(前言:香港金融管理局在月初推出「轉數快」(FPS) ,提供即時跨銀行轉帳和充值各種香港流動支付工具的服務。用戶可以用電話號碼、電郵或快速支付帳號登記,進行跨銀行、跨支付工具、個人對個人(P2P)等小額支付。有關「轉數快」操作原理可參考前文《商戶可以怎樣利用「轉數快」(FPS)來接受電子付款》)
前兩天在香港發生了一宗關於找工作而被騙子利用「轉數快」盜取港幣 9 萬 7 千元的詐騙。受害人在朋友介紹下應徵工作,「僱主」要求受害人透過 WhatsApp 提供銀行帳戶號碼和身份證影本。受害人不疑有詐,結果隔天發現自己的銀行帳戶被人透過 FPS 分 18 次充值到騙子的支付寶帳戶,總共被盜領了港幣 9 萬 7 千元。
那到底騙子是如何利用「轉數快」電子直接扣帳授權服務騙取受害人的金錢呢?
電子直接扣帳授權 (eDDA)
FPS 除了可以進行即時跨行轉帳以外,還提供一項充值服務,稱為「電子直接扣帳授權」(eDDA)。eDDA 可以進行充值帳戶、繳付帳單等操作,由收款方自動扣帳。
一般來說,電子直接扣帳授權是由付款方啓動的(例如銀行),就像申請八達通(類似台灣的悠遊卡)自動充值服務也需要去銀行遞交申請表和辦理手續。
但騙子的字典裡沒有放棄(誤)。原來除了由付款方啟動服務,FPS 還有另一種新方法,就是由收款方啟動電子直接扣帳授權:
登楞!核實的部份是由收款人的 SVF 來處理。而在這次詐騙裡,「收款人的 SVF」就是支付寶。
也就是說,如果支付寶向銀行證明我是「志明」,銀行就會認定我是「志明」。
綜合以上觀察,我們現在可以窺見這次詐騙的全貌了。
⛑由於警方還沒有公佈案件細節,以下推論是根據新聞發佈的資料而推敲出來的。
如果我是騙子的話,我應該會:(如果而已啦,叔叔也沒有練過)#好孩子不要學
0 . 首先用藉口拿到目標受害人的身份證影本和銀行帳戶號碼。(這次的藉口是應徵工作,也可以隨便說是代辦服務、申請入學、換領優惠等等)
1 . 註冊一個支付寶帳戶(重點:不需要用目標受害人的電話號碼來註冊帳戶!)其實也許使用八達通也可以,不過轉帳的金額上限應該比支付寶要低,暫不考慮。
2 . 利用受害人的身份證影本進行支付寶電子錢包的實名認證。
3 . 申請 FPS 充值綁定帳戶。目前只需要提供姓名全名和銀行帳戶號碼(受害人甚至不需要先申請 FPS 服務)。
4 . 之後再透過 eDDA 充值電子錢包。懷疑因為充值功能有預設限額,所以騙子決定使用愚公移山的方法,分批轉走帳戶裡面的錢:$97,000 / 18 = 每次 $5388.89。
5 . 款項匯到騙子的支付寶後,就可以為所欲為,譬如再透過 FPS 轉帳到其他難以追蹤的帳戶提現或者在其他商戶進行付款。
這次詐騙比神奇寶貝還要神奇的地方是:騙子完全不需要登入你的網路銀行帳戶,甚至連你的網路銀行帳密也不需要知道(其實他連你的電話號碼也不需要知道……)
如此說來,只要得到你的帳戶號碼,還可以用同樣方式從你的其他銀行帳戶轉走金錢。如果你的其他帳戶裡有大筆資金,也可以被同樣方式盜領。
正所謂:
Security is Only as Strong as the Weakest Link
看完以上的分析,大家認為這次的 weakest link 在哪裡呢?
.
.
.
.
.
.
.
答案:
第一、銀行業一直努力想解決的問題之一,就是讓客戶不用親自到銀行辦理手續也可以開立帳戶,但遠端驗證開戶的是否本人到目前為止仍然是非常困難的。有業者嘗試使用人工智慧 AI 去處理(比如臉部辨識),但還是不夠安全。所以如果要在銀行開立帳戶,在申請開戶的那一刻還是必須親自到場。可是目前在轉帳這一塊,顯然某些 SVF 只依賴身份證影本核實身份,實在是很 low 的安全漏洞。
第二、現在 FPS 容許收款方 SVF 負責核實身份。比如我們以前申請八達通自動充值服務的時候,需要遞交表格和簽名,還要等待銀行核實;現在反而只要收款方「八達通」核實以後就可以向銀行申請 eDDA,等於銀行其實無法確保付款要求的真實性。
第三、就算詐騙真的不幸發生,受害人理應收到電郵或簡訊通知(可是很少有新聞報導這一方面的細節)。很多人說使用 2FA 雙重認證就可以解決問題,不過如果每次自動充值還需要再輸入一次驗證碼也的確有點麻煩(從「轉數快」變成「轉數慢」?)。其實,只要銀行在接收到 eDDA 付款指示的時候,要求客戶手動確認一次,就已經可以防止未經許可的自動充值。
最後,如果你想問哪裡存在「漏洞」的話:
以上三點都絕對是 FPS 的設計問題;而第一點裡支付寶核實用戶身份的措施形同虛設,也是責無旁貸的。
你又怎麼看呢?
⚠️ 重要安全小提示
千萬不要以為只要不使用 FPS 就不會遇到詐騙。反而如果你比騙子更快完成所有服務的登記,搞不好才是最安全的(雖然不可能做得到 😇)。
目前,香港金融管理局已經立刻喊停所有 SVF 營運商的 eDDA 服務,這次的詐騙手法估計暫時不會重演。
不過在現實生活中,除了銀行授權以外,其實很多授權也可以透過身份證影本和假冒簽名去進行詐騙,比如說代領證件、代辦申請手續等等。
這個世界處處是陷阱,如果營運機構的審核程序不夠嚴謹,很容易讓歹徒有機可乘,冒認受害人的身份盜領金錢。
唯一可以做的,就是好好保護自己的個資。
請記住:
千萬不要隨便把身份證影本給任何人。
千萬不要隨便把身份證影本給任何人。
千萬不要隨便把身份證影本給任何人。
就算真的需要提供身份證影本給對方,一定要記得在影本上註明「COPY」和日期,甚至在影本註明「此身份證影本只供 XX 公司之用」,這樣騙子就無法「再生使用」同一張影本。
更多參考資料:
FPS 條款與細則:https://fps.hkicl.com.hk/chi/fps/about_fps/scheme_documentation.php
Oursky 致力研發自己的開發系統 Skygear,也在十年間幫助不少品牌與創業家實現他們的創意。如果你正在尋找合作夥伴一起打造下一個數位產品,來跟我們聊聊吧!
