探射燈:安全碼外洩碌爆你張卡

信用卡認證漏洞成騙徒搵錢工具!近日有犯罪集團覷準手機網上交易平台的認證漏洞,挪用別人信用卡資料,再以假資料開設網上帳戶購物,本港一名受害事主在四十分鐘內被狂碌八次信用卡,共以六千多元購買手機應用程式。本報記者測試發現,即使不知道信用卡卡主個人資料,仍然可以單方面輸入卡號及安全碼,成功在網上平台購物。月前美國亦出現多宗同類手法的欺詐交易,令全球化的網店購物響起警號。有專家批評不少網店為方便顧客,未有增加認證措施,所以提醒市民宜先預設信用卡交易金額限制,才進行網上購物,避免招致損失。

40分鐘被碌八次 事主報警

Ben(化名)日前駕車回家,手機不停響起,因要專注駕車,直至返家後才發現在不足四十分鐘內,收到連續多個App Store的交易短訊,細看之下發現他名下同一張信用卡被過數八次,購買八個共六千三百多元的手機應用程式。

Ben一向沒有使用蘋果系統的電子產品,該張信用卡過往一直只用作網上預訂酒店等交易,懷疑有人盜用了其信用卡帳號開設網上帳戶進行交易,於是立刻通知發卡銀行停卡並報警處理,案件仍在調查中,雖然銀行已口頭承諾不收取該筆六千多元的帳項,但他仍要就事件報警及與發卡銀行多番交涉,造成不少困擾,「冇理由咁容易就可以用(信用卡)資料開個帳戶,卡主明明同(網上平台)帳戶唔同名,點都應該確認吓先交易啦!」

為了解手機網店的認證保安情況,記者日前測試網絡程式商店App Store及Play Store的保安系統。記者先在卡主同意下以其信用卡作測試,模擬第三者得到信用卡上的資料後,能否成功在網店購物。結果發現App Store及Play Store均可在輸入虛假資料開設帳戶後,只輸入信用卡帳號及安全碼,便能直接付款購買手機應用程式,過程中並無要求輸入卡主更多的個人資料如身份證號碼及出生日期等,整個交易過程只需三分鐘。

網店為方便 棄「雙重認證」

此外,智能手機電子付款為大勢所趨,不同平台近年亦相繼推出電子付款系統,惟外國傳媒於今年三月踢爆,美國出現多宗未經授權的欺詐交易,有人先在百貨公司等渠道盜取信用卡的客戶資料,再將資料連接Apple Pay電子付款系統付款購買貴價貨品,雖然購買平台不同,但手法與今次的盜用信用卡事件如出一轍。當地有分析指騙案交易沒有顯示Apple Pay被入侵,而是銀行認證問題,當地多間銀行已表示會改善認證程序。

據支付科技公司VISA今年二月進行的「電子商務消費者調查」數據顯示,三成半港人會以手機進行網上購物,一成八人則會使用平板電腦進行。F-Secure大中華區及南韓總監李力恆表示,因應網上購物日益盛行,加上手機付款系統將成為未來更方便的電子錢包,相信涉及信用卡認證的騙案會更普遍,尤以在東南亞地區較多。他指出,過往有個別網上付款系統因發現被黑客入侵,而加強短訊認證等保障。

他解釋,不少手機網店為方便網上購物,均會盡量簡化手續,例如以信用卡購物時會簡化認證程序,不需輸入更多個人資料作「雙重認證」保障。李指出,認證繁簡取決於商店對小額交易的定義,「依家網購由幾蚊一個App到幾千蚊買張機票都有,好難一刀切界定大額小額,太便宜嘅嘢次次要額外認證,又會太唔方便。」

預設最高交易額減損失

香港專業教育學院(屯門)資訊及通訊科技系系主任梁秉雄則指,網店在技術上進行「雙重認證」並無困難,網店交易系統有必要為保障客戶多加保安措施。卡主有必要時可主動要求發卡銀行,當交易超過指定金額,必須獲卡主確認才可。另外,銀行若發現有非香港地區的交易或不明重複大額交易時,亦有責任通知卡主。

警方發言人指,無備存相關手法騙案的相關統計數字,惟上月曾接獲一名男子報案,指懷疑其信用卡資料被盜,並用作網上購物,涉及金額約六千三百元。案件暫列「以欺騙手段取得財產」,交元朗警區刑事調查隊跟進。

記者曾經向Apple香港及Google 香港查詢,惟截稿前仍未有回覆。

圖/文:專案組

第一手消息請下載on.cc東網iPhone/iPad/Android/Windows Phone Apps