點發聲|沒有驗證仍被「碌」5000美元?專家拆解信用咭盜用謎團

【點新聞報道】隨着科技日新月異,犯罪集團犯案手法層出不窮。據金管局數據顯示,過去五年有關信用卡未經授權交易的投訴個案總數持續上升,也喚起社會大眾關注發卡銀行的保障措拖,避免持卡人承受不必要的金錢損失。

未曾使用外幣交易 仍被「碌」五千美元

點新聞讀者劉小姐早前投訴,恒生銀行去年10月未經其同意,完成一宗與OLHUVELI BEACH & SPA相關的5000美元(約39000港元)信用卡交易。劉小姐指,自己當時正身處美孚新邨惠康超級市場,其間未有輸入銀行提供的一次性手機短訊驗證碼(SMS OTP),懷疑個人資料遭盜用,已即時致電銀行停用該信用卡,而她其後亦通過警方電子系統報案。

劉小姐指,自己未有輸入銀行提供的一次性手機短訊驗證碼(SMS OTP),懷疑個人資料遭盜用。(點新聞記者王俊傑攝)

劉小姐強調,自己平日消費謹慎,甚少購買多於一萬港元的商品或服務,更不可能使用外幣交易。她引述警方指,OLHUVELI BEACH & SPA並非本港企業,而是位於東南亞的公司。點新聞記者在網上查詢發現,馬爾代夫有相同名字的機構,未知是否和劉小姐的個案有關。

由於發卡銀行堅持持卡人授權交易,不願妥協,並且要求事主償還款項,劉小姐認為做法猶如「大石砸死蟹」。面對高昂的信用卡利息,她感到徬徨無助,形容即使向金管局投訴,也於事無補,如今走投無路,只能透過自身故事來喚起大眾對未授權交易的注意。

金管局提新指引 銀行不願透露個案

就劉小姐個案,點新聞採訪組曾去信金管局查詢。發言人回覆指,局方分別於2019、2020、2021、2022年及2023年首季,收到51、88、329、391及229宗。

根據投訴人提供的資料顯示,大部分個案涉及「網絡釣魚」短訊騙取一次性密碼進行信用卡交易。金管局有跟進每宗投訴個案,要求相關銀行適切跟進個案,並按實際情況協助客戶提出追討申請,銀行亦要積極配合警方相關調查。

劉小姐曾就信用卡未授權交易向警方報案。(點新聞記者王俊傑攝)

發言人表示,局方一直要求發卡銀行採取有效措施,包括穩妥的認證安排,確保信用卡交易的安全性,以保障客戶的利益。如果持卡人信用卡賬戶被他人用作未經授權交易,而持卡人並無作出任何欺詐或嚴重疏忽行為,持卡人則不需為這些未經授權交易承擔責任。

發言人又提到,已發出新指引,強調銀行必須公平待客,當客戶懷疑受騙向銀行求助時,銀行需要以務實的態度和同理心協助客戶,並按實際情況包括客戶的個人情況及處境處理個案。

與此同時,點新聞也就劉小姐的案例,連同其授權信,向發卡銀行查詢個案進度。然而,恒生銀行表示,該行一向十分重視客戶網上交易的安全性,設有嚴謹措施保障客戶利益,因此,未能提供詳情,建議事主聯絡銀行。該行透露,早前收到相關客戶的查詢後一直與其保持溝通,並已按既定程序跟進。

SMS OTP並非牢不可破 多重認證已成趨勢

港專協理副校長、信息系統安全認證專家林森教授指,如果劉小姐提供的資料屬實,情況在外國並不罕見,尤其是海外有「暗網」,專門出售個人敏感資料。他解釋指,「雖然劉小姐聲稱當日未曾進入『釣魚網站』,但只要過去曾點擊類似網站,都有信用卡資料被盜用的風險」。

至於盜取一次性手機短訊驗證碼,林森就舉出外國多個例子,包括較常見的手機被木馬程式入侵,自動向其他人傳送信息內容。另一種情況是SMS Man in The Middle (MITM) Attack,如犯案集團在SIM卡做手腳、收買電訊公司職員、通過假冒機主的授權信將收取短訊的權限轉移到另一個電話號碼等等。

林森教授指,如果劉小姐提供的資料屬實,情況在外國並不罕見。(受訪者提供)

林森表示,越來越多銀行發現傳統2FA(Two-Factor Authentication,雙重認證)的不足,開始轉用MFA(Multi-Factor Authentication,多重認證),進行信用卡授權交易,如透過銀行手機應用程式進一步要求持卡人指紋確認等。

簡單總結,雖然金管局提到,已發出新指引,要求銀行以務實的態度和同理心協助客戶,按實際情況處理個案,但成效如何,就見仁見智。而值得留意的是,面對信用卡未經授權交易的投訴個案按年增加,局方推出的新指引已包括,要求銀行為客戶綁定信用卡至新流動支付工具或電子錢包時,除一次性手機短訊驗證碼外,還須作出多一重認證。這會否也代表局方變相承認,一次性手機短訊驗證碼存在漏洞?相信公眾自有公論。

(點新聞記者王俊傑報道)

相關閱讀:

信用卡被盜用頻發 金管局發新指引

首季接逾200宗信用卡盜用投訴 金管局:銀行需以同理心協助客戶

信用卡被盜大額支付「隨便碌」 滙豐苦主訴「食死貓」仲被屈!