保安編碼(CVV)唔保安?網購盛行,帶動電子支付系統愈趨多樣化,為了保障交易安全,顧客在使用信用卡或手機錢包實體卡時,都會被要求輸入卡後3位數字的保安編碼,核對無誤,才可成功交易,惟本報記者在一個大型網購平台,測試八間發卡銀行共十一張信用卡及一張手機錢包實體卡,竟然發現當中半數即六張卡,即使輸入錯誤的保安編碼,也可如常進行小額交易。事件令人擔心電子支付系統疑出現保安漏洞,惟發卡銀行及網購平台各自指是取決於對方的風險策略要求,才沒有核實編碼。立法會議員批評,此事有誤導消費者之嫌,更恐會成為不法之徒的行騙工具。
「我成日網購買嘢,用信用卡或者手機錢包實體卡畀錢,佢哋要輸入保安編碼先交易,唔怕過錯數嘅。」美容師陳小姐與不少女性一樣,都愛在網購平台搜羅各款產品或服飾,由於售價較為相宜,故此她常在網上購物,即使十多元的產品,也以信用卡或手機錢包實體卡支付,惟陳始料不及的是,她口中所說的保安編碼保安系統,對於部分信用卡及手機錢包實體卡來說,在進行小額交易過程時,原來並不奏效。
在網購平台使用電子系統交易時,都會被要求輸入持卡人姓名、信用卡編號、有效日期、保安編碼及電郵地址等資料,資料被核對正確,才可交易。不過,記者近日在一個大型網購平台,分別使用八間發卡銀行共十一張信用卡及一張手機錢包實體卡,購買十多元至百多元的產品,期間發現當中來自四間銀行的五張信用卡,以及一張手機錢包實體卡,在輸入錯誤的保安編碼後,仍然可成功過數,有銀行更發出成功交易手機短訊,通知卡主。
不過,令人奇怪的是,記者測試中有三張信用卡均來自同一間銀行,而當中兩張成功過數,餘下一張則未能通過驗證系統。而來自另一間銀行的信用卡,在首次測試中成功過數後十分鐘,記者嘗試再輸入錯誤保安編碼購買另一產品時,卻未能交易。然而,記者在另外兩個流動應用程式市場,則沒有發現以上情況,必須要輸入正確保安編碼,才可交易。
香港專業教育學院(柴灣)資訊科技系系主任梁秉雄表示,保安編碼是經銀行加密後運算所得的號碼,而信用卡上的磁帶並沒有相關紀錄。他稱,顧客被要求輸入保安編碼,是藉此核實用戶手持信用卡。
「原來輸入錯誤嘅保安編碼,都可以過到數,呢個漏洞會令不法之徒有機可乘。」資訊科技界立法會議員莫乃光坦言感到驚訝,因為保安編碼一直被指是獨一無二,但今次事件令人感覺有誤導消費者之嫌,「你叫消費者輸入保安編碼認證,但原來佢哋(發卡銀行及購物平台)又冇核對。」
相關購物網站的支付平台發言人表示,發卡銀行授權進行交易時,保安編碼是否要正確,取決於發卡銀行的風險策略,而這策略往往是保密,甚至不對支付機構公開。而該公司只負責收集保安編碼,並提供給相關銀行機構。對於輸入錯誤保安編碼後仍能過數,發言人認為在其他付款閘道(Payment Gateway)也會出現,因此不代表帳戶是高風險。其中一間銀行發言人則指,個別商戶如不提供信用卡保安編碼,銀行會根據商戶所提供的信用卡號碼及到期日作交易驗證。
至於VISA公司發言人稱,保安編碼不是唯一驗證方法,VISA持卡人進行網上交易時,均可受由VISA及金融機構提供的多重保安認證。而相關手機錢包實體卡公司發言人則指,該公司會對用戶資料加密,而手機錢包內有多項保安功能,若證實戶口被盜用,會悉數退還。Master Card公司則於截稿前未有回應。
金管局發言人表示,不評論個別個案,但局方會發出有關「信用卡業務」的監管政策手冊,銀行須為其信用卡業務制訂適當的制度及監控措施,以確保信用卡交易的真實性及減少客戶信用卡被不恰當使用。
根據一貫信用卡市場運作程序,發卡銀行會根據商戶銀行提供予發卡組織之資料作過帳,至於在過帳時是否需要提供驗證碼以作核對,乃屬商戶與商戶銀行的個別安排。
個別商戶如不提供信用卡保安編碼,銀行會根據商戶所提供的信用卡號碼及到期日作交易驗證,如非客戶授權之交易,商戶需承擔有關信用卡交易的責任。
個別購物網站或未有使用保安編碼作為每次交易的驗證工具,故客戶於個別購物網站首次登記有關信用卡並輸入正確的保安編碼後,該編碼日後不一定再次被傳送予發卡銀行作核實之用。
客人於網上購物,需要輸入信用卡號碼、卡主姓名、信用卡有效日期及保安編碼,實際情況需視乎商戶之設定。輸入所需資料後,本行會向信用卡卡主發出一個一次性密碼,一次性密碼必須正確,交易才能成功,讓客人購物時更獲保障,並較只依賴保安編碼更為安全。
該公司會對用戶資料加密,而手機錢包內亦有多項保安功能,若戶口被盜用,會悉數退還。
圖/文:專案組