2019年2月26日 星期二

黑客新招 SMS飛線偷驗證碼 電子錢包任提款

https://hk.news.appledaily.com/local/daily/article/20190226/20620996

黑客新招 SMS飛線偷驗證碼
電子錢包任提款


林女士疑遭飛線賊攻破電子錢包及郵件取得她個人資料,遭申請信用卡狂碌逾18萬元。
周子惇攝

 
【本報訊】經SMS接收驗證碼才能登入賬戶,本是令人安心的額外保安措施,但卻因電訊商SMS轉駁(俗稱飛線)服務,令保密變洩密。有受害人去年尾突「被申請」SMS飛線,三日內遭截取電郵及多個電子錢包的登入驗證碼,再被盜取個人資料購買遊戲點數及申請信用卡,花費逾18萬元。《蘋果》實測SMS飛線截取驗證碼過程,成功登入他人支付寶賬戶並過數到自己戶口。金管局八年前規定,涉及銀行密碼的SMS不能被飛線,卻沒與時並進規管電子錢包,立法會議員批評金管局疏忽。《蘋果》發現漏洞後向金管局查詢,局方翌日才急補鑊,通知電子錢包營運商引用銀行同類措施。
記者:龔蕙芝


慘成手機洩密受害者的林女士已退休,是3香港客戶,也是早前國泰洩密事件受影響客戶。她憶述,去年12月22日手機接連收到由Yahoo電郵、PayMe發出的驗證碼SMS,「我諗佢都睇唔到我個驗證碼,唔會入到我Email,應該唔使擔心嘅」。翌日,她再收到SMS指成功以1,280元購買遊戲點數,當時因不涉信用卡資料,以為不會過數,故不以為意。

申請新卡狂碌18萬


至24日深夜,其手機陸續收到亞洲萬里通及支付寶的驗證碼SMS,及來電飛線已啟動的通知,之後林甚至不能登入亞洲萬里通及支付寶賬戶,她馬上報警並向3香港查詢,豈料職員告知她,早前購買的遊戲點數是經電訊商網站購買,除了來電飛線,其SMS亦被申請飛線。「我嗰刻先恍然大悟,知道點解不斷有咁多驗證碼嚟,周身唔安樂」,她透過電話要求職員停止SMS飛線服務,惟翌日到門市時再度發現SMS被飛線,最終要付費100元,申請以後需親身到門市辦理飛線服務。

由於林的Yahoo電郵內有其身份證等副本,網絡保安專家估計「飛線賊」獲取驗證碼後,逐步攻陷林的電郵及電子錢包,掌握她個人資料及銀行資訊後立即申請信用卡,取卡後即大肆購買電子產品,花去逾18萬元。林因多個電子錢包都沒綁定信用卡資料而未有電子錢包損失。

雖然銀行最後豁免該筆竊款,惟林直言此事帶來極大精神困擾,擔心個人資料日後會被用來借貸或有其他損失。她已更改電話號碼、刪除電郵及電子錢包賬戶,並提醒其他用戶,「呢啲驗證碼係可以藉住個飛短訊服務,隨時去到黑客手上,係好危險嘅事」。

《蘋果》嘗試單靠姓名、身份證及手提電話號碼,測試SMS飛線及截取電子賬戶的驗證碼,發現即使並非用戶本人,仍可向電訊商申請SMS飛線,之後再靠身份證及手提電話號碼,登入用戶的網上賬戶啟動SMS飛線,隨後就可從第三方手機,截取部份電子錢包驗證碼,包括支付寶和WeChat Pay,其中更可操控支付寶戶口並過數。

金管局接查詢後急補鑊

3香港發言人稱經設定SMS轉駁服務後,所有短訊會轉發至預設號碼,惟銀行公會下的金融機構發出的短訊不會被轉發;至於涉及電子錢包的SMS飛線,發言人未有回應。警方指接獲事主報案,案件列盜竊及以欺騙手段取得財產調查,未有人被捕。

金管局2011年發出指引,要求銀行不可將一次性密碼的短訊,傳送至SMS飛線的其他手機號碼,但對於近年興起的儲值支付工具,卻一直沒採用相同準則。

《蘋果》上周向金管局查詢,翌日局方急補鑊,突通知所有電子錢包營運商,要求引用「一次性密碼轉發禁用」措施。其後金管局發言人回應稱部份電子錢包營運商例如PayMe及Tap&Go,早已自行實施相關規定,仍未實施的營運商包括支付寶香港、TNG及WeChat Pay HK則已表示,短期內會落實相關安排。
https://hk.news.appledaily.com/local/daily/article/20190226/20620998

專家:應採雙重認證

楊和生指因SMS易被截取,故建議用戶盡量選擇其他認證功能。資料圖片

【本報訊】個人資料外洩或觸發的危機備受關注,上月底,個人資料私隱專員公署公佈機構通報個人資料外洩數字達129宗,較前年106宗升22%,創近年新高。現時推算港人平均有2.5個電子錢包,電腦保安專家認為,近年電子錢包盛行,黑客易利用外洩個人資料盜取市民賬戶,呼籲市民時刻提高警覺。

首次登入賬戶即改密碼


根據金管局最新資料,去年第三季本港電子錢包賬戶總數達5,410萬個,扣除當中約3,500萬張是八達通,以統計處數字全港約750萬人計算,港人人均有2.5個電子錢包;至於季度總交易金額更高達447億元,反映港人越來越倚賴電子錢包作網上購物及個人轉賬,電子錢包的網絡保安亦越受重視。

「唔會今日漏(資料),聽日就hack你嘅,可能隔咗成年幾之後先嚟做呢件事,所以唔可以掉以輕心」。香港資訊科技商會榮譽會長方保僑指出,未有電子錢包前,黑客要花費很多工夫,才能從市民的資料找出「財路」,惟現時太多電子服務及應用程式涉及個人財務,故個人資料變得更加重要。

香港互聯網協會網絡保安及私隱小組召集人楊和生亦指,現時身份證號碼在日常生活很多情況下容易外洩,電訊商不應以此作為預設密碼,用戶首次登入賬戶後應立即更改密碼。

市民使用任何電子錢包、電子金融服務、電郵、通訊應用程式時,應採用雙重認證;同時要多留意SMS,監察個人SMS及來電有否被飛線,一旦發現無故收到SMS傳來驗證碼,就要立即通知營運商。楊另建議,用戶可盡量選擇其他認證功能,因SMS始終易被截取,現時有提供驗證的其他方式,例如Google Authenticator等認證方法,相對SMS較安全。

■記者龔蕙芝

 https://hk.news.appledaily.com/local/daily/article/20190226/20621000

議員轟金管局把關不力

莫乃光指近年SMS驗證碼越來越多私隱風險,加上電子錢包盛行,金管局更應正視問題。資料圖片

【本報訊】對於電子錢包的驗證碼,或會被賊人經SMS飛線轉至另一手機獲取,立法會議員批評金管局沒有做好把關角色,促局方盡快規管;電子錢包的營運商亦須正視外洩風險,主動向電訊商提供資料,阻截驗證碼被轉駁,堵塞保安漏洞。

SMS認證落後

資訊科技界立法會議員莫乃光指,金管局2011年實施監管銀行不可轉發一次性密碼至轉駁手機號碼,不明白為何2016年立例規管電子錢包時沒有制訂相同指引,「係疏忽同睇漏,點會冇用到(銀行指引)準則?」他認同近年SMS驗證碼越來越多私隱風險,加上電子錢包盛行,金管局更應正視問題,「成件事金管局責任一定最大」。其次是電子錢包營運商,低估了SMS飛線的風險。

香港資訊科技商會榮譽會長方保僑補充,去年國泰及環聯等機構接連爆出洩密事故,涉及逾千萬客戶,相信類似案件「陸續有嚟」,且越來越嚴重。他認為,電訊商要嚴格批核用戶SMS飛線的申請,例如要求機主親身到門市辦理或預繳按金,增加犯案成本。他認為,以SMS驗證碼作為保安措施已很落後,而且風險很高,容易被截取,業界應全面採用兩步驟驗證等方式,堵塞洩密漏洞。

■記者龔蕙芝
https://hk.news.appledaily.com/local/daily/article/20190226/20620811

密碼入身份證即啟動飛線
輕易攻破csl. 操控支付寶

《蘋果》實測發現,第三方容易以csl.飛線漏洞,奪去他人支付寶賬戶轉走金錢。

【本報訊】SMS飛線惹驗證碼外洩危機,《蘋果》實測不同電訊商發送電子錢包驗證碼的SMS飛線情況,發現第三方只需獲取客戶簡單個人資料,即使並非本人,也可啟動SMS飛線服務,尤以csl.的保安程度最低。熱門電子錢包中,支付寶及WeChat Pay均失守,會因SMS飛線被截取驗證碼,其中登入支付寶後,更可更改原有客戶密碼,甚至操控賬戶過數。
記者:龔蕙芝 李錦欣

去年國泰及環聯等機構接連爆出洩密事故,共外洩逾千萬個客戶資料,包括姓名、電話號碼、身份證號碼、出生日期及住址等。網絡保安專家曾指外洩資料或被黑客放上Dark Web永久保存。《蘋果》測試SMS「被飛線」情況,發現六大電訊商中,數碼通、中移動、中聯通及香港寬頻,都沒提供SMS飛線服務,只有3香港及csl.提供SMS飛線。

3香港致電確認阻申請

趙炳權

記者以第三方手機,致電3香港及csl.客戶服務熱線,申請SMS飛線。csl.僅需原機主姓名、電話號碼、身份證及回答一個簡單問題,例如原機主支付電話費形式(現金或銀行轉賬),即獲審核申請。至於3香港,職員會再致電確認,記者至此步驟申請失敗。

在csl.申請成功後,要啟動SMS飛線至其他號碼,第一個途徑可經原機主手機啟動;另一方法是登入網上賬戶,惟記者發現,客戶首次登入密碼全部預設為身份證號碼,由於記者已知原機主身份證號碼,故能輕易進入網上賬戶,啟動SMS飛線。


記者隨即測試四個電子錢包的SMS飛線成效,包括支付寶、WeChat Pay、PayMe及八達通。記者輸入原機主csl.手機號碼登入賬戶後,按「忘記密碼」來獲取驗證碼,發現支付寶及WeChat Pay,均能收到SMS飛線來的驗證碼;PayMe則收不到,八達通只要求電郵驗證。輸入驗證碼後,由於WeChat Pay需經原機主手機認證,才能進入賬戶,記者因此失敗;但支付寶只需驗證碼登入,即可更改登入密碼,並奪取原機主賬戶。

要在支付寶作金錢交易或轉賬,必須提供機主支付密碼,若忘記密碼需提交文件作證,由於可驗證文件包括原機主手機月結單,記者一早因csl.預設身份證為密碼而成功登入網上賬戶,故能順利提交月結單予支付寶驗證,不足一小時就驗證成功,並更改支付密碼,最後成功轉錢。

《蘋果》測試後發現,假設csl.客戶失去個人基本資料,即姓名、電話號碼及身份證號碼,並回答一個簡單問題,由於csl.網站首次登入密碼預設為身份證號碼,故容易啟動SMS飛線;加上支付寶單靠驗證碼,便能奪取原機主賬戶,當黑客再提交csl.月結單給支付寶,便可更改支付密碼,最終可轉賬盜款。

對於以上漏洞,熟悉互聯網科技的資深工程師趙炳權直言,機構以客戶身份證號碼作賬戶預設密碼是「最差嘅做法」,因為「密碼分唔同保安層次,最低保安層次係同人嘅個人資料link up(連繫),所以我哋係唔贊成(採用)」。他建議用戶不應以此作預設密碼,須盡快更改。

WeChat Pay停轉發短訊

資訊科技界立法會議員莫乃光指有關SMS飛線驗證碼,除了金管局,電子錢包營運商應主動通知電訊商,阻截驗證碼飛線,才可令電訊商在系統更改設定,「電訊商喺飛線上就冇乜嘢責任,因為佢都唔會scan短訊內容,但收到(營運商)通知去改(設定),已經解決問題」。

香港電訊回覆查詢指,旗下csl.及1010均提供SMS轉存服務,如金融機構或儲值支付工具,有提供不能被轉駁的短訊發送號碼給csl.及1010,將不會透過SMS轉駁短訊;現即時暫停新登記SMS轉存服務,並檢討是否有保安漏洞並予以堵塞。

支付寶香港發言人回應稱,對存在風險賬戶,風險管理系統會攔截交易,要求用戶完成多重認證或致電客服核實身份,至今無賬戶被盜事件。WeChat Pay HK指已即時跟進及更新系統,短訊均不會轉發至其他手機號碼。
https://hk.news.appledaily.com/local/daily/article/20190226/20620816

不理可疑連結 WhatsApp仍遭騎劫


【本報訊】《蘋果》發現電訊商csl.的客戶手機留言信箱密碼,也被預設為身份證號碼,有女事主相信因此中招被騎劫WhatsApp賬戶。她上月收到多個經手機SMS傳來的WhatsApp驗證碼及連結,以及外國來電,賬戶之後離奇被奪。專家相信,黑客曾嘗試登入事主賬戶,驗證碼和美國來電均為通知事主驗證碼,事主「蹺埋雙手」,反成為黑客幫手,令驗證碼落入留言信箱被竊聽。專家提醒市民啟用WhatsApp雙步驟驗證及更改留言信箱密碼,以保障個人資料安全。

留言信箱疑被竊聽

csl.客戶何小姐(圖)憶述,上月中有黑客騎劫她朋友的WhatsApp,再假扮朋友向多名親友要求買點數卡騙財。三日後,她收到手機SMS傳來WhatsApp驗證碼,並要求她點擊連結來驗證電話號碼,由於她見該SMS是簡體字,「非常可疑,就完全冇理佢,鏟咗個訊息就算」。

再過三日後,她又收到兩個同類SMS驗證短訊,亦把其刪除。五分鐘後,連續有三個來自美國科羅拉多及紐約來電,她均沒接聽,事後WhatsApp賬戶卻被騎劫。「我覺得都幾恐怖㗎,我唔知個hacker(黑客)攞我WhatsApp做乜,唔知佢會唔會搵我屋企人,或者叫佢畀贖金」。最終她於約七小時後才能重新登入。

香港資訊科技商會榮譽會長方保僑相信,黑客先嘗試登入事主賬戶,WhatsApp則透過SMS及來電通知事主驗證碼,事主沒接聽,反而落入留言信箱被竊聽,「我估計佢有事主voice mail密碼,而啲密碼大家都可能冇改過,可能就係你啲生日日子呀、或者你啲身份證號碼唔知邊幾個字」。

方分析,黑客獲驗證碼登入後,因為不知道事主一早設定了雙步驟驗證密碼,最終失敗而回。他建議市民必須啟用WhatsApp雙步驟驗證及更改留言信箱密碼,以保障個人資料安全。何則稱,事前從沒聽聞留言信箱有密碼,事後已更改。

根據警方提供數字,接獲假扮用戶以騙取充值卡或點子卡案件宗數,由前年146宗,激增逾三倍至去年601宗,損失金額由100萬元增至560萬元。
■記者李啟發、龔蕙芝

沒有留言:

張貼留言