香港轉數快(FPS)自正式登陸一個月以來,確實改變了香港本地的小額支付局面,有關詳細信息請見:香港支付系統新紀元「轉數快」究竟有多方便?但最近出現數宗有關利用FPS進行詐騙的案件。
警方本月10日及11日接獲兩名女子報案,指她們經一即時通訊應用程式應徵工作,並提供個人及銀行資料,其後在未經本人授權的情況下,她們的銀行帳戶分別遭人擅自轉帳1.2萬港元及9.7萬港元到儲值支付工具戶口。經初步調查後,警方將兩宗案件同列作「以欺騙手段取得財產」,暫未有人被捕。
兩位苦主本月初均在社交媒體上收到招聘信息,遂聯絡應徵,對方要求她們提供銀行賬戶號碼及身份證照片,以確認身份及出糧戶口。她們不虞有詐,遂跟從指示操作。結果在當晚就分別多次被轉走銀行賬戶內的存款。
苦主發現情況後即到銀行查詢,惟銀行職員均指有關轉賬指示由本人發出,用「轉數快」的形式向支付工具戶口增值。涉及銀行包括滙豐銀行、恒生銀行和中銀香港。
金管局回復事件時表示,相關電子直接扣賬授權服務(eDDA)已暫停,事件已轉交警方調查,並就是次懷疑資料被盜事件,已要求儲值支付工具營運商及銀行,檢視相關程序。AlipayHK、 O! ePay及 Tap & Go均表示,已遵照金管局指引,在完成eDDA檢視前,暫停有關服務。
一般而言,如果帳戶持有人確實沒有授權有關扣帳,並不需為未經授權交易承擔責任。局方同時強調,有關事件與轉數快系統及使用個人對個人轉帳及支付服務的安全性無關。雖然電子錢包內的eDDA服務暫停,使用人士仍可透過例如即時轉帳等其他方式為電子錢包增值。
事件責任主要在電子錢包?
滙豐銀行表示,銀行會根據電子錢包發出的指示設置eDDA,電子錢包須對eDDA的準確性及真實性負全部責任,滙豐會向戶口的持有人發出確認書,通知客戶已成功設置電子增值服務。另外,每次增值交易後,該行會向戶口的持有人發送手機提示信息。
該行強調,客戶如發現有不尋常戶口活動或交易,可立即通知該行及報警。至於該行旗下PayMe,並不受這次儲值支付工具暫停銀行戶口增值功能的影響。用戶如欲將其滙豐銀行帳戶連接至PayMe戶口進行增值,須輸入一次密碼。
另外兩間涉事銀行恒生和中銀均回覆指,若帳戶持有人確認並無授權,毋須為該筆轉帳負責。
資訊科技界建議加強帳戶綁定認證
目前,要使用電子錢包「轉數快」服務的用戶,都要根據快速支付系統相關機制,提供身份證明文件予以核實,以於保障用戶真實性。但有業界人士則認為,支付商的遙距身份認證過於簡單,「隨便上載張身份證照片就當認證成功」,根本無法確認登記銀行戶口的用家為身份證持有本人,陌生人能輕易冒認他人身份及綁定銀行戶口。
香港資訊科技商會榮譽會長方保僑認為,若騙徒以「太空卡」電話號碼開設電子錢包,又手持受害人的身份證明文件及個人資料以供銀行認證,則容易瞞過銀行誤綁虛假電子錢包賬戶,繼而為該賬戶增值。金管局有責任作出更妥善指引,例如要求銀行進行雙因素認證及採用單次性密碼(one-time password)等。
