轉數快 FPS 爆漏洞!金融管理局於今年 9 月 30 日啟用俗稱「轉數快」(Faster Payment System)的快速支付系統,容許用戶使用銀行戶口存款直接增值電子錢包,以及跨行轉帳,卻原來存在認證漏洞,有苦主遭騙徒藉 FPS 轉數快系統,從苦主的銀行戶口非法轉走約 HK$10 萬存款!
苦主搵工 提供 ID 及銀行帳號
本地報章報道,有苦主早前搵工,在 WhatsApp 把 HKID 身分證資料與銀行戶口號碼傳送給「僱主」騙徒,豈料翌日查看銀行戶口,發現 HK$97,000 存款已遭轉走到支付寶帳戶。苦主表示沒有登記 FPS 轉數快,也沒有支付寶帳戶,懷疑遭騙徒用苦主名字開設支付寶戶口並轉走存款。苦主已報警,並向金融管理局投訴。
【精選消息】
方保僑:降低銀行小額轉帳每日限額
香港資訊科技商會榮譽會長方保僑表示,轉數快 FPS 以 eDDA(電子直接付款授權服務)從銀行戶口轉賬至電子錢包,如果銀行戶口或電子錢包在進行 eDDA 的時候,沒有「向銀行戶主取得授權認證」這個步驟,那麼騙徒只需取得苦主的 HKID、住址證明及銀行帳號,即可以從苦主的銀行戶口,經 FPS 以 autopay 方式轉走存款到「太空卡」登記的電子錢包,好比自動轉賬交費。
【精選消息】
電子錢包自動增值暫停
方保僑指出,這是 FPS 轉數快的漏洞。他驚訝銀行戶口收到 eDDA 指示後,並沒有做認證,他認為這是金管局的責任。現在轉數快系統已經停用了 eDDA 功能,暫時不能夠從銀行戶口轉賬到電子錢包,換言之暫停了電子錢包的自動增值功能。方氏相信金管局將盡快把 FPS 系統優化,例如加入 One Time Password 認證。
【精選消息】
方保僑建議,市民可降低銀行小額轉賬的每日限額,以減低風險。此外,市民要提高警覺,不要隨便向別人提供個人資料,尤其銀行戶口號碼與 ID 香港身分證,避免招致金錢損失。
Source:蘋果日報, ezone.hk