今年1月初,汤女士(Megan Tong) 因账户被黑客入侵损失了大约7万加元。黑客登录了她的一个自主投资账户,卖掉了她所有的持股,并短暂地买卖了价值数万加元的两只中国股票。
然而,汤女士的折扣券商Questrade Financial Group Inc.拒绝赔偿她大部分损失,称这并非源于其系统漏洞。相反,该公司将此次黑客攻击描述为一次可能的网络钓鱼攻击,而这不在其网络安全保证的承保范围内。
38岁的汤女士是多伦多一名特许专业会计师,拥有信息技术审计经验。她对 Questrade的回应感到震惊。
她说:“这非常令人震惊,原因有很多——我意识到我的钱在那里面一直不安全,而且他们网站上非常醒目的安全保障承诺,实际上什么都不是。”
然而,当汤女士向银行业务和投资监察专员(OBSI)投诉 Questrade 时,该机构也未认定这家券商负有责任。
此案凸显了一个日益增长的风险:当更老练的诈骗者窃取消费者的凭证时,在现有规则下,受害者往往需要承担全部损失。
出于隐私考虑,Questrade拒绝就汤女士的经历发表评论。
公司发言人拉德瓦(Praneil Ladwa)通过电子邮件表示,公司致力于保护客户免受“日益复杂的网络和欺诈威胁,这些威胁利用网络钓鱼或社交工程”,并补充说,公司将继续投入资源,教育客户如何保护自己免受网络威胁。
但汤女士很快指出,她远非一个典型的网络诈骗受害者。除了职业生涯早期从事IT审计工作外,她在随后加入一家理财规划公司时,也接受过广泛的个人网络安全培训。
汤女士的账户启用了双重认证。她说,她一直妥善保管登录信息,从未与任何人分享过。直到今天,她仍然不知道黑客是如何获取她的登录凭证的。
更重要的是,她认为,黑客入侵她的账户后,Questrade应该采取更多措施来阻止。
根据《环球邮报》看到的一份Questrade调查摘要,1月8日,该公司检测到汤女士的账户在几分钟内发生了两次登录,均来自系统无法识别的设备。文件显示,在这两种情况下,该公司都向汤女士发送了电子邮件和短信通知,称如果她不识别这两个访问请求,她应该更改凭证并联系客服。
汤女士说,她那天登录过一次,检查了账户,但没有添加新的受信任设备。
未经授权的交易发生在两天后的1月10日星期五下午。根据调查,当时诈骗者卖掉了她保证金账户中所有价值约13万加元的广泛型低费率交易所交易基金(ETF)。
黑客还利用一笔美元保证金贷款,买入并迅速卖出了中国苏州一家科技公司 YXT.com Group Holding Ltd.的数千股股票。他们还买卖了Pheton Holdings Ltd.的股票,不过账户里还剩13,500股。
所有这些交易都在一个半小时内完成。在接下来的两个小时内,Questrade冻结了该账户,并试图通过电话联系汤女士,但未成功,留下了一封语音邮件,敦促她致电客服。
接下来的周一,该公司又尝试了四次联系她,留下了三封语音邮件。
汤女士说她没有注意到这些电话,部分原因是1月10日她的手机被垃圾电话淹没了,另一个原因是Questrade的几个电话显示为她不认识的1-866号码。
直到1月15日,她才意识到自己的账户被黑客入侵了。
两周后,Questrade通知汤女士,调查已经结束,公司不会承担损失。
汤女士提出内部投诉后,该公司提出赔偿6,885美元(9,260加元)。这笔款项相当于她从1月17日一次电话通话中,一名 Questrade代表错误地告诉她,公司会赔偿未经授权的活动,而10天之后,她才被告知有机会卖掉账户中剩余的中国股票。
汤女士拒绝了这项提议,因为这需要签署一份免责和保密协议,这将限制她公开谈论自己的经历。相反,她将投诉提交给了OBSI。
监察专员以其纠纷解决过程的保密性质为由,拒绝就此案发表评论。
汤女士辩称,鉴于她一直持有广泛型ETF的投资记录,黑客的交易活动非常不寻常,Questrade本应在执行这些交易前将其叫停。
她还质疑,既然她告诉公司她无意使用杠杆,为什么券商还要给她提供保证金账户。当《环球邮报》联系 Questrade 时,该公司没有回答有关保证金账户的问题。
代表个人投资者利益的全国性组织FAIR Canada的执行董事比罗(Jean-Paul Bureaud) 表示,对于投资公司来说,冻结可疑交易是一个棘手的问题。
他说,信用卡公司通常会阻止看似不寻常的消费,但阻止金融交易是另一回事。由于市场价格不断变化,如果投资经销商因为延迟处理一笔看似可疑的交易,而导致客户蒙受损失,客户可能会要求券商赔偿。
他说,保护消费者的一种方法是设立一个公共基金来赔偿诈骗受害者。
目前,魁省是唯一为金融服务行业设立类似赔偿基金的省份。符合条件的受害者可以申请高达20万加元的赔偿,该计划只涵盖金融专业人士所实施的欺诈造成的损失。
比罗说,FAIR Canada正在审查为受欺诈影响的投资者设立基金的提议。他说:“应对欺诈,是一项共同的责任。”
