有求職者表示向僱主提供銀行帳戶資料、身份證資料後,被人利用「轉數快」(FPS) 服務提走求職者銀行賬戶裡面近 10 萬元存款。不法之徒懷疑利用「轉數快」在轉賬到電子錢包時的身份確認漏洞,從受害人銀行戶口轉走款項存入騙徒的支付寶HK、拍住賞(Tap & Go)帳戶。警方已列作「以欺騙手段取得財產」案件並進行調查,而金管局亦已叫停「電子直接扣賬授權服務」,並指令電子錢包機構要檢討現行身份驗證措施。
近日有市民向警方報案,指在網上應徵工作時,提供身份證相片以及銀行賬戶號碼,被騙徙利用「轉賬快」轉走銀行存款,損失由 1 萬元至近 10 萬元不等。有受害人指在應徵工作的翌日查閱網上銀行的交易記錄,發現近 10 萬元存款分開多次被轉走。根據本地報章報道,金管局指現時已接獲 3 宗有關投訴,並已轉交警方調查。警方指出現時收到兩宗報案,列作「以欺騙手段取得財產」案,由黃大仙警區刑事調查第一隊、觀塘警區刑事調查隊第四隊進行調查,目前尚未有人被捕。
只上傳身份證與銀行賬戶號碼即被提款
一名受害人表示自己的銀行被過數完全沒有收到銀行通知,並指銀行失責。當日受害人接到朋友轉發的一份散工傳單,聯絡「僱主」後,提交了自己的身份證相片,以及出糧戶口,聲稱用以「確認身份」,事主亦不虞有詐提供資料。豈料在翌日事主再查閱網上銀行時,發現賬戶內 9.7 萬元被分開 18 次以「轉數快」方式增值到一個支付寶賬戶。銀行表示所有都是該名受害人自己發出的指令。但事主表示從來沒有申請過支付寶賬戶,亦無申請過「轉數快」服務。其後試用自己的提款卡號碼登記支付寶賬戶,但發現該銀行賬戶已被使用。
電子錢包增值程序現漏洞
今次騙徒利用的是「轉數快」裡面過數到電子錢包的身份驗證漏洞。當騙徒掌握受害人的身份證、銀行賬戶號碼等個人資料時,毋須真人驗證,即可在支付寶HK、Tap & Go 等電子錢包登記賬戶,並連結至銀行賬戶,並開通「轉數快」服務為電子錢包進行增值。目前出現的漏洞在於,登記電子錢包賬戶時,並非使用用戶在銀行登記的電話號碼接收驗證碼,而是在電子錢包登記的電話號碼驗證身份,令到騙徙有機可乘,利用預繳電話卡等工具,冒充受害者身份。另一方面銀行在賬戶連結至外部電子錢包時,未有通知客戶有關情況。
金管局回覆表示,自「轉數快」開通至今共收到 3 宗相關投訴。有關事件涉及懷疑個人資料被盜用作開設儲值支付工具戶口,並設立電子直接扣賬授權服務(eDDA)進行增值。金管局已要求儲值支付工具營運商及銀行檢視相關程序,以降低個人資料被盜用而引致的風險,在完成相關檢視之前,儲值支付工具營運商會暫停其電子錢包內的 eDDA 服務。金管局方面強調「轉數快」至今運作正常,有關事件與「轉數快」系統,及使用個人對個人轉賬和支付服務的安全性無關。
▲在多日前支付寶HK已暫停銀行綁定登記手續
https://unwire.hk/2018/10/25/fpsalipay/top-news/
資料來源:蘋果日報