時事分析 | 創新及科技發展 | 2018-11-23 | 《經濟日報》

當騙徒擁有你的個人資料 如何為存款把關?



今年全球多間知名企業爆出資料外洩,Facebook[1]、Google[2],以至本地的國泰航空,皆一度是主角。不少成為苦主的香港人,其信用卡號碼、護照號碼、香港身份證號碼等極為隱私的資料,可能已「流出公海」。[3]教人震驚的是,涉事企業不乏業界翹楚,有些更屬科網巨企,但尚且未能阻止用戶資料流到「有心人」手上。

最近更有傳媒揭發,指本港兩大電子錢包WeChat Pay和Alipay HK存在漏洞,騙徒可透過儲值電話卡開設戶口,綑綁經不法途徑獲得的信用卡資料,包括卡號碼、最後到期日和保安碼等,為電子錢包增值,再把款項偷走。[4]

今時今日,談「資訊保安」,已不能局限於研究如何避免個人資料外洩,因為當市民部分個人資料已被他人掌握,不法之徒利用這些資料招搖撞騙,恐怕會更為常見。在此前提下,一些涉及個人財產安全的關鍵環節,應如何更謹慎地進行「身份驗證」,以防騙徒得手,應是未來的關注重點。

隨着技術發展 個人私隱訊息邊界也會不斷變化

事實上,互聯網應用日益普及,就算沒有上述的資料外洩,很多人的身份已較昔日公開。澳洲生產力委員會在去年3月發表一份有關數據使用的報告就留意到,人們心目中的個人資料,會隨着技術進步和新的數碼產品不斷變化,例如人們會透過社交媒體分享個人訊息[5]──在互聯網初流行時,網上世界多是匿名活動,但現時許多人在Facebook均不忌諱以實名示人。

近年網上配對僱主及僱員的「零工經濟」漸趨流行,也可能加劇個人資料「流出公海」的問題。例如早前有求職者在網上看到一份散工招聘廣告[6],並按「僱主」要求提供銀行帳戶號碼和身份證照片後,即被人利用「轉數快」提走銀行帳戶近十萬元存款。令人懷疑是有騙徒扮成僱主,利用部分電子錢包的身份確認程序漏洞,以受害人的身份證和銀行帳戶號碼等個人資料,冒充受害人開設電子錢包帳戶,再轉走受害人的銀行款項,存入自己的支付寶HK和拍住賞帳戶。[7]香港電訊承認,如欲登記拍住賞服務,用戶只須下載有關手機錢包,上傳其有效身份證明文件,即可開設帳戶。[8]

不同機構身份認證標準不一 互通易生問題

上述案例在在顯示,單憑部分個人資料核實用家身份,今時今日已不再足夠。特別要注意的是,過去市民的資金安全通常是由銀行承擔,而銀行也會採用較嚴謹的身份認證程序,出事機會不大。不過,隨着不同金融產品和服務推出,一些涉及錢銀交收的身份核實工作,已交到更多不同機構身上。它們核實用戶身份的嚴謹程度不同,當中標準較寬鬆的,便成為騙徒目標,藉其「逆向」提取需要嚴謹核實身份的銀行帳戶存款。上述的「轉數快」失竊事件,正是箇中例子。

「轉數快」失竊事件後,金管局即要求儲值支付工具營運商改善流程,包括一,用戶接收銀行發出的電話短訊以確認開設「電子直接扣帳授權」(eDDA[9]);二,要求用戶從有關銀行戶口作一次轉帳到自己的電子錢包,以確認電子錢包用戶是銀行戶口持有人;或三,銀行雙重認證(Two-factor Authentication, 2FA)。[10]

在概念上,金管局這三招各有根據,第一招是假設當事人會隨身攜帶手機,身份認證就直接交由本人確認;第二招是讓身份核實流程回歸銀行帳戶持有人;第三招則是要求電子錢包的身份核實程序,要與銀行採用相同標準,當中的2FA,指的是在三個認證面向中,最少須同時符合雙重認證準則。[11]這三個認證面向,分別是:你知道的東西(如帳戶密碼)、你擁有的東西(如提款卡),和你的東西(如指紋)。[12]市民在使用ATM提款時必須持有銀行提款卡和知道密碼,就是2FA。

就近日滙豐旗下電子錢包PayMe遭入侵,致20名客戶損失約10萬元,有資訊安全專家認為,事件或緣於企業大規模洩密,令騙徒得到用戶的身份證或生日等資料[13],再「撞破」用戶電郵及PayMe帳戶密碼[14],但如果電子錢包和電郵帳戶都有採取雙重認證,就不致讓騙徒輕易得手。[15]

短訊認證非絕對安全 應用程式可取而代之?

同樣道理,若儲值支付工具營運商能執行金管局上述「三招」,相信eDDA的漏洞可被堵塞。當然,這並不是說騙徒從此便無從入手。

舉例來說,現時不少尋求遙距「本人」認證的方式,是通過發送短訊到當事人手機,如Visa的驗證服務,就可在網上付款時由銀行透過短訊傳送一次性密碼,以確認是由卡主本人操作。[16]問題是,如果卡主的電話卡被「騎劫」[17],騙徒還是有機可乘。

在美國,「SIM卡騎劫」(SIM Hijacking)被視為一項日益嚴重的資訊安全風險,當騙徒得悉目標的電話號碼,再偽裝成對方前往電訊公司,訛稱丟失了SIM卡,要求把電話轉移至新的SIM卡上,一旦電訊公司的職員沒有足夠警覺,或是身份驗證程序不夠嚴謹,被騙徒蒙混過關,事主手機驗證碼就會被攔截成功。[18]在今年8月,電子布告欄系統Reddit承認用戶數據被盜,表示在2FA情況下,對方仍通過攔截SMS成功破解[19],被資訊安全專家認為與SIM卡騎劫有關。[20]

SIM卡可被騎劫,一些本地銀行,已開始使用在手機短訊以外的方式驗證用戶身份。舉例來說,擬推出無卡提款QR Cash服務的渣打銀行[21],讓客戶可預先在手機設定提款金額及幣種,再利用手機掃描自動櫃員機顯示的二維碼提款。[22]其條款細則提及,若用戶使用該服務,必須啓動流動裝置上的虛擬流動保安編碼器,其密碼須另行設定[23],毋須再透過短訊獲取一次有效密碼。[24]

有甚麼比雙重認證更有保障? 答案是再加一重認證

一般來說,現代人手機多隨伺在側,透過行動裝置確認身份,多一重保險,比起單純使用個人資料自然更為可靠。在美國,摩根大通子公司大通銀行(Chase)就推出一項服務,透過Apple Pay、Google Pay或Samsung Pay的電子錢包,將提款卡「虛擬化」成為電子卡,客戶在提款時只需將手機錢包打開,再將手機接觸櫃員機的指定位置,即可如常輸入密碼提款。[25]

這種「無卡提款」模式比上述QR Cash更為徹底,因為毋須預先在手機設定,而是直接將傳統實體提款卡化為手機虛擬卡。比起傳統2FA──用銀行實體提款卡,再配搭以帳戶密碼提款──這種「無卡提款」模式更安全的地方在於,除了依然需要帳戶密碼(「你知道的東西」),和個人智能手機(「你擁有的東西」),如果客戶也採用智能手機內置的指紋認證或面部辨識功能(「你的東西」)[26],便等同在2FA之外再加一重認證,成為3FA。

認證模式愈多 牽涉持份者愈廣 個人把關責任愈重大

當然,天下沒有萬無一失的認證模式,過於依賴行動裝置,也可能令安全風險更為集中。上述渣打銀行QR Cash的服務條款就提及,客戶必須保護流動裝置,及為所有使用流動裝置連結及服務的行為負上責任,不論是否經過其授權。[27]

此外,隨着銀行相繼推出更為安全可靠的驗證模式,其他與市民帳戶安全相關的持份者是否跟得上,也需要持續關注。除了上文提及的儲值支付工具和電訊公司,隨着傳統個人資料,例如姓名、電話號碼、地址和身份證號碼等[28]不再是秘密,身份驗證或需配搭更多生物識別信息。就此,美國已有州份立法規範指紋、虹膜和面部掃描的商業用途。[29]

日前就有傳媒揭發多個iPhone應用程式,被指在沒有清楚說明用途及金額的情況下,誤導用戶按下指紋,獲取授權支付數百元款項。有資訊安全專家強調,用戶的指紋、面孔和瞳孔等生物認證,相等於密碼,勿提供予不知名應用程式。[30]

總括而言,驗證方式愈趨多元,核實身份固然更有把握,但同時也更需要社會不同持份者做好把關工作。對市民來說,今後如果想享受更便捷的服務,同時又保障帳戶安全,也不能過於依賴單一權威(例如銀行)。在多重驗證的時代,只有自己才是「多頭馬車」的真正駕駛者。

1 「Facebook承認資料外洩涉8700萬用戶 朱克伯格致歉」。取自香港經濟日報網站:https://topick.hket.com/article/2044379/,最後更新日期2018年4月5日。
2 「50萬帳戶私隱外洩 Google拒即時對外公布」。取自東網網站:https://hk.on.cc/hk/bkn/cnt/news/20181009/bkn-20181009021631597-1009_00822_001.html,最後更新日期2018年10月9日。
3 「內幕消息:資料外洩事件」。取自披露易網站:http://www3.hkexnews.hk/listedco/listconews/SEHK/2018/1024/LTN20181024758_C.pdf,最後更新日期2018年10月24日。
4 「港人信用卡資料『熱賣』 支付寶 微信支付 淪賊人提款機」。取自蘋果新聞網站:https://hk.news.appledaily.com/local/daily/article/20181102/20536389,最後更新日期2018年11月2日。
5 "Data Availability and Use," Australian Government Productivity Commission, March 2017, pp.34 and 53.
6 「求職女墮騙局 轉數快陷阱 一晚轉走10萬元」。取自蘋果新聞網站:https://hk.news.appledaily.com/local/daily/article/20181025/20530263,最後更新日期2018年10月25日。
7 「『轉數快』爆增值漏洞 求職者被提取10萬蚊」。取自unwire網站:https://unwire.hk/2018/10/25/fpseddaexploit/tech-secure/,最後更新日期2018年10月25日。
8 「『轉數快』轉賬漏洞騙案 Tap & Go、AlipayHK回應」。取自unwire.pro網站:https://unwire.pro/2018/10/25/fps-2/news/,最後更新日期2018年10月25日。
9 eDDA是附屬於「轉數快」的增值服務。根據香港銀行同業結算有限公司介紹,eDDA旨在支援付款人的預設授權,透過在轉數快啟動的直接扣帳支付,從付款人戶口扣帳,並適用於各種直接扣帳支付,例如收款人啟動的戶口增值、繳付帳單,以及電子商貿支付等。簡言之,在eDDA模式下,用戶可通過支付寶HK等電子錢包,直接從自己的銀行戶口扣帳,過程中的身份核實責任則由金融機構轉移到電子錢包身上,付款人的銀行只需核實用戶銀行戶口號碼及由電子錢包提供的保證書,便可接納eDDA。我們為八達通申請「自動增值服務」,因為沒有eDDA,在程序上就必須先向金融機構遞交申請,八達通才會啟動自動增值功能。資料來源:「轉數快提供哪些服務」。取自香港銀行同業結算有限公司網站:https://fps.hkicl.com.hk/chi/fps/about_fps/what_fps_offers.php,查詢日期2018年11月1日;「自動增值服務立即申請」。取自八達通網站:https://www.octopus.com.hk/tc/consumer/octopus-cards/aavs/sign-up/index.html,查詢日期2018年11月1日。
10 「金管局加強設立電子錢包直接扣帳授權服務的認證要求」。取自香港金融管理局網站:https://www.hkma.gov.hk/chi/key-information/press-releases/2018/20181026-6.shtml,最後更新日期2018年10月26日。
11 "two-factor authentication (2FA)," Search Security, https://searchsecurity.techtarget.com/definition/two-factor-authentication, accessed November 9, 2018.
12 "Three-factor authentication: Something you know, something you have, something you are," Gemalto, https://blog.gemalto.com/security/2011/09/05/three-factor-authentication-something-you-know-something-you-have-something-you-are/, last modified September 5, 2011.
13 「PayMe戶口失守 警方:多名市民報案 刑事調查隊跟進」。取自蘋果財經網站:https://hk.finance.appledaily.com/finance/realtime/article/20181109/58895153,最後更新日期2018年11月9日。
14 「PayMe程式更新堵漏洞 手機登入不能更改號碼」。取自ezone網站:https://ezone.ulifestyle.com.hk/article/2205668/PayMe%20程式更新堵漏洞%20手機登入不能更改號碼,最後更新日期2018年11月11日。
15 「PayMe電郵失陷 滙豐20用戶損10萬 專家:疑國泰洩密後遺」。取自蘋果新聞網站:https://hk.news.appledaily.com/local/daily/article/20181109/20542173,最後更新日期2018年11月9日;"two-factor authentication (2FA)," Search Security, https://searchsecurity.techtarget.com/definition/two-factor-authentication, accessed November 9, 2018.
16 「安全網上購物」。取自Visa網站:https://www.visa.com.hk/zh_HK/pay-with-visa/security/secure-online-shopping.html,查詢日期2018年11月1日。
17 「【科技世界】手機電話號碼被騎劫」。取自SBS網站:https://www.sbs.com.au/yourlanguage/cantonese/zh-hant/audiotrack/technology-world-your-mobile-phone-number-could-be-hijacked?language=zh-hant,最後更新日期2017年7月19日。
18 "Reddit Should Tell Us More About How it Got Hacked," Motherboard, https://motherboard.vice.com/en_us/article/ne54yw/reddit-hack-sim-swapping, last modified August 4, 2018; "The SIM Hijackers," Motherboard, https://motherboard.vice.com/en_us/article/vbqax3/hackers-sim-swapping-steal-phone-numbers-instagram-bitcoin, last modified July 17, 2018.
19 "We had a security incident. Here's what you need to know," Reddit, https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to /, accessed November 6, 2018.
20 "Reddit Should Tell Us More About How it Got Hacked," Motherboard, https://motherboard.vice.com/en_us/article/ne54yw/reddit-hack-sim-swapping, last modified August 4, 2018.
21 「渣打年底推『無卡提款』 手機掃瞄二維碼即攞錢」。取自思考HK網站:http://www.thinkhk.com/article/2018-10/09/30094.html,最後更新日期2018年10月9日。
22 「渣打推無卡提款 掃二維碼取錢」。取自星島日報網站:http://std.stheadline.com/daily/article/detail/1888468-財經-渣打推無卡提款 掃二維碼取錢,最後更新日期2018年10月9日。
23 「如何啟動SC Mobile Key?」。取自渣打銀行香港網站:https://www.sc.com/hk/zh/bank-with-us/sc-mobile-key-howto/,查詢日期2018年11月6日。
24 「渣打QR Cash服務的條款及細則」。取自渣打銀行網站:https://www.sc.com/hk/zh/bank-with-us/app-sc-mobile/qr-cash-tnc/,查詢日期2018年11月1日。
25 "Cardless ATM Access," Chase, https://www.chase.com/digital/atms/cardless-nfc, accessed November 1, 2018.
26 同25。
27 同24。
28 「條例簡介」。取自香港個人資料私隱專員公署網站:https://www.pcpd.org.hk/tc_chi/data_privacy_law/ordinance_at_a_Glance/ordinance.html,查詢日期2018年11月6日。
29 "Tech Companies Are Pushing Back Against Biometric Privacy Laws," Bloomberg, https://www.bloomberg.com/news/articles/2017-07-20/tech-companies-are-pushing-back-against-biometric-privacy-laws, last modified July 20, 2017.
30 「詐騙App一掃指紋搶$688」。取自蘋果新聞網站:https://hk.news.appledaily.com/local/daily/article/20181108/20540955,最後更新日期2018年11月8日。