今日(2 月 26 日)本地傳媒報道有提,本地電訊商的 SMS 轉駁(SMS Forwarding)功能,存在偷驗證碼漏洞。有受害人室去年尾突然「被申請」SMS 飛線,怎料在 3 日內遭到截取包括電郵及多個電子錢包在內的登入驗證碼,再被盜取個人資料購買遊戲點數及申請信用卡,損失逾 HK$18 萬,備受全城熱話。ezone.hk 就此找來香港互動市務商會會長方保僑(Francis),分享對以上事件的看法,以及提供相應防範方法。
【相關報道】
【相關報道】
事件屬冰山一角
Francis 提到,以上 SMS 轉駁功能存在偷驗證碼漏洞,繼而出現電郵、電子錢包等個人資料失竊,蒙上金錢損失的事件,其實可能時有發生,只不恰巧這次有傳媒報道,事件才真正備受關注。他懷疑當中的行動,或為香港區內人所為,畢竟要接連做到連續攻陷苦主的電郵、電子錢包,再取得身份證號碼等個人資料,過程這樣抽絲剝繭,未必是外國騙徒能輕易做到的事情。
另外,Francis 也指事件的出現,反映金管局現有政策存在結構性問題。「在 2011 年,金管局實施監管銀行不可轉發一次性密碼至轉駁手機號碼的機制,可是在 2016 年立例規管電子錢包時,卻沒有相關指引,政策上顯然是存有漏洞。」
SMS 科技跟不上時代
由於香港人使用電子支付、電子錢包的情況,只會愈來愈普遍,因此 Francis 認為,類似這次「SMS 轉駁功能存偷驗證碼漏洞,令個人資料被盜及蒙上金錢損失」的事情,在日後只會愈來愈多。「雖然採取 SMS 認證的方法是方便用家,但始終 SMS 已面世了 30 年,當中的科技已跟不上時代,而漏洞也早已存在。」
給市民的建議
為防範以上的情況的出現,Francis 建議市民使用任何電子錢包、電郵、通訊程式等時,應採用雙重認證,擔心的話更可定期更改密碼,甚至主動向電訊商申請停用 SMS 轉駁功能,以防驗證碼有被偷的可能。
值得一提的是,近年業界也推出新的認證方法,取代舊有的短訊認證,例如利用 Google Authenticator,在網站掃描 QR Code 便可同步,操作上有點像現在常於 e-banking 使用的保安編碼器。另外一種新認證方法是 IPification,當中會以電訊商的 IP 地址作為認證。因着當中的 IP 地址會是隨機派發,每次皆不同,因此黑客會較難截取箇中內容,從而減低有個人資料被盜,甚至蒙上金錢損失的可能。
金管局、電子錢包營運商之應對
受以上事件影響,金管局已通知所有電子錢包營運商,要求引用「一次性密碼轉發禁用」的措施,在有關措施公布前,PayMe 及 Tap&Go 早有實施相關規定,至於支付寶香港、TNG 則表示短期內會落實有關安排。
至於 WeChat Pay HK 方面,品牌公關已確認於本月 21 日收到金管局最新通知,要求所有儲值支付工具營運商引用「一次性驗證碼(OTP)轉發禁用」措施。WeChat Pay HK 已即時作出跟進及完成系統更新。現在 WeChat Pay HK 用戶即使已啟用短訊轉發服務,所有由 WeChat Pay HK 發出的短訊亦不會被轉發至其他手機號碼。此外, WeChat Pay HK 確認從來沒有收到任何相關的用戶投訴或查詢。
【相關報道】
【相關報道】
Source: ezone.hk