2023年4月21日 星期五

若中「木馬程式」 用手機銀行或遭偷卡資料

文匯報

香港文匯報訊(記者 唐文)隨着手機數碼錢包逐漸普及使用,相關的罪行逐漸出現。有市民在沒有遺失實體信用卡的情況下,遭人盜取信用卡資料,賊人更在其手機錢包綁上事主的信用卡,導致賊人消費、事主埋單。有網絡保安專家相信,事主的手機已中了「木馬程式」,在平日用手機處理銀行服務時被賊人隔空盜取信用卡資料。立法會議員梁熙呼籲《銀行營運守則》應與時俱進,為新型電子支付制定監管制度。

苦主李小姐憶述,她於去年12月6日接到滙豐銀行職員來電稱,她前一日有三筆可疑信用卡交易,前兩筆交易不成功,第三筆交易使用google pay (手機錢包)成功過數。她當即取消信用卡及報警,但損失的1.3萬元卻無法追討。

對騙徒如何盜取信用卡信息,李小姐感到一頭霧水,「我這麼多年都是用Apple手機,從來都沒有註冊手機電子錢包,更沒有使用過google pay,為什麼銀行會允許別人碌我的卡?」她說,自己信用卡被盜用當晚並未收過任何短信驗證碼(OTP),亦未在任何地方輸入過驗證碼,但在與銀行交涉中,銀行則堅稱曾向她發送驗證碼。

李小姐指,既然銀行當時已懷疑交易有可疑,卻未有阻止交易進行,理應由銀行承擔損失。「銀行職員電話詢問我的態度好像在審犯,懷疑是我和騙徒一起密謀呃銀行錢,佢又不肯透露騙徒消費的實體商戶地址,只知道是旺角的一間金舖。」

議員倡為新型電子支付制定監管制度

梁熙表示,現時金管局對綁定電子支付(如google pay、apple pay等)的信用卡交易,以及信用卡實體卡交易,採用同一套監管準則,但電子支付有更多傳統上難以預計的風險,故要求金管局檢討現時《銀行營運守則》,為新型電子支付制定監管制度。

「電子錢包中的信用卡,一般只顯示最後4位數字,也不會顯示卡主的全名,而實體信用卡會具備這些信息。以往商戶一旦覺得交易可疑,可要求消費者出示其他證件,證明與信用卡上的姓名一致,但使用電子錢包就無這一重核對。」他說。

鑑於部分被盜卡主從未收過銀行發出的OTP,懷疑該短信可能被賊人截取,梁熙建議金管局考慮在信用卡綁定電子支付時,要求用戶進行OTP+密碼雙重認證,或OTP+生物特徵認證;對於剛剛綁定電子錢包的信用卡,首10宗消費,應發送SMS通知。

香港資訊科技商會榮譽會長方保僑向香港文匯報表示,相信事主的手機遭黑客入侵,被植入木馬程式而取得其信用卡資料和電子支付工具的一次性密碼(OTP),盜用其賬戶進行消費。

他解釋,現時手機會接收不少訊息,只要用戶不為意點選訊息內的連結,就可能令手機被植入「木馬程式」,「只要被植入有關程式,黑客就可以遙控和取用戶手機內的所有資料,包括銀行和信用卡賬戶等信息。」

黑客可攔截驗證碼 用戶不知收過

使用電子支付工具時收到的驗證碼,黑客亦可以輕易盜取,「中咗木馬程式部手機就由黑客操控,銀行傳驗證碼來,黑客已攔截咗,然後遙距刪除,用戶自己也不知收過驗證碼,咁樣黑客就可以開一個電子支付賬戶,使用苦主的信用卡消費。」

方保僑強調,用戶要保護自己的個人私隱,手機不應保存有關銀行、信用卡賬戶等資料,收到任何信息後都不要胡亂點選內附的連結,更應安裝手機防毒軟件。

沒有留言:

張貼留言