【转数快】电子钱包骗案揭3大漏洞　方保侨教路一招KO骗徒！

金管局推出“转数快”（Faster Payment System）不足1个月，惊现认证漏洞！有消息指，警方接获两名女子报案，称她们于网上找散工，提供个人身份证照片及银行帐户资料后，竟发现银行户口遭人擅自转帐共10.9万元。事件涉及怀疑个人资料被盗用，以开设储值支付工具﹙电子钱包﹚户口，并向银行发出“电子直接扣帐授权服务”﹙eDDA﹚要求，从银行直接转账至电子钱包，成功“搬钱”。金管局最新资料显示，已有约十多个银行帐号怀疑被盗，用以在电子钱包内开设eDDA，涉款18万元。记者综合各方报道及访问香港资讯科技商会荣誉会长方保侨后，发现骗徒成功“搬钱”，过程涉3大漏洞。

根据金管局所得的资料，事件中约有十多个银行帐号怀疑被盗，用以在电子钱包内开设eDDA，除个别户口金额逾万元外，大多涉及数千元，总数约18万元。

据报道，其中一个苦主的恒生银行帐户内9.7万元存款遭转帐至支付宝帐户，怀疑有人利用转数快的漏洞，将苦主户口内的钱以增值方式，转至用她名义开设的支付宝户口。骗徒共分18次将款项转走，但过程中苦主称亳不知情，事后收到银行账单才得悉事件。

据苦主表示，她自己从未登记过转数快，亦无用过支付宝。然则，户口内的钱，又如何被“搬走”？

漏洞一、个人资料加太空卡      已可“被开户”

综合各方报道及金管局与银行回应，苦主是在不知情下“被开户”！该名苦主早前揾工，透过WhatsApp 把 HKID 身分证资料与银行户口号码传送给“雇主”骗徒，这名骗徒于是利用这些资料，用苦主名字开设支付宝账户。理论上，开设账户，事主应该收到SMS短讯验证通知，但由于骗徒利用太空卡号码登记，成功令苦主“被开户”也懵然不知。

记者测试过，支付宝用家只需提交身份证照片，即可完成中级认证，其余额上限为10万元，年累计交易额为10万元。如果想绑定银行户口，从银行直接转账至电子钱包作增值之用，则要额外提供银行户口号码。

漏洞二、eDDA认证通知“形同虚设”

跟住，就是从苦主的银行户口“偷偷”搬钱——取得eDDA进行自动增值，将钱从银行户口转账至电子钱包账户。

骗徒会用以你名义开的电子钱包，向你的银行发出eDDA要求，这一步虽然会有SMS短讯通知，但出奇地，短讯通知却是由电子钱包的营运商发出，但由于涉案的电子钱包户口是用太空卡电话号码登记，故认证通知亦只会发至该号码。而骗徒取得认证后，即可以从苦主的银行户口，转走存款到“太空卡”登记的电子钱包以作增值，过程中，通知短讯同样地发到太空卡号码，因此苦主对每次交易均不知情。

方保侨提议，金管局未来应要求eDDA认证时，由电子钱包发出一次性密码短讯来开通授权服务，而短讯目的地，必需是用家的银行登记电话号码。因为如发去电子钱包的登记电话号码，有机会像案中一样，发去太空卡号码。相对而言，银行登记电话号码的真确性较高。他又建议，每次交易亦可考虑发一次性密码到银行登记电话号码，以作认证。不过，他坦言，这会令交易变得复杂，金管局未来需要取舍“安全”与“方便”之间的平衡。

漏洞三、骗徒或搬钱回内地      无法追踪

方保侨补充，骗徒处理款项有“一万几千种”方法，今次从支付宝户口得到9.7万元，但没理由用正常交易转走，因为警方有机会查到资金去向。他相信，骗徒有机会将钱转入内地的假银行户口，如该方法成功，警方将难以追查资金去向。

苦主倘没授权转账      或不需为损失负责

骗案已现，苦主有没有机会取回受骗资金？金管局回复指，相关eDDA已暂停，若账户持有人确实没授权转账，不需为该笔转账负责。金管局亦强调，虽然eDDA增值通过“转数快”系统进行，但这次事件是涉及盗用资料在电子钱包设立eDDA的环节，并不关乎“转数快”系统的安全使用。与此同时，该局又称，电子钱包开设eDDA流程的检视工作已接近完成，日后涉及设立eDDA程序时，需要银行进行确认申请人身分的双重认证。

恒生银行回复传媒查询时亦指，根据业界现时运作，银行会根据电子钱包发出的指示设置eDDA，恒生会就授权发出信件或电子通知书，若证实客户未有发出相关授权，将无须负责有关转帐。