熱門:

2022年8月8日

金管擬檢討銀行一次性密碼安全
短訊驗證遭攔截 盜刷信用卡惹憂

有市民投訴在沒有收到銀行發出的一次性手機短訊驗證碼(SMS OTP)情況下,信用卡被盜用,銀行卻表示已發出OTP並獲輸入,客戶需要對交易負責。儘管實際原因仍有待了解,但據悉金管局甚為關注事件,除了向其他銀行查詢有否類似事件出現外,亦對短訊OTP的使用情況和安全性進行檢討,審視有否需要改善的地方。

與網絡商持份者保持溝通

金管局發言人強調,該局一直要求發卡銀行採取有效措施,確保網上交易的安全性,以保障客戶的利益。按目前觀察所得,現有以一次性手機短訊驗證碼核實客戶身份依然是有效的認證方式。該局會繼續密切監察本地及海外地區有關網上交易保安措施的發展,並與銀行、流動網絡營辦商和其他持份者保持溝通,確保相關認證方式持續有效和安全。

發言人說,信用卡組織建構了網上交易的額外認證安排。若有使用卡組織額外認證安排的商戶交易,發卡銀行會向客戶發出一次性密碼,確認持卡人輸入密碼通過驗證後,交易才能完成。一次性密碼不能透過電訊商轉發。若有關商戶並無使用此等額外認證安排,客戶不會收到一次性密碼以完成交易,遇到有爭議交易時,商戶須承擔責任及財務損失。

然而,有報道指出,有市民發現信用卡出現不明交易,卻無收到銀行的一次性短訊驗證碼,銀行則聲稱曾向客戶手機發出短訊OTP並獲輸入,認為交易是獲得客戶授權進行,屬有效交易。

類似情況在其他地方,如新加坡都曾發生過。去年底至今年初,新加坡大型銀行有數以百計的客戶發現銀行賬戶資金被轉走,惟事前並無收到銀行OTP。

提防偽冒電郵第三方程式

分析認為,發生有關情況存在多種可能性,如騙徒偽冒銀行發出包含超連結的短訊或電郵,客戶點擊超連結後被誘騙輸入個人網上銀行登入名稱、密碼,甚至銀行以短訊發出的OTP內容,再用這些資料犯案。騙徒或以不同方式,誘騙市民下載第三方應用程式,應用程式被下載後,個人資料可能在不知不覺間已被盜取,部分第三方的應用程式甚至可能是惡意軟件,不排除部分惡意軟件具有攔截短訊,甚至把短訊在事主手機上刪除的技術,令訊息傳送至騙徒,事主最終未能即時察覺。

市場人士同意,目前短訊OTP是較為簡單而有效的認證方式,但這只是認證方式之一,且屬舊式技術,隨着金融科技改變,或呈不足之處,宜作檢討及改善。目前有部分銀行亦為客戶提供其他選擇,如客戶可下載銀行的應用程式,並設立流動保安編碼器,進行交易時更方便及安全地取得一次性密碼。

美國的國家標準技術研究所(NIST)數年前已建立「限用」(Restricted)的概念,因為隨着發展,部分認證方式可靠程度變得較低,故把此等認證方式列為「限用」,例如利用公共電話網絡,包括電話及以短訊為基礎的一次性密碼便屬於上述類別;建議應為接收有關認證方式的人士最少提供多一種非「限用」的認證作為選擇。

採訪、撰文:陳玉珍

放大圖片 / 顯示原圖

放大圖片 / 顯示原圖

訂戶登入

回上

信報簡介 | 服務條款 | 私隱條款 | 免責聲明 | 廣告查詢 | 加入信報 | 聯絡信報

股票及指數資料由財經智珠網有限公司提供。期貨指數資料由天滙財經有限公司提供。外滙及黃金報價由路透社提供。

本網站的內容概不構成任何投資意見,本網站內容亦並非就任何個別投資者的特定投資目標、財務狀況及個別需要而編製。投資者不應只按本網站內容進行投資。在作出任何投資決定前,投資者應考慮產品的特點、其本身的投資目標、可承受的風險程度及其他因素,並適當地尋求獨立的財務及專業意見。本網站及其資訊供應商竭力提供準確而可靠的資料,但並不保證資料絕對無誤,資料如有錯漏而令閣下蒙受損失,本公司概不負責。

You are currently at: www.hkej.com
Skip This Ads