Zelle-hackare stal nyligen nästan 23 000 dollar från en 86-årig kvinna från New Hampshire, tömde hennes bankkonton och sparkonton i Bank of America, och banken förnekade hennes tvist om de bedrägliga avgifterna i månader.
Brottslingar kunde genomföra åtta separata uttag på 2 499 $ från offrets konto - 1 $ under den dagliga överföringsgränsen, enligt offrets son - vilket ifrågasätter bankens förmåga att upptäcka uppenbart Zelle-bedrägeri, sa han.
Offret, Barbara Helmstetter, märkte inte raden av transaktioner när de inträffade i april förrän hon fick ett meddelande om övertrassering. Vid den tidpunkten var hon omedveten om att hon hade tillgång till peer-to-peer-betalningsplattformen Zelle, berättade hennes son Michael för banken.
Trots det uppenbara bedrägeremönstret nekades Barbara Helmstetters tvist om transaktionerna – hennes begäran om att få "återbetalning" av de stulna medlen – av banken i juli.
"($23 000) är mycket pengar, särskilt för någon som lever på en fast inkomst," berättade Renee Helmstetter, offrets svärdotter.
Efter att familjen kontaktat mig och jag kontaktat Bank of Americas avdelning för mediarelationer, ändrade banken sitt beslut och returnerade 22 900 USD till kvinnan.
(Jag har skrivit om bedrägliga Zelle-transaktioner i mer än ett år och fortsätter att få panikslagna e-postmeddelanden från offer som förlorar pengar och felaktigt nekas tvister av sin bank — jag gräver igenom en eftersläpning av e-postmeddelanden nu — men Helmstetter situationen är den absolut värsta jag har hört. Zelle, en peer-to-peer betalningsplattform och en konkurrent till P2P-tjänsten Venmo, ägs huvudsakligen av ett konsortium av banker, inklusive Bank of America, Wells Fargo och US Bank.)
I en smärtsam ironi avvisades Michael och Renee Helmstetter till en början av banken i deras försök att hjälpa Michaels mamma eftersom deras namn inte fanns på hennes bankkonton. Bankens säkerhet stoppade med andra ord offrets barn men inte brottslingarna.
Bankens första undersökning fann att Zelle-transaktionerna "validerades med en autentiseringskod som skickades till ett giltigt telefonnummer", så tvisten nekades, enligt ett brev som Michael skickade till banken. Michael inspekterade sin mammas telefon och hittade inga bevis för sådana meddelanden om transaktionsautentiseringskod.
När Michael och Renee ringde banken och bad att utredningen skulle återupptas, blev de tillsagda att kontakta kvinnans mobiltelefonleverantör istället.
Bank of America kommenterade inte familjens frustration över deras upplevelse, men bekräftade i stort sett detaljer om händelsen.
"Vi kontaktade klientens son förra veckan och krediterar Helmstetters konton för beloppet", sa talesperson Betty Reiss.
Konsumentbedrägeriskydd kring Zelle-transaktioner är knepigt och uppenbarligen förvirrar både kontoinnehavare och banker. Många banker – inte bara Bank of America – fortsätter att felaktigt förneka tvister från konsumenter, enligt många offer som har kontaktat mig.
Om en brottsling hackar sig in på ett offers bankkonto och initierar en falsk överföring, bör den transaktionen omfattas av federala bankregler som ger konsumenter rätt till återbetalning av pengarna.
Å andra sidan, om konsumenter villigt initierar en transaktion till någon som i slutändan visar sig vara en brottsling – till exempel en Craigslist-affisch som aldrig skickar köpta varor efter en Zelle-överföring – så har konsumenterna inte rätt till kreditkortsliknande återbetalningar.
Det verkar från offer som Helmstetter att Zelle-hackare har kommit på hur man kan besegra textmeddelandebaserad autentisering för Zelle-penningöverföringar.
Antingen lurar de offren att avslöja autentiseringskoder, i ett telefonsamtal, eller så avlyssnar de meddelanden elektroniskt på något sätt. Tidigare har brottslingar klonat telefoner eller helt enkelt ändrat mobilnumret som är kopplat till ett konto så att meddelandet riktas till en telefon de kontrollerar.
Hur det än görs bör konsumenterna vara medvetna om att Helmstetters situation inte är unik. Brottslingar fortsätter att hitta på sätt att skicka pengar till sig själva via hackade Zelle-konton – även när offren inte har hört talas om Zelle.
I allmänhet kan konsumenter på Zelle-vänliga banker – det finns hundratals – inte välja bort tjänsten. Men Helmstetters son hittade ett sätt att i princip inaktivera det från sin mammas konto.
En bedrägeriutredare från Bank of America "blockerade hennes telefonnummer och e-post så att ingen kan använda hennes information för att skicka ytterligare överföringar", säger Michael. Det är ett alternativ som andra konsumenter bör överväga.
I sitt brev till banken är Michaels frustration uppenbar. Han uttryckte förvåning över att bankens bedrägerikontroller inte utlöstes när de enda sex transaktionerna som involverade hans mammas sparkonto på senare tid var sex $2 499 Zelle-uttag.
Han skrev i ett brev från familjen till mig:
"Det som är helt häpnadsväckande med hennes sparkonto ... och tydligt avslöjar en stor svaghet i bankens algoritmer och kontroller, är att sedan mars 2018 (så långt tillbaka som onlinebanker går på detta konto, så troligtvis längre bak), den enda och Jag upprepar ENDAST, transaktioner som inträffade på det här kontot var de 6 bedrägliga Zelle-överföringarna från kontot - var och en för $2 499,00, en enkel $1 under Zelle-överföringens maximala 2500 $. Och för att lägga förolämpning till skada i dina misslyckade kontroller, var de enda andra två transaktionerna under den perioden överföringar hon gjorde med hjälp från banken till sitt bedrägligt hackade checkkonto eftersom hon var orolig och förvirrad över de negativa saldomeddelanden hon fick från banken . Så, banken identifierade det negativa saldot på checkkontot och meddelade kunden Helmstetter för att lösa denna situation, men noterade inte de många Zelle-transaktioner som dränerade samma konto och det tillhörande sparkontot. Hur är detta möjligt?”
Early Warning Services, företaget som driver Zelle, kommenterade inte specifikt denna incident utan gav ett uttalande.
"Det här är en olycklig situation, och jag är glad att höra att Helmstetters konto återställdes till $23 000", säger taleskvinnan Meghan Fintland. "Vi kan inte kommentera fallet specifikt eftersom det var en fråga mellan konsumenten och hennes finansinstitut. Men i fall där en konsuments bankkonto eller betalkort har äventyrats och obehöriga Zelle-betalningar gjorts, har konsumenter rättigheter enligt lagen om elektronisk överföring av pengar. Vi rekommenderar alltid att de kontaktar sin bank omedelbart för att bestämma en lämplig lösning.”
Mer från Bob Sullivan:
Vad tycker du om den här nyheten? Ljud av genom att kommentera nedan eller på Money Talks News Facebook-sida.
