こんにちは
カナダにきてワーホリをしているのですが
CIBCを不正利用されました。

【状況】
①不正利用額は約400$

②内容はトロントでのクレジット決済(行ってもいない)とイートランスファー

③イートランスファーの名目は既に帰国した友人宛てに100＄が４回連続送金(友人に確認したが受け取りはしていないが、CIBCは受け取り完了済みだと主張

④JPカナダの掲示板でほぼ同じ日に同じような被害に出ている方もいる

⑤CIBC側の理屈としてはワンタイムパスワードの連絡を不正だと気づかずスルーしたことが原因のため返金は不可

⑥不正利用されたことは認めた上で「じゃああなたじゃない人がそれをやったんじゃない？」と言われ終了

⑦別日に他のスタッフはそれはおかしいとオンラインセンター(上層部)に電話してくれたが門前払い

⑧結果、不正利用された原因もわからずCIBCの提案により新しい口座開設と新しいSIMカードの発行

こんな感じです。


【質問】
他にも被害者がいて、明らかに同一犯の意図的な犯行に関わらず、それを認めた上で自業自得で済まされてしまうものなのでしょうか？

ワンタイムパスワードというのはスルーであれば本来引き出されないと思うので、そのパスワードまで見られている状況が問題であり顧客が止められるものではないと思います。

CIBCがそういった保証をしてくれない会社であればBMOなどに口座を変えるべきだと考えているのですが、世間一般的にカナダの不正に対する対応とはそういうものなのでしょうか？？

②行ってないことを証明しても駄目？
③誰かの口座にお金は入ってるはず。銀行側はそれを調べられるのでは？
⑤ワンタイムパスワードはトピ主さんの所に送られたの？それを無視したの？それとも他の人のところに送られたの？

クレカにイートランスファに殆ど全ての情報が筒抜けだったと言うこと？

なんでクレカは限度額でなくそんな少額だったんだろう？（被害額が400でイートランスファが400という事はクレカは本当に少額だよね？）

銀行残高は400ドルで全て使われたの？それともそれは一部なの？

ちょっとプロの仕業にしては甘いような気がするんだよね。トピ主さんのよく知ってる人で怪しい人いない？


私が口座を不正利用された時（かなり前）はチェッキング口座のみ、訳のわからない買い物（アメリカシアーズとか）で何回にも分けて残金.03位まで使われた。だから口座の中身が確認できてたんだろうね。

被害額は2,000ドルくらいで、今思ったけど私の一日限度額は500ドルだと思うけど何日にも分けられてたのかなぁ？ちょっと覚えてない。

何かの引き落としが出来なかったので連絡があり発覚。銀行に連絡したらすぐに（３日くらい）処置をしてくれた。引き落ちなかった為の罰金（60ドルくらい）も返してもらった（こちらは一ヶ月くらい）。

ご丁寧にレスポンスをくださいありがとうございます。

下記にお答えしていきます、

②行ってないことを証明しても駄目？
→私はバンクーバー住みなのでトロントでしかも内容は3ドルくらいのよくわからないものでした。
もちろんトロントなど行ってないですが特に行ってない証明などなく…。


③誰かの口座にお金は入ってるはず。銀行側はそれを調べられるのでは？
→調べてもらっても友人の口座できちんと受け渡し済みになってますとしか言ってもらえません。銀行はそれ以上深堀してくれませんでした。

⑤ワンタイムパスワードはトピ主さんの所に送られたの？それを無視したの？それとも他の人のところに送られたの？
→私のところに来てました。しかしSMSなので適当に見逃しておりましたが、乗っ取られたのかそのパスワードを使って使用ができたらしく、振り込み後の確認メールが来たので気付いたかたちでした。

クレカにイートランスファに殆ど全ての情報が筒抜けだったと言うこと？
→おそらくCIBCのデビットカード(クレジット機能付き)で銀行アプリがやられたのではないかと考えてはおります。

なんでクレカは限度額でなくそんな少額だったんだろう？（被害額が400でイートランスファが400という事はクレカは本当に少額だよね？）
→めちゃくちゃ少額です。基本イートランスファーでした。

銀行残高は400ドルで全て使われたの？それともそれは一部なの？
→もちろんその倍以上は残っています。なぜかその微妙な量を微妙な感じで使われておりました。

ちょっとプロの仕業にしては甘いような気がするんだよね。トピ主さんのよく知ってる人で怪しい人いない？
→イートランスファーは2人の友人に送っており、2人の接点は全くありません。1人は帰国して口座解約もしているのでもちろん知る術もなく、もう1人はバンクーバーにいますがわからないし受け取っていないとのことでした…

＞もちろんトロントなど行ってないですが特に行ってない証明などなく…。

グーグルマップのタイムラインで過去の行動履歴から証明できませんか？

ありがとうございます！
そちらはそんなやり方もわからなかったので、調べて可能であればやってみます。

ただ問題としてはそっちは3ドル程度なのと、乗っ取られが証明できたとしても、向こうはそれをわかったうえで「じゃあ乗っ取られてたんだね。でもワンタイムパスワードを放置してたあなたが悪いから補填はできないわ」と言われてしまっているので、どうにか同じような事例が過去にないか、また今回同じような人がいないか掲示板を利用させていただいた次第です。


上でも記載していましたが、ワンタイムパスワードは本来放置すれば問題ないものなのに、乗っ取られていた為に放置してても送金されてしまって「ワンタイムパスワードを放置したのが悪い」は非常に納得がいっておりません…

主さんVPNを使ってますよね。　それくらいセキュリティーに気を遣う人がこんな事に引っかかるとは不思議。　銀行が間違いなくあなたの友人の口座に送金されていると言うのなら、犯人はあなたの友人では？　スマホももハックされているかも。

銀行側の問題じゃなくて、トピ主さんのスマホかPCからメアド等の情報が盗まれた可能性が高くないですか?
二人に接点が無いと言われていますが、二人ともトピ主さんのアドレス帳や送信履歴に載っていたという共通点があります。そう考えると、トピ主さんのメールアカウント等が誰かに知られたことが原因かもしれません。

コメントありがとうございます
VPNは使ってないです。
友人だとしてもクレジットでトロントの3ドルをクレジットで使用した目的が全くわかりません…
詳細は特定の可能性を踏まえて言えませんが、一般の方では必要のないものが買われていました(あくまで記載上は)

なるほど、そうかもしれないですね。
本体そのものだとあまりにも被害箇所や規模が部分的で銀行アプリの個人情報かと思いましたが、メールアドレスや電話帳から、ということであれば紐づいているので納得です。
それだけでアプリのパスワードやSMSの通知まで共有できるのかは私にはわかりませんでしたが…

ところでトピ主さんはVPNを通してないなら何故タイから投稿してることになってるんですか？
アドレス帳もSMSも把握されてるなら、携帯電話がハックされてるってことはないのですか？

そもそもパスを抜いて全部引き出してない段階でプロじゃないと思うよ、というか、ＪＰカナダの投稿名の横にあるTHという発信IPのジオからしてVPNを張ってないなら、多分そのPCにマウスロガーとかキーロガーとか仕込まれてるんじゃないの？

というか、ワンタイムパスワードって、送られてきた、ワンタイムパスワードを入れて初めて送金されるわけで、誰かが貴方のワンタイムパスワードを見て、そのパスで送金依頼してるはず。

あと、送金先が「友達は受け取ってないがCIBCは送った履歴がある」と言う話だけど、CIBC(というか全ての銀行)側では仕組みとして「誰々に送金したのに、実は別の所に送金されて、銀行側はそれが分からない」という事は正直あり得ないんだよね（もしそういうスーパーハッカーが居れば全てのクライアントの送金先を変更される恐れがあるので数兆レベルを超えるレベルで自由にお金が抜き放題）

あと多分規約に「ここ迄は銀行が補償して、これ以上は顧客の責任」という文面が口座開設時に書面で渡されてるはず。それをチェックしてみればいいんじゃないかな。

一応第三者から見ると「トピ主の詐欺」と言う風に思われる筈。

例えば自分が「今日、銀行から友人宛に1千万送った履歴があるけど自分はそんなことしてないと強弁する(実際は1千万送る)」「友達は1千万受け取ってない(二人で示しを合わせ受け取ってないと強弁させる)」+「トロントにいる友達にネットで買い物をカード番号教えて注文してもらう」

で、次の日に銀行に「補償しろ」っていう。

これで幾らでもお金引っ張れるよ？

一番簡単なのは「受取った友人の口座履歴を見せてもらう」ただそれだけ。

今回被害にあった携帯と、現在投稿している携帯は違うもので、もちろん紐付けも全くしていないのでタイになっていることに関しては問題ないので気にしないでください。
とりあえず口座は作り変えてSIMカードや携帯番号なども全部新しくしてきます。
ありがとうございました。

おっしゃる通りだと思います。
ワンタイムパスワードの仕組みは理解した上で、なぜこちらはスルーしてしまって何も触れていないのに勝手に使用されてしまったのだろうという状況です。
それがハッキングや不正アクセスである可能性が高いので、それを証明して銀行に補償を持ちかける予定です。

送金先の件に関しては私も不審に思ってはいるので、証明のためだと理由を話して入金履歴を撮って見せてもらうことにします。
規約の件、たしかにこれは見ておくべきですね。
ご丁寧ににありがとうございます

私はクレジットカード情報盗まれて不正利用されたのが過去一年で3回あります。
その手口なんですが、支払い時（私の場合おそらくガソリン給油時）に情報を抜かれたあと、
まず少額の使用、気が付かないようなら高額の利用、と言う感じです。
一度は100ドル使用→すぐにリファウンド→数日後に500ドル使用、みたいな感じで
使われたこともありました。
なのでその3ドルは、たぶん様子見されたんじゃないかな・・・という気が。

ちなみにですが、3回とも不正使用が認められて
数か月以内にクレジット戻ってきました。
カードは即使用停止で新しい番号のもの再発行となってます。

e-transferの場合はアプリやＰＣ端末のハックが必要なんで、
またちょっと別の話ですけどね。

今のトピ主さんのケースだと銀行はたぶん本当に何もできなくて
出来るのは警察に被害届を出す位、少額なので微妙ですけど犯人が捕まったら集団訴訟という感じかな。

ご丁寧に、またいろんなケースのお話ありがとうございます。
様子見で3ドル行かれた可能性もあるかもしれませんね。

イートランスファーの場合はまた違うのもよく理解していませんでした。
警察ですか…たしかに本来そうすべきかもしれませんね…
ただ被害額は400ドル、これ以上長丁場になり心身ともに削れるなら切り替えて働いてた方が経験も資金もリターンが大きいのでもしかしたら諦めかもしれないです。

でも参考になりました。ありがとうございます

>ワンタイムパスワードの仕組みは理解した上で、なぜこちらはスルーしてしまって何も触れていないのに勝手に使用されてしまったのだろうという状況です。
それがハッキングや不正アクセスである可能性が高いので、それを証明して銀行に補償

多分ここが銀行側としては「ワンタイムパスワードをハックされたのは銀行側システムではなく、あなたの携帯管理の問題なので、あなたの携帯電話がハックされた事に関しては銀行側としては何も出来ないので補償は無理」と言う話かな？

つまり「第三者が携帯のリモートで画面が見れて、操作出来るアプリを自分の携帯に仕込んだ（これが奥さんとか親とかでも同じ話」「それを使いリモートで送金した（奥さんが勝手に送金したのと同じ」場合は、銀行側からすれば貴方が貴方の携帯から送金依頼したとしてしか認識出来ないので、保障は無い。

補償がある可能性として「今回の事件は、銀行側サーバーにハッカーが侵入、送金先や送金依頼を勝手に変更されて」と言うパターン。

とてもわかりやすいご説明、ありがとうございます。

たしかに銀行側からしたらそういう見方になってしまいますね、
しかしそうなるとクレジットカードの不正利用で帰ってきた方々も同じ条件ではないのかなと思ってしまいます。

クレジットの不正利用は保証されており、イートランスファーの不正は個人の責任なのでしょうか

クレカも例えば別れた元奥さんが勝手に使ったり、3者が勝手にリアルカードを持っていって使われた場合（そして本人ではなく、第3者が使ったと証明できない場合）は補償ないですよ。

基本補償は自分の管理外の部分でカード番号を盗まれた場合のみです。（たまに子どもが勝手にガチャしてーみたいな場合カード会社とか運営が返金するときもあるけど、レアですかね）

あと、「クレジットカード会社」と「銀行」の違いですね。クレカの場合「与信(貴方の信用に対してお金を貸す」なので与信した方が悪いって成りやすいんですよ。

銀行の場合「貴方のお金をあなたが自由に出し入れする」話ですので、「疑いがあるので口座泊めます」って出来ないんですよ。下手すると不渡りとか倒産する話なんで。

銀行とクレジット会社の話しとてもわかりやすく、腑に落ちてしまった部分が多いです。
たしかに、今回の件とくにイートランスファーに関しては完全に銀行の件ですし、クレジットの不正利用で銀行から引かれてる時も補填するのって銀行じゃなくクレジット会社ですもんね…
いろいろ私が無知な手前丁寧に教えてくださってありがたいです。

E-transferの時にワンタイムパスコードって送られてきますか？

何度か支店や時間を変えて（担当者が変わると言うことも違うので私はたいてい３度試す）銀行に問い合わせるのは勿論なんだけど、その前にその友人に確認する事が先じゃない？

履歴は残ってるでしょうから（私の場合はe-mail絶対にしてあるのでXXさんはオートデポジットにしてるので受け取りましたとか、SSさんはアセプトしました）とか連絡が来る。

ご友人達はお金を受け取ってるんですか？

https://www.cibconline.cibc.com/ebm-resources/public/cibc-referral-app/client/index.html#/welcome?campaignOfferID=735&locale=en&xref=11117111612987851445&itrc=E844:1

CIBCのセキュリティ問題よく聞く

本当に何が😱起きたのでしょうか。

スマホにメールや銀行系アプリ入れてると便利だけど、乗っ取られたら個人情報全部盗まれるから入れとかないほうがいいかもしれませんね。

まずはイートランスファーの送金があった日の友人の口座の履歴を見せてもらいましょう。銀行に行けば紙を発行してもらえますし、それを持ってCIBCに行くのがいいかと思います。

イートランスファーって、メアドにリンクが送られて、そのリンクをクリックすれば、自分の持ってる銀行口座の中から好きなのを選んで入金できるから、メアドをハックされてたら終わり。

E-transferのメアドって銀行毎に違うメアドにしないと送金できないことありませんか？
自分も銀行AとBを使ってて、全く同じメアドでは口座間送金が不可だから違うメアドで登録しなければいけなかった。

>E-transferのメアドって銀行毎に違うメアドにしないと送金できないことありませんか？

それは、オートデポジットを設定している場合の話では？

オートデポジットの場合は、提携している銀行の中で、同じメアドが存在すると、どの銀行か分からなくなるので、全体の中で一意である必要があります。

でもオートデポジットを設定していない場合は、単にそのメアドにメールが行くだけなので、問題ないはずです。

私はA銀行とB銀行に口座を持っていて、時々、銀行間でイートランスファーをして資金を移動させますが、どちらにも同じメアド使ってます。

メアドをハックされない為の対策で、怪しいリンクはクリックしない、個人情報を要求されたら必ず確認してからにする以外に何かありますかね？メアドのハックも怖いですが、最近問題のSIMスワップ詐欺の対策とかってありますか？