渣打國泰萬事達卡被盜用　料受程式化銀行識別碼襲擊

渣打國泰萬事達卡（前渣打Asia Miles萬事達卡）出現大規模盜用簽帳事件，渣打今晚(7日)通知客戶受信用卡退款保障，經核實的非授權信用卡交易，銀行將主動退款 。

熟悉銀行運作的民建聯前財經事務副發言人陳仲翔分析，事件或與「程式化銀行識別碼襲擊（BIN Attacks）」有關，即有黑客利用程式不斷嘗試解析信用卡號碼、有效日期及安全碼，並透過細額交易確認該組資料是否正確。他稱一般情況下，卡主可申請退款保障，卡主及銀行都不會因此受損失，但仍建議市民可降低信用卡額度，各大銀行亦應借機會檢視防止BIN Attacks的機制。

被盜用金額低又頻密　屬BIN Attacks情況

陳仲翔表示，留意到不少卡主被盜用金額較低，且較頻密，認為較大機會與BIN Attacks有關。他解釋，一般發卡機構信用卡頭6位數字是相同，用予區分發卡銀行，被盜用多數有兩大原因，一是市民在進行不安全的信用卡交易時，其資料因被外洩；二是有黑客利用程式嘗試解析信用卡資料。

利用程式不斷嘗試及配對資料　透過小額交易核實

他指信用卡交易涉及三組信用卡資料，包括16位數字的號碼、有效日期及背面三位數字安全碼，黑客利用程式不斷嘗試及配對三組資料，「用程式去撞，試好多好多次，試到得為止」，並透過一些毋需刷卡、簽名及露面的網上小額交易，確認是否嘗試成功。黑客確認資料準確後，下一步或會利用資料進行大額交易，最常見是買比特幣，「可能將資料賣出去，又或者自己用。」

建議將信用卡額度調低　確保手機號碼可接收銀行信息

至於應如何保護個人資料，陳仲翔坦言BIN Attacks防不勝防，「避無可避，因為要用卡，系統對外唔可能截斷」，但建議可將信用卡額度調低，將出事時的最大損失控制到最低，「即係你平時碌得兩三千蚊，就唔好咁大啦」，且要確保手機號碼可接收銀行信息，當被盜用時可即時得知。

各大銀行應檢視現時機制

陳仲翔又說，相信今次事件並非渣打保安出現漏洞，而金管局有一套指引確保本港銀行保安系數達一定水平，銀行一般亦有機制處理BIN Attacks情況，「見有不斷error交易時都可了解係咪中咗BIN Attack」，但強調今次是好機會讓各大銀行檢視現時機制是否足夠安全。

料卡主可申請退款保障　不會有損失

若市民在今次事件中不幸被盜用資料，陳稱需即時停用，但預料卡主可以申請退款保障，向銀行申明並無該筆簽帳，在退款機制之下，預料無論卡主或是銀行都不會因此受損失。他補充，由於大額度交易一般都要求有實時密碼，料不大機會出現較大損失。