【電子錢包】騙案揭發保安漏洞 電子錢包須增加雙重認證

科技 20:00 2018/10/25

分享:

電子錢包被揭出現漏洞!有用戶在應徵工作時,個人身份被不法之徒盜用,並利用電子錢包內的轉數快功能,將用戶在銀行的存款即時提走,令用戶蒙受金錢損失。金管局表示,市面出現懷疑個人資料被盜用,作開設儲值支付工具戶口並設立「電子直接扣帳授權服務(eDDA)」進行增值的案件,並已轉至警方調查,又澄清事件與轉數快的安全無關。

騙案揭發保安漏洞 電子錢包須加強保安認證

問題出於電子錢包的保安認證

用戶透過 eDDA從銀行戶口增值至電子錢包,如果銀行或電子錢包在進行eDDA的時候,沒有向銀行戶主取得授權認證的步驟,只需受害人上傳香港身份證及銀行戶口號碼,即可以從受害人的銀行戶口,經轉數快的功能進行即時增值,用戶的戶口無異於成為自動轉帳,變得非常不安全。

電子銀包及銀行應增加雙重認證

【設立一次性密碼】

當有用戶在電子錢包內申請eDDA時,銀行及電子錢包除了要求用戶提交個人資料及銀行帳戶號碼外,亦應設立雙重認證(2-Factor Authentication)的保安制度,例如銀行發送一次性密碼(One Time Password)至用戶在銀行內登記的電話號碼,並要求用戶在電子錢包填寫一次性密碼,進行安全認證。

【要求用戶登入銀行帳戶】

當用戶申請eDDA時,電子錢包立即連結到銀行的登入介面,要求用戶登入其電子銀行,才可以完成eDDA申請。

市民可點做?

市民應向銀行啟動短訊及電郵提示功能,當有任何銀行交易及設定更改或是被第三方要求直接付款授權時,市民可立即收到短訊提示,並立即停止可疑的交易。另外,市民要提高警覺,亦不應胡亂提供身份證及銀行戶口號碼予第三者,必要時應嘗試核對對方的身份。

撰文 : 陳啟昌 本網記者

緊貼財經時事新聞分析,讚好hket Facebook 專版