無定向學堂:轉數快揭電子錢包漏洞 三招自保防戶口被盜

文章日期:2018年10月28日

【明報專訊】金管局推出轉數快僅一個月,就接獲十多個銀行帳號懷疑被盜的投訴,涉資十八萬元。

最令人詫異的個案是一名女子,在網上找散工,提供身分證照片及銀行帳戶號碼之後,其恆生銀行戶口竟在一晚內,分十八次以轉數快形式增值到支付寶帳戶,合共被轉走九萬七千元。

從事網路保安工作二十三年的龐博文(Ronald)說:「是儲值支付工具(SVF)的問題,銀行食死貓食得好應呀。」

不要以為事不關己,不用轉數快和電子錢包就無事,今次中招的,正正是這些不用的人被盜取身分和戶口。

那是不是先行登記所有電子錢包就能保平安?

Ronald笑言:「電子錢包何其多,又如何能夠登記晒?」

因此在此公開自保三招。

銀行食死貓 電子錢包認證存漏洞 

出事後,媒體紛紛指摘轉數快有漏洞,但Ronald坦言問題不在轉數快,而是電子錢包沒有做好認證。「支付寶做KYC(Know your customer,認識你的客戶)身分認證做得不足,騙徒只需要利用太空卡號碼登記,提供身分證相片和銀行戶口號碼就相信是你本人,咪出事囉。而銀行和支付寶之間有agreement,只要支付寶做了身分認證,銀行就會相信支付寶,開通電子直接扣帳授權(eDDA),讓銀行戶口直接過數予支付寶。」

eDDA 授權電子錢包直接扣數

什麼為之eDDA?其實直接扣帳授權(Direct Debit Authorization,簡稱DDA)由來已久,八達通自動增值、信用卡自動付費都是DDA,即直接由你銀行戶口扣數。不過,昔日都是要由用家直接向銀行填表申請,才可以開通DDA。不過,自從電子錢包出現之後,玩法不同了,以Wechat Pay為例,用戶只需在手機微信按掣綁定銀行戶口,電子錢包就會向銀行申請開通DDA功能,從銀行戶口扣錢增值電子錢包,即是不再由銀行為主導,而是由電子錢包做主動。過往用DDA增值,資金要兩個工作天才轉入電子錢包內,但轉數快推出後,變成立刻可以過數,所以業界就將這項功能改名為「電子」直接扣帳授權(eDDA)。

所以,今次是電子錢包失職,用戶只需要提供身分證相片和銀行帳戶號碼便能綁定和轉錢,根本無法確定手機用戶就是這個銀行帳戶持有人。不過,銀行亦太草率,只要電子錢包發出申請,就設定eDDA指令,自己不發sms通知用戶和進行驗證,亦是責無旁貸。

太空卡實測認證:微信支付身分認證最兒戲 

記者因此買了一張太空卡測試微信支付、支付寶和TNG三個電子錢包的認證功能。主要測試重點有二:一、如何得知手機用戶就是身分證相片中人?二、有銀行戶口號碼是不是就能綁定和轉錢?

微信支付一小時內通過認證

在身分認證方面,微信支付容許你從手機上載身分證圖片或即時拍攝相片,記者不用自己身分證,而是隨意將同事的身分證相片upload後,一小時內微信支付就通知身分已獲確認,微信支付身分認證頗為兒戲。而支付寶和TNG均不能從手機圖庫上載圖片,只提供即時拍照功能,記者將同事的身分證打印後拍照,同獲告知需要三個工作天處理審批。不足半天,TNG通知身分認證被拒絕,反映翻拍身分證圖片,而非實物是不能過關。而支付寶過了一天仍未完成認證。

手機實名制 杜絕太空卡

Ronald說其實電子錢包要做到確認手機用戶是身分證使用者並不難,有電子錢包就聰明地要求手機用家自拍,只需用人手或AI對照自拍相和身分證相片,就可做到真正實名認證。「今次事件其實不叫做技術上漏洞,而是叫人為危機,其實只要做多步KYC,花多少少時間就萬無一失,不過開戶和交易時間必然會遲了。」他又提倡港府應仿效中國、英國和日本推出手機實名制,所有電話號碼都要戶主進行登記,杜絕太空卡。「我們安全專家最怕太空卡,因此提倡手機實名制是基於信息安全的考慮,而沒有任何政治動機。」

現時,微信支付如要綁定銀行戶口,需redirect至各間銀行的網上銀行登錄頁面,即要輸入網上銀行帳號和密碼才能完成綁定和轉錢。而TNG則需要拍攝提款卡正面才能進行綁定,支付寶則在出事後暫停綁定銀行戶口功能。因此,不存在只要有銀行戶口號碼就能綁定和轉錢的情况。「金管局都知道問題在於電子錢包,因此立刻停止電子錢包eDDA功能,算快手,抵讚的。」雖然暫停了銀行戶口利用轉數快形式直接增值電子錢包功能,不過用戶仍然可以利用轉數快進行一對一的轉帳服務。

自保3招

1. 開通網上銀行 隨時得知戶口動靜

如何避免被盜取身分和戶口,有網民教路:「只要開晒所有電子錢包,唔用一回事,起碼人地知道你身分戶口資料,唔可以冒你開戶轉走你啲錢。」Ronald則說轉數快推出一個月已有人中招,顯示騙徒手腳快,根本無法和騙徒鬥快,而且無可能完全登記天下間所有電子錢包。因此,最有效和快捷保障自己的方法,其實是開通網上銀行。「始終電子錢包是無錢的,所有錢都要由銀行過數,因此開網上銀行更有用,自此,你開通電子銀包、轉數,任何郁動都會有即時通知,騙徒自然避無可避。」

2. 身分證副本加水印

雖然不少網友都說,中招事主隨便提供身分證相片是自食其果的行為,不過在見工時提供身分證明文件又似乎是無可厚非。Ronald就建議提供任何身分證明文件時,都要自行加上紅色COPY水印,令騙徒無法利用身分證相片開通電子錢包。而其實現時有不少電子錢包如TNG和八達通O!ePAY都有內置水印功能,一影身分證就會有COPY字樣,保障用家。

3. 向銀行要求不開通電子錢包

老人家不懂用網上銀行又怕加水印麻煩,Ronald說其實是可以到銀行分行要求不開通電子錢包服務,「戶口任何改動都要還原基本步,要填表打指模才能改動,就算騙徒有你資料都沒用,一刀斬斷被盜用戶口的可能性」。

文//彭麗芳

圖 // 手機截圖、資料圖片、受訪者提供

編輯 // 王翠麗

fb﹕http://www.facebook.com/SundayMingpao

明報影片