求職者比人轉走10萬存款有幾關FPS事?
(本文以廣東話寫成)
琴日爆出有人身份證被盜用以致銀行戶口被騙徒轉走10萬存款,引起大眾對快速支付系統(下稱FPS)安全性嘅質疑。但對於問題係咪出係FPS身上我係有所懷疑嘅,反而銀行,以及電子錢包營運商(下稱SVF)嘅授權認證有更大機會係問題嘅根源。
謎團:騙徒點為事主開FPS?
就現時資料所知,受害人都稱自己無開立FPS,咁騙徒係點為事主開FPS呢?現時開立FPS嘅正路方法係用戶登入返自己個網上銀行申請,將自己已登記嘅電話號碼或電郵地址同儲蓄戶口連結,或者兩者都唔連結設立一個FPS ID。如果由呢個途徑開立FPS,一黎要攻破網上銀行嘅登入系統,二黎入到網上銀行申請FPS時都要再次經已登記嘅電話或電郵驗證,對騙徒黎講難度都幾大。
咁透過銀行申請唔多行得通,透過SVF又得唔得?原來係得嘅。FPS系統有一項附屬服務叫電子直接付款授權服務(e-DDA),佢其實同以前嘅直接付款授權服務(DDA),即係八達通自動增值、帳單自動繳費果類功能都大同小異,只係e-DDA現時主要用作增值SVF。更重要嘅係以往開設DDA通常都係由用戶向付款方(即係銀行)提出申請,由銀行批核後啟用,不過e-DDA就更多時係由收款方(即係支付寶、Tap&Go等SVF)代為提出申請,銀行核實後就會將用戶嘅嘅戶口連上FPS同設立戶口同SVF之間嘅e-DDA,SVF就可以直接向連結嘅帳戶攞錢增值,無須銀行再次驗證。
經SVF開e-DDA易過借火
問題就出係呢度,銀行又點認證SVF提出嘅申請係真確呢?可能由於金管局要求左SVF都有責任做身份認證,SVF理論上已經擁有客戶真實嘅身份證、住址證明等,所以銀行方面批核e-DDA指示都比較寬鬆,一般2日內甚至即時就可批核,預設轉帳限額亦都高,例如中銀最高可以每次轉帳1萬以內無須驗證,每日轉帳限額可高達100萬!
係開立e-DDA嘅過程中,銀行無核對申請者SVF戶口嘅電話、住址等資料同銀行紀錄係咪一致,亦無主動向用戶本人核實申請,中銀更加無係e-DDA設立完成後即時通知用戶,只係寄信通知。與此同時,唔少SVF本身嘅認證手續都比較粗疏,好多時一個電話號碼就開到帳戶,身份證同住址證明影相上傳就可以,無須真人驗證,更加無話寄封信黎核實住址。
就係咁,騙徒好可能就係用一張太空卡同受害人嘅身份證副本好輕鬆咁開左個支付寶/Tap&Go帳號,再開立e-DDA連結到受害人嘅銀行戶口,最後成功將錢轉出。
問題在於認證程序
講完咁多,其實個問題唔係FPS嘅技術本身,而係出係e-DDA成個認證程序唔夠嚴謹。用戶身份認證嘅責任本身係銀行,但銀行又過份信賴SVF提供嘅資料,唔少SVF做嘅身份認證又過於粗疏,最後令騙徒有機可乘。
其實今次都唔係第一次因為認證問題導致,幾個月前專頁「前線科技人員」嘅編輯被人盜用信用卡於支付寶消費,可能都同SVF及銀行方面嘅驗證不足有關。
類似嘅漏洞可能唔限於以FPS增值SVF,傳統嘅DDA以致信用卡付款認證都可能有不足。
其實要堵塞e-DDA嘅漏洞好簡單,只要銀行方面係批核e-DDA時主動驗證申請人身份就可以大大減少問題,例如先向申請人係銀行嘅登記電話發短訊驗證、未得當事人向銀行另行申請前大幅收緊FPS轉帳限額,甚至限制用戶必須從銀行設立好FPS先可以由SVF申請e-DDA等。當然SVF亦有責任係提交e-DDA申請前再度核實用戶身份,以免例如系統漏洞導致帳戶被人遙控申請e-DDA或其他類型嘅增值及轉帳服務。但當騙徒用太空卡都開到SVF帳號時,SVF又點確保用戶嘅真實身份呢?所以銀行一定唔可以信晒SVF。
金管局作為監管機構亦應趁今次機會審視各機構嘅身份驗證程序,既然FPS為各大銀行及SVF機構所共用,就應該有更一致可靠嘅驗證機制,確保唔會因為部份參與者嘅缺失而影響整個系嘅嘅靠性。
最後,唔好以為你唔用FPS就無事,成件事嘅觸發點係事主泄露自己嘅銀行戶口、住址同身份證資料。有呢d資料唔好話開e-DDA,用黎登記好多金融服務、代辦手續都得,甚至比人用黎借錢做擔保人都有可能。所以幾時都要保護自己個人資料,例如未確定受僱前唔好比太敏感嘅資料人地,交身份證副本時打個水印、敏感信件要碎好先掉等等,減少資料被人盜用資料嘅機會。
Cross-posted at 青鳥脈博
