香港電子支付第一滴血 (方保僑)

By on November 1, 2018

本文作者方保僑為香港互動市務商會會長,為《信報》撰寫專欄「科網人語」

金管局已要求銀行未來設立電子直接扣賬授權服務時,申請人身份須雙重認證。(中通社資料圖片)

金管局已要求銀行未來設立電子直接扣賬授權服務時,申請人身份須雙重認證。(中通社資料圖片)

香港金融管理局於9月底開通快速支付系統「轉數快」,連結20間銀行及11個儲值支付工具(SVF),讓擁有銀行及儲值支付工具的客戶可以快速互相轉賬,可謂踏出了成功的一步。惟早前有客戶投訴,報稱曾於網上求職時,提供了身份證副本、照片及銀行賬戶號碼等,有關資料被騙徒利用申請開設電子錢包,並使用快速支付系統支援的「即時電子直接付款授權服務」(eDDA),綁定銀行戶口並直接扣除戶口金錢,損失由1萬元至10萬元不等,至今共有多個銀行戶口懷疑被盜用,涉款約40萬元。

程序漏洞 非技術問題

事件發生源於申請部分SVF的電子錢包時,騙徒利用被騙取的個人身份證明文件,向銀行以eDDA服務申請綁定銀行賬戶,銀行在驗證文件後,便批准綁定銀行戶口,沒有再向銀行戶口持有人驗證,最後讓騙徒成功竊取款項。金管局已即時叫停所有利用eDDA扣賬及電子錢包增值,並進行系統提升,待完成更新後,便會強制要求所有銀行在收到電子錢包利用eDDA申請綁定時,需要進行驗證,包括利用單次密碼(One Time Password),令銀行戶口持有人知悉其戶口將會被綁定在一個電子錢包上,防止服務被濫用。

是次可算是自從快速支付系統啟用後,第一次發生同類型事件,我認為這並不是技術上的問題,而是程序上的漏洞,希望使用雙重驗證之後,可以修補有關漏洞。金管局及其他參與的機構,亦應該汲取今次的教訓,重新審視技術和程序上是否還有其他漏洞,確保所有「轉數快」的過程都安全穩妥,令這個系統得以繼續發揚光大。

更多方保僑文章:

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們