【轉數快】電子錢包騙案揭3大漏洞 方保僑教路一招KO騙徒!

撰文:馬健彰
出版:更新:

金管局推出「轉數快」(Faster Payment System)不足1個月,驚現認證漏洞!有消息指,警方接獲兩名女子報案,稱她們於網上找散工,提供個人身份證照片及銀行帳戶資料後,竟發現銀行戶口遭人擅自轉帳共10.9萬元。
事件涉及懷疑個人資料被盜用,以開設儲值支付工具﹙電子錢包﹚戶口,並向銀行發出「電子直接扣帳授權服務」﹙eDDA﹚要求,從銀行直接轉賬至電子錢包,成功「搬錢」。金管局最新資料顯示,已有約十多個銀行帳號懷疑被盜,用以在電子錢包內開設eDDA,涉款18萬元。
記者綜合各方報道及訪問香港資訊科技商會榮譽會長方保僑後,發現騙徒成功「搬錢」,過程涉3大漏洞。

今次案件出現,反映轉數快及銀行認證流程恐百密一疏!(資料圖片)

根據金管局所得的資料,事件中約有十多個銀行帳號懷疑被盜,用以在電子錢包內開設eDDA,除個別戶口金額逾萬元外,大多涉及數千元,總數約18萬元。

據報道,其中一個苦主的恒生銀行帳戶內9.7萬元存款遭轉帳至支付寶帳戶,懷疑有人利用轉數快的漏洞,將苦主戶口內的錢以增值方式,轉至用她名義開設的支付寶戶口騙徒共分18次將款項轉走,但過程中苦主稱亳不知情,事後收到銀行賬單才得悉事件。

據苦主表示,她自己從未登記過轉數快,亦無用過支付寶。然則,戶口內的錢,又如何被「搬走」?

苦主的恒生銀行私人戶口疑被騙徒轉走9.7萬元!(資料圖片)

漏洞一、個人資料加太空卡      已可「被開戶」

綜合各方報道及金管局與銀行回應,苦主是在不知情下「被開戶」!該名苦主早前搵工,透過WhatsApp 把 HKID 身分證資料與銀行戶口號碼傳送給「僱主」騙徒,這名騙徒於是利用這些資料,用苦主名字開設支付寶賬戶。理論上,開設賬戶,事主應該收到SMS短訊驗證通知,但由於騙徒利用太空卡號碼登記,成功令苦主「被開戶」也懵然不知。

記者測試過,支付寶用家只需提交身份證照片,即可完成中級認證,其餘額上限為10萬元,年累計交易額為10萬元。如果想綁定銀行戶口,從銀行直接轉賬至電子錢包作增值之用,則要額外提供銀行戶口號碼。

支付寶等電子錢包開戶程序簡單,不法之徒較銀行易入手。(資料圖片)

漏洞二、eDDA認證通知「形同虛設」

跟住,就是從苦主的銀行戶口「偷偷」搬錢——取得eDDA進行自動增值,將錢從銀行戶口轉賬至電子錢包賬戶。

騙徒會用以你名義開的電子錢包,向你的銀行發出eDDA要求,這一步雖然會有SMS短訊通知,但出奇地,短訊通知卻是由電子錢包的營運商發出,但由於涉案的電子錢包戶口是用太空卡電話號碼登記,故認證通知亦只會發至該號碼。而騙徒取得認證後,即可以從苦主的銀行戶口,轉走存款到「太空卡」登記的電子錢包以作增值,過程中,通知短訊同樣地發到太空卡號碼,因此苦主對每次交易均不知情。

方保僑提議,金管局未來應要求eDDA認證時,由電子錢包發出一次性密碼短訊來開通授權服務,而短訊目的地,必需是用家的銀行登記電話號碼。因為如發去電子錢包的登記電話號碼,有機會像案中一樣,發去太空卡號碼。相對而言,銀行登記電話號碼的真確性較高。他又建議,每次交易亦可考慮發一次性密碼到銀行登記電話號碼,以作認證。不過,他坦言,這會令交易變得複雜,金管局未來需要取捨「安全」與「方便」之間的平衡。

方保僑建議,要求eDDA認證時,應以銀行登記的電話號碼作認證。﹙資料圖片﹚

漏洞三、騙徒或搬錢回內地      無法追蹤

方保僑補充,騙徒處理款項有「一萬幾千種」方法,今次從支付寶戶口得到9.7萬元,但沒理由用正常交易轉走,因為警方有機會查到資金去向。他相信,騙徒有機會將錢轉入內地的假銀行戶口,如該方法成功,警方將難以追查資金去向。

金管局回覆指,若賬戶持有人確實沒授權轉賬,不需為該筆轉賬負責。(資料圖片)

苦主倘沒授權轉賬      或不需為損失負責

騙案已現,苦主有沒有機會取回受騙資金?金管局回覆指,相關eDDA已暫停,若賬戶持有人確實沒授權轉賬,不需為該筆轉賬負責。金管局亦強調,雖然eDDA增值通過「轉數快」系統進行,但這次事件是涉及盜用資料在電子錢包設立eDDA的環節,並不關乎「轉數快」系統的安全使用。與此同時,該局又稱,電子錢包開設eDDA流程的檢視工作已接近完成,日後涉及設立eDDA程序時,需要銀行進行確認申請人身分的雙重認證。

恒生銀行回覆傳媒查詢時亦指,根據業界現時運作,銀行會根據電子錢包發出的指示設置eDDA,恒生會就授權發出信件或電子通知書,若證實客戶未有發出相關授權,將無須負責有關轉帳。