使用OTP出現爭拗

網購已成為現代人的重要消費模式,疫情更令網購交易額大增。網上消費倚賴電子支付工具,例如使用電子錢包或用信用卡,前者大多需綁定銀行戶口或信用卡。換句話說,透過信用卡作為直接或間接是支付主流工具,而用家無可避免地要輸入信用卡資料。絕大部份網站及錢包以方便用家為由將你輸入的信用卡資料儲存。不幸地,方便與安全往往對立,資料儲存後亦方便了不法之徒。即使網購經常採取雙重認證程序,亦不百分百保證穩妥。較早前某電視節目報道一宗信用卡被非法簽帳個案,數名事主損失近十萬元。畫面所見十多筆數千元交易皆來自Alipay或WeChatPay 平台,而且交易於凌晨時分進行。事主稱從未收到銀行發出的OTP (One Time Password),即確認交易所需並以短訊方式向登記手機發出的一次性密碼,並指銀行未有核查可疑交易,連續短時扣帳亦未有聯絡事主,要求免除這些交易的責任。銀行則堅持所有交易獲OTP受權,即事主已同意交易,拒絕事主要求。節目未有足夠資料作判斷,但電訊商似乎已向對事主發出相關的短訊。為何事主未有收到短訊,騙徒又如何取得OTP完成交易,事件仍在調查中。

懷疑手機安全問題

基於已有的資料可作合理推斷。首先OTP不是源自銀行而是信用卡結算公司,由商戶選擇參與。OTP認證就是交易程序的一部份且獨立於銀行及交易網站,核實程序嚴謹而且以點對點加密形式與使用者連線,若沒有完成OTP卻容許完成交易,除非出現系統被黑客入侵的情況,但這情況極不可能,因為如果黑客能入侵信用卡交易系統,絕不會只針對數萬元的交易,而是大規模詐騙,信用卡公司亦不能不對外公開被黑的事實。其次,OTP短訊要透過電訊商送達,電訊商沒有送達的可能性亦極低,一來只涉及本地手機、二來OTP是標準訊息沒有被過濾的理由,三來短訊送達有核對程序,未能送達將多次嘗試。至於短訊會否被中途截取,理論上用SIM Swap可做到,但事主的手機SIM卡會因此而失效,節目沒有報道事主手機有這樣的情況。電訊商會否有「內鬼」,查一查記錄便一目了然,為了數萬元而進行如此花功夫兼愚蠢的單一改動盜竊行為,可能性極低。假設事主手機隨身攜帶且沒有被人偷看SMS然後刪除,筆者推測最大的可能性是事主手機安全出現問題,例如曾安裝包含惡意程式的軟件,信用卡資料及OTP短訊被讀取,甚至有刪除短訊的權限。如是者騙徒完成交易,受害者難以察覺。

採取多項措施自保

電子交易涉及程序越來越複雜,風險亦隨之上升,雙重認證未必可以應付,如何自保?首先可從信用卡入手,利用信貸卡取代信用卡作為網購支付。信貸卡的信用額等同你注入的資金,資金在需要時才注入。即使信貸卡被盜,損失極為有限。若未能用信貸卡,應大幅減低信用卡的限額,在有需要時才申請臨時提升限額。使用信貸或信用卡後,應選擇不記錄或馬上刪除信用卡資料,任何網站沒有以上選項的筆者強烈建議不要進行交易。外國有平台為每宗網上交易建立一次性虛擬卡號並設定該交易的限額及時間,例如https://privacy.com,可大幅減低網上交易風險,但亦要留意平台擁有你個人資料的事實。其實兩大發卡平台Visa 及 Master均有類似功能的平台,但未見香港的銀行相應推出使用,交易安全要求高的讀者應留意事態發展。將信用卡放在電子錢包內支付相對安全,因為每宗交易將生產新的交易編號,建議選擇私隱條款較強的電子錢包品牌,而且要檢視電子錢包軟件的各項授權,在需要時才進行授權。解決了信用卡的問題還要同時處理手機安全問題,這裏層面很多,但因應上述發生事件,用家應馬上查看那些軟件有閱讀及處理短訊的權限,收回這些權限及刪除可疑軟件。筆者建議手機應設置不同帳戶,收取短訊屬管理者帳戶的權限,軟件應安裝於沒有管理權限的帳戶,避免軟件直接讀取短訊。

短訊是昔日的技術,太多報告及事件已經證明使用短訊安全漏洞百出,根本不適宜用作認證用途。坊間已有很多更可靠方法,但為何短訊仍被廣泛使用,甚至得到監察機構或政府認可?筆者將另文揭開黑幕。◇

(shutterstock)
(shutterstock)

 

 

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand