*** 以下是小編的親身經歷 ***
前日(19/7)早上十一時多,小編正忙於工作的時候,電話突然震過不停,一看之下大驚失色:原來是信用卡公司以短訊通知多筆交易記錄,涉及的商戶是支付寶(香港)。第一筆交易涉及的只是十多元,緊接着卻有數筆幾百元到一千元的交易。
小編從來沒有安裝支付寶(香港),馬上察覺信用卡資料可能被人盜用,故火速致電信用卡中心取消信用卡。正在等待的同時,電話再接獲兩個短訊,今次是信用卡以 SMS 發送的認證密碼,也許是騙徒所消費的金額已觸及二段認證(2 step authentication)的的額度,故這兩個交易未能成功完成。
今次事件令小編懷疑支付寶(香港)的流程存在嚴重安全漏洞,於綁定信用卡及首次支付時,並沒有要求 SMS 認證。本着尋根問底的精神,小編用太空電話及太空卡開啟支付寶(香港)戶口並縛定信用卡,確認了以下的事實:
1)開啟支付寶(香港)戶口只需要電話號碼以接收短訊確認,完全不需要任何其他個人資料。
2)縛定信用卡只需要信用卡號碼,到期日及卡後的安全碼,完全不需要任何其他個人資料或以 SMS 認證。
3)縛定後雖然不能提款或轉錢到銀行(需要身分認證),但已可立即透過二維碼在支援的商戶消費
4)支付寶(香港)對新增信用卡的首次交易,並沒有要求信用卡以二段認證身份(小編的理解是除了金額高於特定額度的交易外,商戶亦可以主動要求信用卡以二段認證身份,而支付寶顯然沒有這樣做。小編非信用卡業內人仕,這點如有錯誤,請指正)
5)支付寶(香港)對可疑的消費手法,例如新戶口在短時間內多次消費,並沒有任何阻礙或要求進一步認證
除了致電銀行跟進之外,小編及後亦致電支付寶(香港)的客戶服務熱線,提供資料以作日後跟進之用。在對話過程中,職員親口告知,近日收到不少類似的投訴。顯而易見,支付寶(香港)的流程存在嚴重安全漏洞,騙徒單憑信用卡上的資料已經可以成功消費數以千元,而開戶過程不需任何個人資料亦令警方事後難以追查。即使最後有關的損失由信用卡公司或支付寶(香港)負責,受害人亦要花上不少時間及精神去申訴及處理。
現時本港類似的電子錢包各有不同的認證方法,例如 PayMe 需要用電話影身分證,Apple Pay及 Google Pay 則需以信用卡登記電話收 SMS 認證,唯獨支付寶(香港)不需任何認證。我們前線科技人員認為金管局及警方應從速行動,檢討並統一類似的電子錢包的認證要求,以保障市民的財產安全。
#資訊安全即是財產安全
21/7 6:24pm 補充
今朝小編分享咗自己嘅信用卡畀騙徒經支付寶盜用嘅事,其實目的都係希望支付寶可以加強認證,以免將來更多人仲招。估唔到引起咗大家嘅興趣,但睇咗大家嘅留言,當中似乎有唔少誤解,等小編喺度嘗試解釋得清楚啲:
Q:小編係唔係話裝支付寶 App 或者開支付寶戶口唔安全?
A:唔係。小編係今日之前並冇裝支付寶 App 亦冇開支付寶戶口。隻 App 本身係唔係安全並唔關今次嘅事。
Q:咁係信用卡公司問題啫,關支付寶乜事?
A:今次嘅問題係出喺支付寶綁定信用卡嘅認證流程,同其他電子錢包相比,支付寶係冇咁嚴謹。例如支付寶並冇強制要求信用卡公司用 SMS 做雙重認證(參考 Apple Pay 或 Google Pay 嘅做法)又或者要求申請人提交身份證副本(參考 PayMe 嘅做法), 所以好容易被騙徒借用支付寶做平台,用偷番嚟嘅信用卡資料去套現。
Q:咁件事係唔係完全係支付寶嘅責任?
A:又唔係。用唔用 SMS 做雙重認證,係發卡銀行同埋支付寶兩者嘅共同決定,所以公道講句,應該話兩者都有責任。
Q:但我上網買嘢訂酒店 book 機票,好多時都唔駛用 SMS 做雙重認證㗎啦,點解小編個個都唔鬧,剩係鬧支付寶?
A:無錯,支付寶並唔係唯一冇強制做雙重認證嘅商戶,但係因為電子錢包容易俾騙徒套現而且難以追查,所以電子錢包對認證嘅要求應該比一般商戶為高。而且同 PayMe/Apple Pay/Google Pay/Samsung Pay 等相類近嘅電子錢包比較,支付寶嘅認證要求最低。
Q:唔好剩係識鬧,咁你有乜建議比支付寶先?
A:最基本都要參考 Apple Pay 或 Google Pay 嘅做法,第一次綁定信用卡嘅時候需要用 SMS 確認。