港人信用卡資料「熱賣」
支付寶 微信支付 淪賊人提款機
本港不少商舖推廣支付寶在內的電子錢包消費。
【本報訊】繼「轉數快」客戶早前遭人盜財後,《蘋果》發現本港兩大熱門電子錢包微信支付(WeChat Pay)及支付寶(Alipay)均出現漏洞,若騙徒使用太空卡(儲值電話卡)開設電子錢包戶口,有機會藉着綑綁他人信用卡,暗地從該信用卡提取現金為電子錢包增值,再把犯罪得益轉移偷走。據悉,近月內地暗網(Dark Web)大量出售不法的信用卡資料圖利,更「一條龍」教人如何利用電子錢包把受害人信用卡的錢偷走,受害卡主包括不少港人,專家促市民小心提防。
記者:郭美華 黃學潤 張 軍
「我覺得好恐怖」、「真係好驚」、「個人資料外洩真係唔知點算」,以上都是《蘋果》經調查之後找出來的受害人心聲,他們均在網上消費之後遭盜取信用卡資料,結果被騙徒盜取金錢。
賣家稱一次最多賺$3,000
本報記者聯絡到一名曾經進入暗網購買他人信用卡資料的「中間人」Billy,他透露一班「網絡扒手」覷準香港支付寶及微信支付不一定要用實名登記,即是使用太空卡也可以開戶及綑綁信用卡及轉賬的漏洞,透過暗網購入大量他人的信用卡資料,然後經電子錢包從信用卡提款盜財,並且將之變成大生意,因為「以前要喺人哋嘅信用卡轉現金出來,幾乎係冇可能,但有咗電子錢包就方便得多」。
內地暗網的「菜商(賣家)」發現此新漏洞亦順水推舟,出售以不法途徑偷來的大量信用卡資料,包括卡號碼、最後到期日、保安碼等,甚至會教買家如何利用電子錢包綑綁偷來的信用卡圖利,聲稱一次得手最多可賺3,000元。
據Billy親身示範,「犯案」首先要用太空卡開設一個非實名的香港支付寶戶口,然後利用從暗網購來的信用卡用戶資料綁定新開的支付寶戶口,便可用信用卡轉賬現金到另一支付寶戶口的錢包內;又或在淘寶網購買名為「微信錢包充值」貨品,其功能就如找換店,可把騙徒支付寶戶口盜來的港元轉換人民幣,再充值到微信錢包內套現,充值每日上限為3,000港元(扣除費用後約2,600人民幣)。
兩分鐘可轉錢 卡主難阻
Billy坦言,以往網絡扒手會將偷來或買來的信用卡資料透過網上消費套現,但隨着信用卡網上交易保安改善及引入SMS驗證碼,令冒認卡主網上購物越來越難。不過若利用支付寶綁定盜來的信用卡資料,有機會可快速盜走現金,「一般兩分鐘就能將錢轉到微信錢包,當受害的卡主收到短訊通知時,交易早已完成,卡主欲致電銀行阻止已來不及,且毋須露面減低被捕風險」。據他所知,近兩、三個月有數十名網絡扒手利用此手法犯案,估計很多卡主包括香港人中招,損失每日或達數十萬元。
記者以同一方法實測香港微信支付,發現可用太空卡開設新的微信支付賬戶,且同樣可綁定第三者的信用卡,其間發卡銀行未有發出SMS驗證碼核實綁卡者的身份。成功綁卡後,記者可透過「發利是」方式,在卡內發放100元利是給另一人的香港微信錢包,成功把信用卡的現金轉移,顯示微信支付亦有類似轉賬漏洞。
市民心聲
Cony:
「冇實名登記,都唔知邊個用邊個啲錢。有朋友用電子支付嘅app,但無法進入,懷疑被人盜用,要打好多電話嚟解決。」
文小姐:
「呢個係好大漏洞,咁簡單就盜取信用卡啲錢。我嘅支付寶戶口冇綁任何信用卡或銀行戶口,每次購物,要去便利店入錢到戶口,希望香港都用實名登記。」
https://hk.news.appledaily.com/local/daily/article/20181102/20536391
私隱盡洩 受害人:好恐怖
Bobo被盜用信用卡資料購買網上遊戲,對犯罪集團持有其個人資料感憂慮。張軍攝
【本報訊】《蘋果》調查發現,大批信用卡用戶資料在內地暗網熱賣,資料齊全,令人震驚,包括卡主的英文全名、卡號、到期日、安全碼、來自地區,甚至卡主的電郵、手機號碼、地址等等,私隱蕩然無存。記者按照「網絡扒手」在暗網買來的信用卡資料,聯絡到多名受害卡主,發現大部份卡主都是香港人,其餘則包括內地、台灣、新加坡及新西蘭等地。受害人多表示近日曾經被盜用信用卡,遭賊人冒名在網上購物15至100美元不等,不勝其煩,更加有受害人覺得情況恐怖。
「唔知罪犯會用嚟做乜」
江小姐稱以為信用卡被盜只要cut卡就可以,但最後資料仍然外洩。
從事銀行業的港人江小姐對於記者能準確講出其全名、電郵地址等資料大感驚訝:「好震驚,信用卡被盜用,以為cut卡就得,點知你哋都搵到我,證明資料仍然外洩!」她自言平日愛網上購物,但兩個多月前發現其中一張渣打卡被碌了5次共100美元,幸及時通知銀行。「最奇怪係,今次俾人碌卡竟然冇收到銀行發出驗證碼通知」。她直言難以估計其信用卡資料如何外洩,「我登記過支付寶、又曾喺網上買機票等,真係唔知邊度漏出嚟」。
另一受害人BoBo是教師,她指約三個月前的凌晨,突然收到銀行電郵通知,指她的渣打信用卡在同一時間有三筆分別20美元的交易,「我即刻打電話查詢,銀行話實際有五筆交易,每宗20美元,係買網上遊戲」。她指自己不玩網上遊戲,遂要求銀行中止該張信用卡,幸一個月後獲銀行退款,但她對犯罪集團持有其電話、姓名、電郵等個人資料大感憂慮及無助,「資料咁詳細,真係幾驚,唔知罪犯最終會用嚟用做乜,真係好恐怖!」但最令她感到可疑的是,信用卡被盜用前一日,她曾首次登記支付寶戶口,並綁定涉事信用卡在淘寶網購物。
■記者郭美華
https://hk.news.appledaily.com/local/daily/article/20181102/20536362
黑市買資料 200人幣有交易
記者加入一個叫「青青草原」的群組,接觸到「菜商」。
【本報訊】大批信用卡卡主資料在內地暗網大舉出售,但該群組為防執法人員放蛇,故保安嚴密,記者憑中間人Billy提供的暗號,成功接觸群組管理員,並獲批准加入一個叫「青青草原」的群組,接觸到大量「菜商」(黑巿個人資料賣家)。據悉每個群組有數百至千人在線,記者在群組提出欲購買香港信用卡資料,不足兩秒即有人回應說「有貨」,當中有「菜商」更自稱手上有多達6,000條信用卡資料,每條資料售價約200元(人民幣.下同)。
「菜商」ICQ溝通避追查
Billy透露,暗網內尚有多個出售信用卡資料群組,信用卡資料來自世界各地,除香港之外,還包括美國、日本、台灣、澳洲、新加坡等,據悉有賣家從事機票訂購生意,故容易搜集來自世界各地的大量信用卡資料,甚至個人資料。
記者取得其中一份資料,發現非常詳盡,包括卡主姓名、卡號碼、到期日、安全碼、來自地區,甚至卡主電郵和電話,每條信用卡資料也訂下使用期限,估計是如有人在期限前沒使用,賣家就會將資料轉售他人。記者更發現,部份卡主來自新加坡、新西蘭、台灣、美國,小量更列出卡主住址。
據悉,該批信用卡資料收費以每張卡計算,其中香港信用卡每條資料為200元,日本和澳洲分別為230及210元、台灣為190元、美國為110元,新加坡為180元;當中亦有分為3C和免3C,其中免3C貴數十元,主要因為利用該信用卡消費時毋須驗證。當在群組內有「菜商」接單,他們就會轉用ICQ跟罪犯溝通,因ICQ會每日清走聊天紀錄,比較安全。
至於網絡扒手要將現金神不知鬼不覺地轉走,Billy稱他們會在內地暗網購買一套俗稱「四寶」的假身份,用以開設一個實名的微信支付戶口,該假身份一般是內地農民自願出售的個人資料,每個身份包括身份證、內地銀行提款卡、手機卡和一個網上消費賬戶,僅需800元。只要獲得一套「四寶」,騙徒可以將錢轉到該實名的內地微信賬戶,並以該農民的提款卡在內地櫃員機肆意提取。
■記者黃學潤
https://hk.news.appledaily.com/local/daily/article/20181102/20536364
發卡機構無SMS驗證成漏洞
記者測試時成功用支付寶戶口綑綁第三者信用卡,再成功轉賬。
【本報訊】今次網絡扒手的手法,與之前全城關注的「轉數快」騙徒類似,都是利用部份電子錢包進行高風險交易(綁信用卡或銀行戶口)時無使用SMS驗證碼的保安漏洞。《蘋果》近日測試發現風險仍未消除,因記者以支付寶及微信支付電子錢包戶口綑綁第三者的安信「EARNMORE VISA」卡時,發卡機構沒向卡主發出SMS驗證碼,令記者能冒認卡主把該信用卡綑綁到記者的支付寶及微信支付戶口。記者其後從這張第三者信用卡提取數十元,經兩大電子錢包轉賬給他人,證實轉賬漏洞仍在。
記者亦曾以太空卡開設四大電子錢包新戶口(支付寶、微信支付、Apple Pay及Google Pay),並嘗試綑綁匯豐、恒生、中銀、渣打及星展五銀行的第三者信用卡,但均告失敗,理由是五大行在綁卡過程均會向卡主真實手機號碼發出SMS驗證碼,防止他人冒認卡主。
支付寶:未收舉報
《蘋果》向香港支付寶查詢,發言人稱沒接獲有人利用支付寶盜取他人信用卡金錢的求助或舉報個案;若真的懷疑被盜用,公司會協助事主調查並對可疑賬戶採取適當措施。
對香港支付寶未有強制新用戶要作實名登記致可能有保安風險,該公司回應指新用戶只需一個電話號碼即可作日常基本交易,是因為要平衡用戶私隱。但當發現賬號存在較大風險時,公司會核實用戶身份,對國際匯款等交易也會要求用戶提供身份認證,該公司會定期評估安全措施。
■記者郭美華、陳志偉
沒有留言:
張貼留言