為推動電子支付,金管局於 9 月底正式開通快速支付系統「轉數快」,打通參與銀行及儲值支付工具(SVF)營運商的經脈,讓用戶可經「轉數快」平台進行跨行雙幣實時轉賬。惟有不法之徒乘「轉數快」尚未普及伺機行騙,透過社交媒體招聘廣告套取應徵者的個人資料,包括銀行賬戶號碼及身份證照片,訛稱用以確認身份及出糧戶口。應徵者不虞有詐,向騙徒提供個人及銀行資料後,其銀行賬戶在未經本人授權下,將款項以「轉數快」形式為支付寶及「拍住賞(Tap & Go)」等電子錢包增值。警方已確認接報,並初步將案件列作「以欺騙手段取得財產」,暫未有人被捕。
騙徒利用 eDDA 增值程序漏洞
金管局回覆表示,自「轉數快」開通至今共收到三宗相關投訴。金管局近日從不同渠道(包括銀行、儲值支付工具營運商及市民投訴)得悉有個別市民的個人資料懷疑被盜用,開設儲值支付工具戶口(電子錢包),並設立銀行電子直接扣帳授權服務(eDDA)對電子錢包進行增值,然後盜用錢包內的款項。是次事件涉及個人資料被盜用,已轉交警方調查。金管局希望提醒市民,需要
時刻保持警覺,小心保管個人資料。若懷疑資料被盜用,應盡快向銀行或儲值支付工具營運商查詢及向警方求助。發言人透露,金管局於 10 月 10 日首次收到有懷疑資料被盜用的報告,並馬上採取以下行動︰
1. 接觸銀行和儲值支付工具營運商,要求他們向金管局報告有多少類似個案和涉及的金額;
2. 要求營運商及銀行檢視在電子錢包開設 eDDA 的程序,研究改善流程,以降低個人資料被盜用的風險;
3. 要求儲值支付工具營運商在完成檢視工作前,暫停 eDDA 功能;
4. 根據金管局所得的資料,事件中約有十多個銀行帳號懷疑被盜,用以在電子錢包內開設 eDDA,除個別戶口金額逾萬元外,大多涉及數千元,總數約港幣 18 萬元。一般而言,如果帳戶持有人確實沒有授權有關扣帳,並不需為未經授權交易承擔責任,事主可接觸銀行處理,而這些個案的賠償事宜正處理中;
5. 至於對開設 eDDA 流程的檢視工作已接近完成,日後涉及設立 eDDA 程序時,需要銀行進行確認申請人身分的雙重認證,而這項功能可望於下星期開始陸續恢復;
6. 雖然 eDDA 增值通過「轉數快」系統進行,但這次事件是涉及盜用資料在電子錢包設立 eDDA 的環節,並不關乎「轉數快」系統的安全使用。「轉數快」開通至今運作正常,共錄得超過 100 萬個登記紀錄,平均每天交易金額超過 10 億元。
雖然電子錢包內的 eDDA 服務暫停,用戶仍可透過例如即時轉賬等其他方式為電子錢包增值。金管局則建議市民可透過自己的網上銀行或電子錢包,登記「轉數快」的賬戶綁定服務,並以手機號碼或電郵連結自己的收款賬戶。登記人會收到由銀行或電子錢包營運商向客戶手機號碼及/或電郵地址發出的驗證碼,並獲知通知登記結果。
建議加強帳戶綁定認證
香港電訊發言人表示,知悉事件可能涉及市民個人資料被盜用作開設儲值支付工具戶口,並設立電子直接扣賬授權服務(eDDA)進行增值。目前,如登記 Tap & Go「拍住賞」服務,用戶須下載 Tap & Go「拍住賞」手機錢包,然後上傳其有效身份證明文件,即可開設 Tap & Go「拍住賞」賬戶。惟有關事件與 Tap & Go「拍住賞」系統及使用的安全性無關,而香港電訊亦已應香港金融管理局要求檢視相關程序,在完成相關檢視之前,香港電訊已暫停 Tap & Go「拍住賞」電子錢包內的 eDDA 服務。
AlipayHK 則回應表示用戶開通「轉數快」服務時,根據快速支付系統相關機制,須提供身份證明文件予以核實,以於使用 AlipayHK 進行「轉數快」時保障用戶真實性。而 AlipayHK 現時已遵照金管局指引,在完成 eDDA 檢視前,暫停有關服務。發言人並強調有關事件並不存在任何 AlipayHK 系統漏洞。
香港資訊科技商會榮譽會長方保僑認為,騙案並非出於「轉數快」本身的技術漏洞,而是個人資料綁定銀行時,在程序上出現漏洞,金管局有責任作出更妥善指引,例如要求銀行進行雙因素認證及採用單次性密碼(one-time password)等。總的而言,「轉數快」並不存在安全漏洞,惟騙徒若以「太空卡」電話號碼開設電子錢包,又手持受害人的身份證明文件及個人資料以供銀行認證,若 eDDA 綁定賬戶的授權認證程序不夠嚴謹,則容易瞞過銀行誤綁虛假電子錢包賬戶,繼而為該賬戶增值。