Member preview

「轉數快」不敵賊人貪念

道高一尺 魔高一丈,金管局推出轉數快跨行即時轉帳服務,原意是打通銀行之間的隔膜,讓用戶可以跨行轉帳。但這種方便卻成為賊人搵錢的渠道。蘋果今日報道,有求職人士在在手機WhatsApp 傳送身份證及銀行戶口資料給欲應徵公司的負責人後,戶口便被盜取了數以萬計至十萬計的款項,而這些款項則被透過「eDDA直接授權轉帳」方式轉帳至賊人以用戶個人資料開啟的儲值支付工具帳戶。

問題其實反映了現時設立直接授權轉帳服務是毋須進行雙重認證的,一般儲值支付工具戶口持有人要申請eDDA,只須輸入戶口名字及銀行戶口號碼即可,以往通常要幾日才能啟動,但在轉數快生效後相關授權應可以更快方式處理,因此造成了今次案件。但從今次案件,由於受害人比晒所有重要個人資料給犯案一方,即使有雙重認證也於事無補。問題便出在eDDA的提供方如何確保戶口持有人的身份,是不會被賊人盜用?這樣是否要將銀行戶口與生物認證掛勾,還是要在登記時學蘋果 Apple ID一樣,須預設幾題自己才知道答案的問題作保安之用?

金管局雖然已暫停eDDa服務,但必須督促業界解決這個漏洞才能讓用戶有信心使用服務,否則香港這個金融中心就要變成金融案件中心了!

蘋果日報報道:

金管局上月正式推出「轉數快」服務,標榜毋須親身到銀行辦理手續,於網上即時為電子錢包增值及轉賬,懷疑成為騙徒工具。有市民於網上應徵工作時提供身份證照片及銀行賬戶號碼,當日即被轉走賬戶存款,損失由1萬多元到近10萬元不等,有受害者表示難以置信,「完全冇諗過轉數快嘅認證咁兒戲」,亦批評銀行卸責,「點解一次過咁多筆交易,銀行可以一次提示都冇?好明顯係銀行失責。」金管局回覆指,相關電子直接扣賬授權服務已暫停,事件已轉交警方調查,至今共接獲3宗投訴。

李小姐(化名)本月初在WhatsApp收到朋友轉發的一份派傳單散工招聘,遂聯絡該名「僱主」應徵,對方要求她提供銀行賬戶號碼及身份證照片,以確認身份及出糧戶口,李小姐不虞有詐,便提供了恆生銀行賬戶號碼,對方卻指要中國銀行戶口,她亦跟從指示。

翌日早晨,李小姐以網上銀行瀏覽個人紀錄時,發現其恆生銀行賬戶一晚之內被轉走9萬7千元,遂即時到分行查詢,銀行職員指是她本人發出的指令,分18次將款項以轉數快形式增值至支付寶賬戶,「但我冇做過,本身都冇支付寶、亦冇開轉數快,完全唔知佢點開到」。李小姐遂嘗試以提款卡號碼開設支付寶賬戶,卻發現已被別人佔用。

一星期後,李小姐收到中銀寄給她的信件,指確認其建立自動轉賬的通知,「我冇開過」,她指幸好中銀賬戶內本身只有400元存款,「可能係太少錢佢哋冇興趣」。李小姐對銀行的處理手法十分不滿,「中銀封信成七日後先寄嚟,都遲晒啦,唔係應該打電話嚟確認㗎咩?恆生就一個通知都冇,點解唔使本人、唔使密碼都可以開到自動轉賬?點解一次過咁多筆交易,銀行可以一次提示都冇?好明顯係銀行失責。」

李小姐指已向金管局投訴,及向警察報案,「警察唔知查成點,而家好徬徨,都唔知點算好」,而恆行銀行則指個案正在調查中,「真係好危險,完全冇諗過轉數快嘅認證咁兒戲」。

另一名苦主陳小姐(化名)同於本月初在Facebook散工群組應徵一份文職,並按對方要求提供匯豐銀行賬戶號碼及身份證照片,對方再要求她提供中銀戶口,並要求她在中銀網上銀行開設轉數快服務,她應要求照做,豈料當晚匯豐及中銀戶口分別多次被轉走共9千元及3千元。

陳小姐翌日到匯豐及中銀分行查詢,銀行職員均指有關轉賬指示由她個人發出,以電子錢包「拍住賞(Tap & Go)」用轉數快方式增值,她指,只有匯豐的交易收到短訊通知,中銀的交易則「收唔到交易提示,冇電郵、冇短訊,畀人過咗錢,如果唔係我自己睇網上銀行,我完全唔知發生乜事」。

陳小姐表示,她曾三次到警署報案,惟被警察質疑她「自編自導自演」,「佢哋話你點證明人哋係騙徒?」要求她向銀行索取「非銀行系統出錯的異常交易」證明,銀行亦指有關交易已確認其身份,她反駁「見工畀個人資料好正常,同埋如果有人唔見咗銀包咁點算?銀行同警察都想卸責!」

陳小姐後來嘗試開設拍住賞及八達通O!ePay服務,發現均不知情下被人以她的身份申請了賬戶,惟該賬戶的登記電話號碼並不屬她。

記者日前開設八達通O!ePay賬戶,其頁面均顯示以「電子直接付款授權服務(eDDA)」現已暫停;支付寶則顯示「銀行賬戶綁定服務暫停」;而拍住賞則指需兩日確認賬戶。

金管局回覆指,相關電子直接扣賬授權服務已暫停,事件已轉交警方調查,至今共接獲3宗投訴。局方指,自9月17日啟動至10月7日,系統共錄得107萬個登記紀錄,當中包括手機號碼75萬7千個、電郵地址16萬7千個和「轉數快」識別碼14萬7千個。金管局亦指,一般而言,若帳戶持有人確實沒有授權轉帳,並不需為該筆轉帳負責;有關事件與轉數快系統及使用個人對個人轉帳及支付服務的安全性無關。

匯豐銀行回覆指,根據業界現時運作,銀行會根據電子錢包發出的指示設置eDDA,電子錢包須對eDDA的準確性及真實性負全部責任,而匯豐會在每次交易後向戶口持有人發送手機信息。恆生銀行回覆指,根據業界現時運作,銀行會根據電子錢包發出的指示設置eDDA,恆生會就授權發出信件或電子通知書,若證實客戶未有發出相關授權,將毋須負責有關轉帳。

拍住賞回覆指,已按金管局要求檢視eDDA服務,在完成檢視前,已暫停有關服務,有關事件與拍住賞系統安全性無關。八達通回覆查詢指,已按金管局要求暫停eDDA服務,並檢視相關程序。

警方確認收到兩宗報案,兩宗案件初步列作「以欺騙手段取得財產」,分別由黃大仙警區刑事調查第一隊及觀塘警區刑事調查隊第四隊跟進,暫無人被捕。

中國銀行及支付寶至截稿前未有回覆。