2022年8月8日
有市民投訴在沒有收到銀行發出的一次性手機短訊驗證碼(SMS OTP)情況下,信用卡被盜用,銀行卻表示已發出OTP並獲輸入,客戶需要對交易負責。儘管實際原因仍有待了解,但據悉金管局甚為關注事件,除了向其他銀行查詢有否類似事件出現外,亦對短訊OTP的使用情況和安全性進行檢討,審視有否需要改善的地方。
與網絡商持份者保持溝通
金管局發言人強調,該局一直要求發卡銀行採取有效措施,確保網上交易的安全性,以保障客戶的利益。按目前觀察所得,現有以一次性手機短訊驗證碼核實客戶身份依然是有效的認證方式。該局會繼續密切監察本地及海外地區有關網上交易保安措施的發展,並與銀行、流動網絡營辦商和其他持份者保持溝通,確保相關認證方式持續有效和安全。
發言人說,信用卡組織建構了網上交易的額外認證安排。若有使用卡組織額外認證安排的商戶交易,發卡銀行會向客戶發出一次性密碼,確認持卡人輸入密碼通過驗證後,交易才能完成。一次性密碼不能透過電訊商轉發。若有關商戶並無使用此等額外認證安排,客戶不會收到一次性密碼以完成交易,遇到有爭議交易時,商戶須承擔責任及財務損失。
然而,有報道指出,有市民發現信用卡出現不明交易,卻無收到銀行的一次性短訊驗證碼,銀行則聲稱曾向客戶手機發出短訊OTP並獲輸入,認為交易是獲得客戶授權進行,屬有效交易。
類似情況在其他地方,如新加坡都曾發生過。去年底至今年初,新加坡大型銀行有數以百計的客戶發現銀行賬戶資金被轉走,惟事前並無收到銀行OTP。
提防偽冒電郵第三方程式
分析認為,發生有關情況存在多種可能性,如騙徒偽冒銀行發出包含超連結的短訊或電郵,客戶點擊超連結後被誘騙輸入個人網上銀行登入名稱、密碼,甚至銀行以短訊發出的OTP內容,再用這些資料犯案。騙徒或以不同方式,誘騙市民下載第三方應用程式,應用程式被下載後,個人資料可能在不知不覺間已被盜取,部分第三方的應用程式甚至可能是惡意軟件,不排除部分惡意軟件具有攔截短訊,甚至把短訊在事主手機上刪除的技術,令訊息傳送至騙徒,事主最終未能即時察覺。
市場人士同意,目前短訊OTP是較為簡單而有效的認證方式,但這只是認證方式之一,且屬舊式技術,隨着金融科技改變,或呈不足之處,宜作檢討及改善。目前有部分銀行亦為客戶提供其他選擇,如客戶可下載銀行的應用程式,並設立流動保安編碼器,進行交易時更方便及安全地取得一次性密碼。
美國的國家標準技術研究所(NIST)數年前已建立「限用」(Restricted)的概念,因為隨着發展,部分認證方式可靠程度變得較低,故把此等認證方式列為「限用」,例如利用公共電話網絡,包括電話及以短訊為基礎的一次性密碼便屬於上述類別;建議應為接收有關認證方式的人士最少提供多一種非「限用」的認證作為選擇。
採訪、撰文:陳玉珍
放大圖片 / 顯示原圖 放大圖片 / 顯示原圖訂戶登入
下一篇: | 滙控明年復派息 每股料達3.5元 |
上一篇: | 港股觀望氣氛濃 尋底近尾聲 |