎么在完全不知情的情况下断章取义。还振振有词。请不了解情况下不要对受害者雪上加霜。起码的同情心

评论
那以后如果遇到这种问题，就不做任何事情，让骗子自己联系银行

评论
骗子越来越牛了，反正现在陌生电话基本不接了

评论
我怀疑在做refund这个request（网络交易的trasaction的request）的链接里，可能会有泄露具体个人信息的安全漏洞，一般看不到，但用工具可能是可以trace到的。这两个受害者可以考虑雇佣黑客调查一下，如果确实是cba在refund的时候有安全漏洞，那银行可能不止赔给他们损失了。

评论
我前几天有一笔转账$154进来，显示是从别的CBA netbank, 一直不知道是谁转的，也没人通知我转错了，咋回事呢若是真的 银行不会不赔吧 等于帮他发现了一个大漏洞
是不是身边的人偷了

评论
其实就是自己密码被盗了，或者电脑被黑了。骗子有了你的账号密码，但是想转钱到自己账户时候第一次需要验证码。等成功转入一次后，骗子就可以直接操作之后的转账而无需验证码了。

评论
估计是fishing site.



评论
警察能不能做点儿什么？

评论
还是设2个账户比较好，大笔放saving，transaction账户就放几百元。
平常就用transaction账户。虽然麻烦一点，但是保险。

评论

你的账户密码可能已经泄露，否则骗子不会白白撒诱饵。

建议赶快改。

评论
我给自己转账都得验证码加等24小时。。。

这新闻我连标点符号都不信

评论

大概率别人手抖打错账号号码了

评论
不清楚这个案件的情况，按说四万怎么会放在every day账户。
但是我自己有一张从来没有带出去的银行卡被盗刷了800块，分批在海外盗刷的，卡是Commonwealth的借记卡，后来银行核实以后认定是盗刷就给我赔付了这笔钱。至今我也没想明白骗子是怎样操作的。

评论
纯技术分析，如果两次事件都是类似的，退款之后发生的，难道CBA的apps有API的漏洞么？  如果这个要是真的，那麻烦可大了。

评论

探讨一下啊，银行的账号和登录号应该不是一个号？

评论
很明显，一开始骗子就有cba的账户密码，实际上，这些资料暗网很多，就直接卖你的登陆账户和密码，骗子进去以后，提取到你的bsb和账户，然后就往里面打小额的钱，他无法把钱取走，这个时候联系你，说转错了，叫你转回去，你转回去的时候cba是默认的把收款人添加进付款联系人，这个是银行的责任，不管法律怎么界定，但是银行这么做不合理，最少默认不应该是自动添加，第一次付款是需要短信验证的，验证以后付款也是pending状态，等待24小时以后付款，然后付款成功，再等待48小时，骗子登陆账户，转账直接选择付款联系人，然后直接转账，是秒到没有任何验证的，楼里说的第二次短信验证码，是不存在的，不能说银行有责任，但是绝对不合理，都像中国那样，什么都是usb验证手机刷脸，你上哪盗取，银行安全性，确实中国比澳洲好太多了


评论
以后谁再收到这种钱，就一件事，换个电脑改密码就可以了，钱就不要退了，大家都明白了

评论
骗子很高明，故意转钱给你，然后让你转回去，目的就是为了绕过电话验证，骗子不一定是控制了手机，通过木马程序获取你电脑登录的信息就有可能拿到你的账户和密码，当你第一次赚钱给骗子后，骗子自己就可以登录自己给自己转钱，第二次不再需要手机验证了

评论
cba的netbank至少应该支持个手机码二次验证。

评论
看评论我都毛骨悚然…


评论

请问如果手动把这个联系人从网银删除后，后面再有转账的话，会默认是新联系人从而需要手机密码验证吗？

评论

需要验证码了，只要删除了联系人下次就要了

评论
退钱应该让来店里efpos

原则上说如果你的银行里多出一笔钱那就是你的，别人转错了是别人自己的事，可以找银行解决

评论
CBA现在发code给app了。 手机被黑了的话， 不是code也危险了。

评论
应该是账户密码骗子都知道了
就是要转账一次成为“非陌生人” 然后再转账就不要手机验证码了。。。

评论
知道了下次让他们自己找银行

评论
她是开美容店的，她的商业账户经常来来往往。私人账户如何做refund都不知道，就难一些。

评论
大家的28degree卡是怎么付款的？
我的就是任意填上个别的银行账号，就可以自动转款了。完全不管这个账号主人愿不愿意。
唯一的校验就是28degree会先转点钱到这个账号，你只要能说对转了多少，就setup好了。之后你就可以随时要求从这个账号往你的28degree卡里转钱了。
我感觉这种方式就可能会是个骗子可以利用的漏洞。

评论
之前有个单妈准备买房的钱被黑了，媒体报道以后cba给垫了

现在是想再来一次的感觉

评论
Tpg 死骗子每个月都来邮件说账户被封，需要解冻，，，这些公司印度骗子多，离职后里应外合的多。。中国骗子现在和政府一样，越来越没技术含量，全是以量取胜，，天天大使馆，快递啥的，，现在加了个莫名短信扯蛋的

评论

第一笔小额秒到，但是大额还是hold 24小时。我又不是没用过commbank，越南人满嘴跑火车，虽然同情她被骗。鬼才信她的话。

评论

老年机加备用long expire SIM就是做这个用的。

平时留给别人的手机号不在任何银行注册就行了。

我这种IT小白防骗就是这么简单

评论

仔细看文章和照片，是多次分批转账。

这个女的做生意的账户，可能限额较高。

评论
骗子应该是知道她的银行登录账户和密码了。前贴有说明，那个退款就是为了扫清第一次转账的24小时障碍，后面就是秒到账了。她一定是已经泄露了密码和账户，CBA应该没有责任。只要账号在收款人列表里，那么转账就需要netcode，我觉得这是很大的一个漏洞

评论
我从CBA转钱给自己，已经在列表里面的，因为数额大一点，都要再次确认。。。她这个是怎么发生的啊！

评论
有没有可能是受害者和骗子在唱双簧？

扮成受害者，拿两份钱。迫于舆论，银行不得不赔钱。

评论
看了评论 真吓人啊

评论

这个解释很有道理，

评论
各位不要大意，我去年银行帐户也被盗30K，我并没有泄露任何我的帐户信息，并且手机号都被改了，自始至终我都没有收到银行的短信提醒，更不用说什么验证码了。我发现的时候还不算太晚，先是当天的一笔20K被顺利追回。前一天的一笔10K大概花了三个月时间才搞定，因为银行说这一笔是通过PayID付的，骗子已经把钱从银行取走了，并且银行打算就此了事，损失让我自己承担。后来，我开始跟银行的投诉部门投诉，过了一周后银行决定把这10K还给我。自始至终我本人并没有任何过错，我之所以发现还是因为电子邮件收到通知在银行留的手机号码被更改。至于具体是怎么操作的，我猜测跟Optus和AHM泄露了我的个人信息有很大关联。因为有的银行网上银行可以使用电子邮件做为用户名，而懒人的所有帐户密码都是一样的，后面的大家自己猜吧

评论
唉

评论
电话诈骗就哪几种，最怕短信诈骗，linkt都有了还有各种花样的，点进去输资料就BBQ，这些骗子宅基地就是缅甸柬埔寨印度。印度专攻英语，有一次烦了叫他回语言学校多练口语，我会等他回电话的。

评论

不用这么绝对，我有个朋友CBA的信用卡被盗刷，在Coles买了1000多的gift card, 她跟CBA申诉，开始也是说发了短信验证码，是她自己的问题，她找回去，确实那一天有一个验证码，但她根本没看见，也不可能透露给任何人，结果钱还是刷走了

评论

这种不用理，如果是误转，联系银行，银行会从你账上扣回去的。

评论

如果everyday 也是offset 的话，很正常啊

评论

有道理，我要加个手机号了

评论
2楼真相了

评论

发个短信或email 怎么能植入木马？？ 估计要她按某一些连接吧？？ 但是一般人家叫你打钱， 你按连接做什么？ 这不是交智商税吗？

评论

短信或邮件中应该有链接。可以套出你的密码或植入木马病毒啥的。

这只是我的推测。

因为钱被盗了，肯定是密码泄露，除非她真是这样的傻瓜，主动跟陌生人说我的密码是什么。

评论

如果同一个银行下面2个账户, 2个账户之间可以随意转账吧,连daily limit都没有 好像规避不了风险,
除非你是说2个不同银行的账户 一个银行管saving 一个银行管transaction

评论
其实想想就很奇怪 一个陌生人不仅知道你的银行信息 还知道你的电话和姓名,这些信息都知道了还转钱给你, 这种陌生人能信?

评论

嗯

评论

警察或银行会找到你的朋友，然后把你也抓起来。

而骗子是用假ID开的账户，他会从ATM把钱提走，警察或银行根本找不到人。

评论
这骗子舍得花成本啊？
看上去要先转入别人账号一笔钱？骗子打电话过去别人不睬怎么办？

评论
手机植入木马盗取密码这个几乎不可能
大概率是骗子提前通过某些手段拿到用户名和密码，并且验证过能用，然后再开始想办法跳过短信验证。
个人认为银行安全系统有一定安全隐患
1. 新设备登录应该要立刻短信和邮件提示
2. 非常用设备转账应该每次都需要输入验证码

评论

钓鱼不用饵鱼能上钩吗？

评论

今天手机推送一条新闻说google建议安卓用户停用 Wifi Calling

谷歌的零项目团队发现了三星 Galaxy 智能手机的多个安全漏洞，这些漏洞可以让黑客轻松瞄准设备。

黑客所需要的只是受害者的电话号码，它可以用来在用户不知道有什么问题的情况下破坏手机。

“零计划进行的测试证实，这四个漏洞允许攻击者在基带级别远程破坏手机，无需用户交互，只需要攻击者知道受害者的电话号码。通过有限的额外研究和开发，我们相信熟练的攻击者将能够快速创建一个操作漏洞，以悄无声息地远程破坏受影响的设备，”谷歌说。

受影响的设备是：

- 三星 Galaxy 手机，包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列手机

- vivo手机，包括S16、S15、S6、X70、X60和X30系列

- Google Pixel 6 和 6 Pro、Pixel 6a、Pixel 7 和 7 Pro

- 任何使用 Exynos W920 芯片组的可穿戴设备

- 任何使用 Exynos Auto T5123 芯片组的车辆

http://www.newschannel5.com/how ... d-to-combat-hackers

Pixel 手机已经开始更新修复漏洞

http://www.reddit.com/r/GoogleP ... sers_to_switch_off/

评论

你的朋友好像就是这位

http://www..com.au/bbs/ ... ead&tid=1781007

评论

骗子太多，忙不过来了

评论
我是不会相信这个故事的，简单来说我只要给别人转过一次钱，就有可能被别人偷走我账户里面钱。如果这样那谁还敢转账啊，都见面交易算了。

评论
厚道点不好么

评论
这女的应该没有讲出全部

评论
ACCC公布，2022年澳洲人报告了创纪录的31亿澳元诈骗损失，实际数额甚至更高 !
http://www..com.au/bbs/ ... ead&tid=1783675
澳洲中文论坛热点