时事分析 | 创新及科技发展 | 2018-11-23 | 《经济日报》

当骗徒拥有你的个人资料 如何为存款把关?



今年全球多间知名企业爆出资料外泄,Facebook[1]、Google[2],以至本地的国泰航空,皆一度是主角。不少成为苦主的香港人,其信用卡号码、护照号码、香港身份证号码等极为隐私的数据,可能已「流出公海」。[3]教人震惊的是,涉事企业不乏业界翘楚,有些更属科网巨企,但尚且未能阻止用户数据流到「有心人」手上。

最近更有传媒揭发,指本港两大电子货币包WeChat Pay和Alipay HK存在漏洞,骗徒可透过储值电话卡开设户口,捆绑经不法途径获得的信用卡数据,包括卡号码、最后到期日和保安码等,为电子货币包增值,再把款项偷走。[4]

今时今日,谈「信息保安」,已不能局限于研究如何避免个人资料外泄,因为当市民部分个人资料已被他人掌握,不法之徒利用这些资料招摇撞骗,恐怕会更为常见。在此前提下,一些涉及个人财产安全的关键环节,应如何更谨慎地进行「身份验证」,以防骗徒得手,应是未来的关注重点。

随着技术发展 个人私隐讯息边界也会不断变化

事实上,互联网应用日益普及,就算没有上述的资料外泄,很多人的身份已较昔日公开。澳洲生产力委员会在去年3月发表一份有关数据使用的报告就留意到,人们心目中的个人资料,会随着技术进步和新的数码产品不断变化,例如人们会透过社交媒体分享个人讯息[5]──在互联网初流行时,网上世界多是匿名活动,但现时许多人在Facebook均不忌讳以实名示人。

近年网上配对雇主及雇员的「零工经济」渐趋流行,也可能加剧个人资料「流出公海」的问题。例如早前有求职者在网上看到一份散工招聘广告[6],并按「雇主」要求提供银行帐户号码和身份证照片后,即被人利用「转数快」提走银行帐户近十万元存款。令人怀疑是有骗徒扮成雇主,利用部分电子货币包的身份确认程序漏洞,以受害人的身份证和银行帐户号码等个人资料,冒充受害人开设电子货币包账户,再转走受害人的银行款项,存入自己的支付宝HK和拍住赏账户。[7]香港电讯承认,如欲登记拍住赏服务,用户只须下载有关手机钱包,上传其有效身份证明文件,即可开设账户。[8]

不同机构身份认证标准不一 互通易生问题

上述案例在在显示,单凭部分个人资料核实用家身份,今时今日已不再足够。特别要注意的是,过去市民的资金安全通常是由银行承担,而银行也会采用较严谨的身份认证程序,出事机会不大。不过,随着不同金融产品和服务推出,一些涉及钱银交收的身份核实工作,已交到更多不同机构身上。它们核实用户身份的严谨程度不同,当中标准较宽松的,便成为骗徒目标,藉其「逆向」提取需要严谨核实身份的银行帐户存款。上述的「转数快」失窃事件,正是个中例子。

「转数快」失窃事件后,金管局即要求储值支付工具营运商改善流程,包括一,用户接收银行发出的电话短讯以确认开设「电子直接扣帐授权」(eDDA[9]);二,要求用户从有关银行户口作一次转账到自己的电子货币包,以确认电子货币包用户是银行户口持有人;或三,银行双重认证(Two-factor Authentication, 2FA)。[10]

在概念上,金管局这三招各有根据,第一招是假设当事人会随身携带手机,身份认证就直接交由本人确认;第二招是让身份核实流程回归银行帐户持有人;第三招则是要求电子货币包的身份核实程序,要与银行采用相同标准,当中的2FA,指的是在三个认证面向中,最少须同时符合双重认证准则。[11]这三个认证面向,分别是:你知道的东西(如帐户密码)、你拥有的东西(如提款卡),和你的东西(如指纹)。[12]市民在使用ATM提款时必须持有银行提款卡和知道密码,就是2FA。

就近日汇丰旗下电子货币包PayMe遭入侵,致20名客户损失约10万元,有信息安全专家认为,事件或缘于企业大规模泄密,令骗徒得到用户的身份证或生日等数据[13],再「撞破」用户电邮及PayMe帐户密码[14],但如果电子货币包和电邮账户都有采取双重认证,就不致让骗徒轻易得手。[15]

短讯认证非绝对安全 应用程序可取而代之?

同样道理,若储值支付工具营运商能执行金管局上述「三招」,相信eDDA的漏洞可被堵塞。当然,这并不是说骗徒从此便无从入手。

举例来说,现时不少寻求遥距「本人」认证的方式,是通过发送短讯到当事人手机,如Visa的验证服务,就可在网上付款时由银行透过短讯传送一次性密码,以确认是由卡主本人操作。[16]问题是,如果卡主的电话卡被「骑劫」[17],骗徒还是有机可乘。

在美国,「SIM卡骑劫」(SIM Hijacking)被视为一项日益严重的信息安全风险,当骗徒得悉目标的电话号码,再伪装成对方前往电讯公司,讹称丢失了SIM卡,要求把电话转移至新的SIM卡上,一旦电讯公司的职员没有足够警觉,或是身份验证程序不够严谨,被骗徒蒙混过关,事主手机验证码就会被拦截成功。[18]在今年8月,电子布告栏系统Reddit承认用户数据被盗,表示在2FA情况下,对方仍通过拦截SMS成功破解[19],被信息安全专家认为与SIM卡骑劫有关。[20]

SIM卡可被骑劫,一些本地银行,已开始使用在手机短讯以外的方式验证用户身份。举例来说,拟推出无卡提款QR Cash服务的渣打银行[21],让客户可预先在手机设定提款金额及币种,再利用手机扫描自动柜员机显示的二维码提款。[22]其条款细则提及,若用户使用该服务,必须启动流动装置上的虚拟流动保安编码器,其密码须另行设定[23],毋须再透过短讯获取一次有效密码。[24]

有甚么比双重认证更有保障? 答案是再加一重认证

一般来说,现代人手机多随伺在侧,透过行动装置确认身份,多一重保险,比起单纯使用个人资料自然更为可靠。在美国,摩根大通子公司大通银行(Chase)就推出一项服务,透过Apple Pay、Google Pay或Samsung Pay的电子货币包,将提款卡「虚拟化」成为电子卡,客户在提款时只需将手机钱包打开,再将手机接触柜员机的指定位置,即可如常输入密码提款。[25]

这种「无卡提款」模式比上述QR Cash更为彻底,因为毋须预先在手机设定,而是直接将传统实体提款卡化为手机虚拟卡。比起传统2FA──用银行实体提款卡,再配搭以帐户密码提款──这种「无卡提款」模式更安全的地方在于,除了依然需要帐户密码(「你知道的东西」),和个人智能手机(「你拥有的东西」),如果客户也采用智能手机内置的指纹认证或面部辨识功能(「你的东西」)[26],便等同在2FA之外再加一重认证,成为3FA。

认证模式愈多 牵涉持份者愈广 个人把关责任愈重大

当然,天下没有万无一失的认证模式,过于依赖行动装置,也可能令安全风险更为集中。上述渣打银行QR Cash的服务条款就提及,客户必须保护流动装置,及为所有使用流动装置链接及服务的行为负上责任,不论是否经过其授权。[27]

此外,随着银行相继推出更为安全可靠的验证模式,其他与市民帐户安全相关的持份者是否跟得上,也需要持续关注。除了上文提及的储值支付工具和电讯公司,随着传统个人资料,例如姓名、电话号码、地址和身份证号码等[28]不再是秘密,身份验证或需配搭更多生物识别信息。就此,美国已有州份立法规范指纹、虹膜和面部扫描的商业用途。[29]

日前就有传媒揭发多个iPhone应用程序,被指在没有清楚说明用途及金额的情况下,误导用户按下指纹,获取授权支付数百元款项。有信息安全专家强调,用户的指纹、面孔和瞳孔等生物认证,相等于密码,勿提供予不知名应用程序。[30]

总括而言,验证方式愈趋多元,核实身份固然更有把握,但同时也更需要社会不同持份者做好把关工作。对市民来说,今后如果想享受更便捷的服务,同时又保障账户安全,也不能过于依赖单一权威(例如银行)。在多重验证的时代,只有自己才是「多头马车」的真正驾驶者。

1 「Facebook承认数据外泄涉8700万用户 朱克伯格致歉」。取自香港经济日报网站:https://topick.hket.com/article/2044379/,最后更新日期2018年4月5日。
2 「50万账户私隐外泄 Google拒实时对外公布」。取自东网网站:https://hk.on.cc/hk/bkn/cnt/news/20181009/bkn-20181009021631597-1009_00822_001.html,最后更新日期2018年10月9日。
3 「内幕消息:资料外泄事件」。取自披露易网站:http://www3.hkexnews.hk/listedco/listconews/SEHK/2018/1024/LTN20181024758_C.pdf,最后更新日期2018年10月24日。
4 「港人信用卡资料『热卖』 支付宝 微信支付 沦贼人提款机」。取自苹果新闻网站:https://hk.news.appledaily.com/local/daily/article/20181102/20536389,最后更新日期2018年11月2日。
5 "Data Availability and Use," Australian Government Productivity Commission, March 2017, pp.34 and 53.
6 「求职女堕骗局 转数快陷阱 一晚转走10万元」。取自苹果新闻网站:https://hk.news.appledaily.com/local/daily/article/20181025/20530263,最后更新日期2018年10月25日。
7 「『转数快』爆增值漏洞 求职者被提取10万蚊」。取自unwire网站:https://unwire.hk/2018/10/25/fpseddaexploit/tech-secure/,最后更新日期2018年10月25日。
8 「『转数快』转账漏洞骗案 Tap & Go、AlipayHK回应」。取自unwire.pro网站:https://unwire.pro/2018/10/25/fps-2/news/,最后更新日期2018年10月25日。
9 eDDA是附属于「转数快」的增值服务。根据香港银行同业结算有限公司介绍,eDDA旨在支持付款人的预设授权,透过在转数快启动的直接扣帐支付,从付款人户口扣帐,并适用于各种直接扣帐支付,例如收款人启动的户口增值、缴付账单,以及电子商贸支付等。简言之,在eDDA模式下,用户可通过支付宝HK等电子货币包,直接从自己的银行户口扣帐,过程中的身份核实责任则由金融机构转移到电子货币包身上,付款人的银行只需核实用户银行户口号码及由电子货币包提供的保证书,便可接纳eDDA。我们为八达通申请「自动增值服务」,因为没有eDDA,在程序上就必须先向金融机构递交申请,八达通才会启动自动增值功能。数据源:「转数快提供哪些服务」。取自香港银行同业结算有限公司网站:https://fps.hkicl.com.hk/chi/fps/about_fps/what_fps_offers.php,查询日期2018年11月1日;「自动增值服务立即申请」。取自八达通网站:https://www.octopus.com.hk/tc/consumer/octopus-cards/aavs/sign-up/index.html,查询日期2018年11月1日。
10 「金管局加强设立电子货币包直接扣帐授权服务的认证要求」。取自香港金融管理局网站:https://www.hkma.gov.hk/chi/key-information/press-releases/2018/20181026-6.shtml,最后更新日期2018年10月26日。
11 "two-factor authentication (2FA)," Search Security, https://searchsecurity.techtarget.com/definition/two-factor-authentication, accessed November 9, 2018.
12 "Three-factor authentication: Something you know, something you have, something you are," Gemalto, https://blog.gemalto.com/security/2011/09/05/three-factor-authentication-something-you-know-something-you-have-something-you-are/, last modified September 5, 2011.
13 「PayMe户口失守 警方:多名市民报案 刑事调查队跟进」。取自苹果财经网站:https://hk.finance.appledaily.com/finance/realtime/article/20181109/58895153,最后更新日期2018年11月9日。
14 「PayMe程序更新堵漏洞 手机登入不能更改号码」。取自ezone网站:https://ezone.ulifestyle.com.hk/article/2205668/PayMe%20程序更新堵漏洞%20手机登入不能更改号码,最后更新日期2018年11月11日。
15 「PayMe电邮失陷 汇丰20用户损10万 专家:疑国泰泄密后遗」。取自苹果新闻网站:https://hk.news.appledaily.com/local/daily/article/20181109/20542173,最后更新日期2018年11月9日;"two-factor authentication (2FA)," Search Security, https://searchsecurity.techtarget.com/definition/two-factor-authentication, accessed November 9, 2018.
16 「安全网上购物」。取自Visa网站:https://www.visa.com.hk/zh_HK/pay-with-visa/security/secure-online-shopping.html,查询日期2018年11月1日。
17 「【科技世界】手机电话号码被骑劫」。取自SBS网站:https://www.sbs.com.au/yourlanguage/cantonese/zh-hant/audiotrack/technology-world-your-mobile-phone-number-could-be-hijacked?language=zh-hant,最后更新日期2017年7月19日。
18 "Reddit Should Tell Us More About How it Got Hacked," Motherboard, https://motherboard.vice.com/en_us/article/ne54yw/reddit-hack-sim-swapping, last modified August 4, 2018; "The SIM Hijackers," Motherboard, https://motherboard.vice.com/en_us/article/vbqax3/hackers-sim-swapping-steal-phone-numbers-instagram-bitcoin, last modified July 17, 2018.
19 "We had a security incident. Here's what you need to know," Reddit, https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to /, accessed November 6, 2018.
20 "Reddit Should Tell Us More About How it Got Hacked," Motherboard, https://motherboard.vice.com/en_us/article/ne54yw/reddit-hack-sim-swapping, last modified August 4, 2018.
21 「渣打年底推『无卡提款』 手机扫瞄二维码即攞钱」。取自思考HK网站:http://www.thinkhk.com/article/2018-10/09/30094.html,最后更新日期2018年10月9日。
22 「渣打推无卡提款 扫二维码取钱」。取自星岛日报网站:http://std.stheadline.com/daily/article/detail/1888468-财经-渣打推无卡提款 扫二维码取钱,最后更新日期2018年10月9日。
23 「如何启动SC Mobile Key?」。取自渣打银行香港网站:https://www.sc.com/hk/zh/bank-with-us/sc-mobile-key-howto/,查询日期2018年11月6日。
24 「渣打QR Cash服务的条款及细则」。取自渣打银行网站:https://www.sc.com/hk/zh/bank-with-us/app-sc-mobile/qr-cash-tnc/,查询日期2018年11月1日。
25 "Cardless ATM Access," Chase, https://www.chase.com/digital/atms/cardless-nfc, accessed November 1, 2018.
26 同25。
27 同24。
28 「条例简介」。取自香港个人资料私隐专员公署网站:https://www.pcpd.org.hk/tc_chi/data_privacy_law/ordinance_at_a_Glance/ordinance.html,查询日期2018年11月6日。
29 "Tech Companies Are Pushing Back Against Biometric Privacy Laws," Bloomberg, https://www.bloomberg.com/news/articles/2017-07-20/tech-companies-are-pushing-back-against-biometric-privacy-laws, last modified July 20, 2017.
30 「诈骗App一扫指纹抢$688」。取自苹果新闻网站:https://hk.news.appledaily.com/local/daily/article/20181108/20540955,最后更新日期2018年11月8日。