香港转数快(FPS)自正式登陆一个月以来,确实改变了香港本地的小额支付局面,有关详细信息请见:香港支付系统新纪元「转数快」究竟有多方便?但最近出现数宗有关利用FPS进行诈骗的案件。
警方本月10日及11日接获两名女子报案,指她们经一即时通讯应用程式应徵工作,并提供个人及银行资料,其后在未经本人授权的情况下,她们的银行帐户分别遭人擅自转帐1.2万港元及9.7万港元到储值支付工具户口。经初步调查后,警方将两宗案件同列作「以欺骗手段取得财产」,暂未有人被捕。
两位苦主本月初均在社交媒体上收到招聘信息,遂联络应徵,对方要求她们提供银行账户号码及身份证照片,以确认身份及出粮户口。她们不虞有诈,遂跟从指示操作。结果在当晚就分别多次被转走银行账户内的存款。
苦主发现情况后即到银行查询,惟银行职员均指有关转账指示由本人发出,用「转数快」的形式向支付工具户口增值。涉及银行包括汇丰银行、恒生银行和中银香港。
金管局回复事件时表示,相关电子直接扣账授权服务(eDDA)已暂停,事件已转交警方调查,并就是次怀疑资料被盗事件,已要求储值支付工具营运商及银行,检视相关程序。AlipayHK、 O! ePay及 Tap & Go均表示,已遵照金管局指引,在完成eDDA检视前,暂停有关服务。
一般而言,如果帐户持有人确实没有授权有关扣帐,并不需为未经授权交易承担责任。局方同时强调,有关事件与转数快系统及使用个人对个人转帐及支付服务的安全性无关。虽然电子钱包内的eDDA服务暂停,使用人士仍可透过例如即时转帐等其他方式为电子钱包增值。
事件责任主要在电子钱包?
汇丰银行表示,银行会根据电子钱包发出的指示设置eDDA,电子钱包须对eDDA的准确性及真实性负全部责任,汇丰会向户口的持有人发出确认书,通知客户已成功设置电子增值服务。另外,每次增值交易后,该行会向户口的持有人发送手机提示信息。
该行强调,客户如发现有不寻常户口活动或交易,可立即通知该行及报警。至于该行旗下PayMe,并不受这次储值支付工具暂停银行户口增值功能的影响。用户如欲将其汇丰银行帐户连接至PayMe户口进行增值,须输入一次密码。
另外两间涉事银行恒生和中银均回覆指,若帐户持有人确认并无授权,毋须为该笔转帐负责。
资讯科技界建议加强帐户绑定认证
目前,要使用电子钱包「转数快」服务的用户,都要根据快速支付系统相关机制,提供身份证明文件予以核实,以于保障用户真实性。但有业界人士则认为,支付商的遥距身份认证过于简单,「随便上载张身份证照片就当认证成功」,根本无法确认登记银行户口的用家为身份证持有本人,陌生人能轻易冒认他人身份及绑定银行户口。
香港资讯科技商会荣誉会长方保侨认为,若骗徒以「太空卡」电话号码开设电子钱包,又手持受害人的身份证明文件及个人资料以供银行认证,则容易瞒过银行误绑虚假电子钱包账户,继而为该账户增值。金管局有责任作出更妥善指引,例如要求银行进行双因素认证及採用单次性密码(one-time password)等。