立場新聞 Stand News

【警訊篇】騙徒可怎樣利用「轉數快」電子直接扣帳授權 呃走你嘅金錢

2018/10/25 — 18:04

轉數快宣傳片截圖

轉數快宣傳片截圖

【文:Oursky

啱啱發生咗一宗關於 FPS 搵工被轉走9萬7千元嘅騙案,事主應朋友介紹搵工,「僱主」要求佢透過 Whatsapp 提供銀行賬戶號碼同身份證照片。事主不防有詐,第二日就發覺比人係恆生銀行轉走咗9萬7千元,分18次透過 FPS 增值去騙徒支付寶賬戶度。

上一集講咗《商戶可以怎樣利用「轉數快」(FPS)來接受電子付款》

廣告

而家,就嚟講下:騙徒可以點樣利用「轉數快」電子直接扣帳授權服務呃走你嘅金錢。

電子直接扣帳授權 (eDDA)

廣告

FPS 除咗即時跨行轉賬至外,FPS仲有一個增值服務,叫做「電子直接扣帳授權」(eDDA)。eDDA指示可以令戶口增值、繳付帳單等嘅服務由收款方自動扣帳。

圖片來源:FPS 網站

圖片來源:FPS 網站

一般嚟講,電子直接扣帳授權都係由付款方啟動(例如銀行),試想想一向申請八達通增值,都係要係銀行填表搞手續。

但係,Plan A 唔得,咪試下 Plan B 囉。原來除咗由付方啟動,係 FPS 仲有另一個新方法,就係由收款人啟動電子直接扣帳授權:

由收款人啟動 eDDA(圖片來源: FPS 網站)

由收款人啟動 eDDA(圖片來源: FPS 網站)

收款人啟動 eDDA 流程(圖片來源: FPS 網站)

收款人啟動 eDDA 流程(圖片來源: FPS 網站)

GET!請留意:核實身份嘅任務係由收款人的 SVF 處理的。上述騙案 case 入面「收款人的SVF」就係:「支付寶」。

所以,如果支付寶向銀行證明我係「陳大明」,銀行就會認為我就係「陳大明」。

綜合以上「觀察」,我哋就有個 Full Picture 了。

*   *   *

(⛑由於未有細節公佈,所有資料都係透過報導所得,所以以下方法都係靠估嘅。 #家庭觀眾切勿仿效)

如果我係騙徒嘅話,我應該會咁做:(如果咋)

0 . 首先用方法問事主攞到身份證副本同戶口號碼。(搵工只係借口,可以係代辦服務、申請入學、換領優惠等等。)

圖:Oursky

圖:Oursky

1 . 然後開個支付寶帳戶(重要位:唔一定要用事主個電話號碼開支付寶!)其實八達通可能都ok,不過上限應該低個支付寶,且不考慮。

圖:Oursky

圖:Oursky

2 . 用事主張身份證副本做支付寶電子錢包實名認證。

圖:Oursky

圖:Oursky

3 . 申請FPS增值綁定帳戶,而家只需要全名要戶口號碼(事主亦都無需事先申請 FPS 服務)

圖:Oursky

圖:Oursky

網上圖片

網上圖片

4 . 之後就透過 eDDA 去增值電子銀包。可能因為有增值預設上限,所以決定騙徒透過螞蟻搬家的方法,轉走帳戶內嘅金錢:97000 除以 18 = 每次5388.89。

圖:Oursky

圖:Oursky

5 . 筆錢入咗落騙徒支付寶度,就可以為所欲為,例如再透過 FPS 轉到其他太空賬戶兌現、或者付款至其他商戶。

圖:Oursky

圖:Oursky

成件事最神奇嘅地方係:騙徒完全唔需要 Log in 入你個 e-banking account,甚至連你 e-banking password 都唔需要知(其實佢連你電話號碼都可以唔需要知…)

照此玩法,只要有賬戶號碼,仲可以事主攻克其他銀行嘅戶口。如果事主中銀戶口亦都有大筆現金,亦可以用同樣方式轉走。

*   *   *

正所謂:

Security is Only as Strong as the Weakest Link.

看畢以上拆解。唔知大家認為個 Weakest Link 係邊度呢?
 .
 .
 .

答:

第一,毋須親身到銀行辦理手續而開到戶口,一向係銀行界致力想解決嘅問題之一。但係開戶時遙距驗證是否本人,都依然係非常困難嘅問題,業界有嘗使用 AI 去處理(例如面部識別),但效果仍然未夠安全。所以如果要係銀行開戶口,申請開戶果一個 moment,都一定要親自現身。但係而家係轉賬方面,顯然某些 SVF 只靠身份證副本為核實基礎,實在係極低級的安全漏洞

第二,而家 FPS 容許收款方 SVF 負責核實。例如:以前,申請八達通自動增值,係銀行又要簽名又要填表,又要等佢核實;而家反而係收款方「八達通」可以核實後就向銀行申請 eDDA,變相銀行無法確保付款要求的真確性。

第三,就算係有以上「不幸事件」發生,事主都應該收到 Email 或者 SMS 通知丫。(不過呢方面好似好少有報導)有好多人話用 2FA 就可以解決問題;不過,每次自動增值都要入多次code都真係幾麻煩嘅(會變返做「轉數慢」)。其實,只需係銀行接納咗 eDDA 嘅時候,要求客戶手動接納一次款指示,就已經可以防止未經許可嘅自動增值

最後,如果你要問:邊方面有「漏洞」的話:

以上一、二、三都絕對係 FPS 嘅設計問題;而第二點中,支付寶係核實用戶身份方面形同虛設,亦都責無旁貸。

你,又點睇呢?

*   *   *

⚠️ 重要安全貼士

呢個問題,唔好以為唔用 FPS 就唔會中伏。反而如果你快過騙徒登記晒所有服務,可能先係最安全(雖然無可能做到😇)

現時,金管局已經要求各SVF營運商暫停 eDDA 服務,同一漏洞應該暫時未必會重演。

不過,現實生活中,除咗銀行授權之外,其實好多授權都係可以透過身份證副本同埋冒簽去達成騙案,例如:代領回鄉證、代辦申請手續等等。

世界十面埋伏,如果營運機構審核程序做得不足,就好容易令騙徒足以冒認受害人身份。

唯一可以做嘅,就係好好保護自己嘅個人資料

所以記住:

千祈唔好亂send身份證俾任何人。
千祈唔好亂send身份證俾任何人。
千祈唔好亂send身份證俾任何人。

就算要比身份證副本比人,一定要係上面註明「COPY」同埋日期,甚至在影印本上寫明「此身份證副本只供XX機構之用」。咁樣騙徒都唔可以「循環再用」同一張副本。

圖:Oursky

圖:Oursky


更多參考文件:

FPS Rules:
https://fps.hkicl.com.hk/chi/fps/about_fps/scheme_documentation.php

*   *   *

原刊於 Oursky Medium

本文採用「姓名標示-相同方式分享 4.0 國際 (CC BY-SA 4.0)」授權條款授權。

發表意見