*** 以下是小編的親身經歷 ***
前日 (19 / 7) 早上十一時多,小編正忙於工作的時候,電話突然震過不停,一看之下大驚失色:原來是信用卡公司以短訊通知多筆交易記錄,涉及的商戶是支付寶(香港)。第一筆交易涉及的只是十多元,緊接着卻有數筆幾百元到一千元的交易。
小編從來沒有安裝支付寶(香港),馬上察覺信用卡資料可能被人盜用,故火速致電信用卡中心取消信用卡。正在等待的同時,電話再接獲兩個短訊,今次是信用卡以 SMS 發送的認證密碼,也許是騙徒所消費的金額已觸及二段認證(2 step authentication)的的額度,故這兩個交易未能成功完成。
今次事件令小編懷疑支付寶(香港)的流程存在嚴重安全漏洞,於綁定信用卡及首次支付時,並沒有要求 SMS 認證。本着尋根問底的精神,小編用太空電話及太空卡開啟支付寶(香港)戶口並縛定信用卡,確認了以下的事實:
1)開啟支付寶(香港)戶口只需要電話號碼以接收短訊確認,完全不需要任何其他個人資料。
2)縛定信用卡只需要信用卡號碼,到期日及卡後的安全碼,完全不需要任何其他個人資料,亦沒有要求銀行以 SMS 作雙重認證。
3)縛定後雖然不能提款或轉錢到銀行(需要身分認證),但已可立即透過二維碼在支援的商戶消費。
4)支付寶(香港)對新增信用卡的首次交易,亦沒有要求信用卡以 SMS 去認證身份。
5)支付寶(香港)對可疑的消費手法,例如新戶口在短時間內多次消費,並沒有任何阻礙或要求進一步認證。
除了致電銀行跟進之外,小編及後亦致電支付寶(香港)的客戶服務熱線,提供資料以作日後跟進之用。在對話過程中,職員親口告知,近日收到不少類似的投訴。顯而易見,支付寶(香港)的流程存在嚴重安全漏洞,騙徒單憑信用卡上的資料已經可以成功消費數以千元,而開戶過程不需任何個人資料亦令警方事後難以追查。即使最後有關的損失由信用卡公司或支付寶(香港)負責,受害人亦要花上不少時間及精神去申訴及處理。
現時本港類似的電子錢包各有不同的認證方法,例如 PayMe 需要用電話影身分證,Apple Pay及 Google Pay 則需以信用卡登記電話收 SMS 認證,唯獨支付寶(香港)不需任何認證。我們前線科技人員認為金管局及警方應從速行動,檢討並統一類似的電子錢包的認證要求,以保障市民的財產安全。
#資訊安全即是財產安全
21/7 6:24pm 補充
今朝小編分享咗自己嘅信用卡畀騙徒經支付寶盜用嘅事,其實目的都係希望支付寶可以加強認證,以免將來更多人仲招。估唔到引起咗大家嘅興趣,但睇咗大家嘅留言,當中似乎有唔少誤解,等小編喺度嘗試解釋得清楚啲:
Q:小編係唔係話裝支付寶 App 或者開支付寶戶口唔安全?
A:唔係。小編係今日之前並冇裝支付寶 App 亦冇開支付寶戶口。隻 App 本身係唔係安全並唔關今次嘅事。
Q:咁係信用卡公司問題啫,關支付寶乜事?
A:今次嘅問題係出喺支付寶綁定信用卡嘅認證流程,同其他電子錢包相比,支付寶係冇咁嚴謹。例如支付寶並冇強制要求信用卡公司用 SMS 做雙重認證(參考 Apple Pay 或 Google Pay 或 WeChat Pay 嘅做法)又或者要求申請人提交身份證副本(參考 PayMe 嘅做法), 所以好容易被騙徒借用支付寶做平台,用偷番嚟嘅信用卡資料去套現。
Q:咁件事係唔係完全係支付寶嘅責任?
A:又唔係。用唔用 SMS 做雙重認證,係發卡銀行同埋支付寶兩者嘅共同決定,所以公道講句,應該話兩者都有責任。
Q:但我上網買嘢訂酒店 book 機票,好多時都唔駛用 SMS 做雙重認證㗎啦,點解小編個個都唔鬧,剩係鬧支付寶?
A:無錯,支付寶並唔係唯一冇強制做雙重認證嘅商戶,但係因為電子錢包容易俾騙徒套現而且難以追查,所以電子錢包對認證嘅要求應該比一般商戶為高。而且同 PayMe/Apple Pay/Google Pay/Samsung Pay 等相類近嘅電子錢包比較,支付寶嘅認證要求最低。
Q:唔好剩係識鬧,咁你有乜建議比支付寶先?
A:最基本都要參考 Apple Pay 或 Google Pay 嘅做法,第一次綁定信用卡嘅時候需要用 SMS 確認。
apple pay突然取消綁定 在 Re: [請益] apple pay自動移除卡片? - 看板MobilePay 的推薦與評價
查詢信用卡版和本版均無有相關回覆
故提供我的經驗
我的iphone用apple Pay 綁了4張信用卡,沒換過手機也沒移除過,正常使用中
今天清晨分別收到簡訊(卡A)和郵件(卡B),均通知我移除apple pay服務
1.我先確認wallet,確認apple pay卡片仍綁定
2.接著確認簡訊和郵件是否為銀行端發出
3.致電客服詢問,均確認卡片仍綁定沒問題
兩邊的客服均回答我,通知的卡片確實有被解除(因為目前我綁定中的虛擬卡號和收到通
知的虛擬卡號不同),銀行端判定是我自己有解除再綁定,或是手機如果有更新有時候也
會自動解除再自動綁回,銀行端真是針對虛擬卡號的變動自動發出通知(告知舊卡號停用
)
※ 引述《zeki621 (小日本)》之銘言:
: 一樣的狀態 一樣台新 不過是android pay
: 一大早五點多傳簡訊跟Email來說我的Android Pay VISA 卡已刪除
: 但是拿去全家刷卡還是可以刷得過
: 版上還有其他人發生一樣的事情嗎
: ※ 引述《dust737 (YYC)》之銘言:
: : 今早收到銀行傳來的簡訊說已經解除綁定apple pay
: : 可是我沒有申請移除卡片
: : 不知道為什麼就被移除卡片了
: : 有人有遇到類似狀況嗎?
: : -----
: : Sent from JPTT on my iPhone
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.92.157
※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1512524848.A.8C8.html
... <看更多>