若中「木馬程式」 用手機銀行或遭偷卡資料

香港文匯報訊（記者 唐文）隨着手機數碼錢包逐漸普及使用，相關的罪行逐漸出現。有市民在沒有遺失實體信用卡的情況下，遭人盜取信用卡資料，賊人更在其手機錢包綁上事主的信用卡，導致賊人消費、事主埋單。有網絡保安專家相信，事主的手機已中了「木馬程式」，在平日用手機處理銀行服務時被賊人隔空盜取信用卡資料。立法會議員梁熙呼籲《銀行營運守則》應與時俱進，為新型電子支付制定監管制度。

苦主李小姐憶述，她於去年12月6日接到滙豐銀行職員來電稱，她前一日有三筆可疑信用卡交易，前兩筆交易不成功，第三筆交易使用google pay （手機錢包）成功過數。她當即取消信用卡及報警，但損失的1.3萬元卻無法追討。

對騙徒如何盜取信用卡信息，李小姐感到一頭霧水，「我這麼多年都是用Apple手機，從來都沒有註冊手機電子錢包，更沒有使用過google pay，為什麼銀行會允許別人碌我的卡？」她說，自己信用卡被盜用當晚並未收過任何短信驗證碼（OTP），亦未在任何地方輸入過驗證碼，但在與銀行交涉中，銀行則堅稱曾向她發送驗證碼。

李小姐指，既然銀行當時已懷疑交易有可疑，卻未有阻止交易進行，理應由銀行承擔損失。「銀行職員電話詢問我的態度好像在審犯，懷疑是我和騙徒一起密謀呃銀行錢，佢又不肯透露騙徒消費的實體商戶地址，只知道是旺角的一間金舖。」

議員倡為新型電子支付制定監管制度

梁熙表示，現時金管局對綁定電子支付（如google pay、apple pay等）的信用卡交易，以及信用卡實體卡交易，採用同一套監管準則，但電子支付有更多傳統上難以預計的風險，故要求金管局檢討現時《銀行營運守則》，為新型電子支付制定監管制度。

「電子錢包中的信用卡，一般只顯示最後4位數字，也不會顯示卡主的全名，而實體信用卡會具備這些信息。以往商戶一旦覺得交易可疑，可要求消費者出示其他證件，證明與信用卡上的姓名一致，但使用電子錢包就無這一重核對。」他說。

鑑於部分被盜卡主從未收過銀行發出的OTP，懷疑該短信可能被賊人截取，梁熙建議金管局考慮在信用卡綁定電子支付時，要求用戶進行OTP+密碼雙重認證，或OTP+生物特徵認證；對於剛剛綁定電子錢包的信用卡，首10宗消費，應發送SMS通知。

香港資訊科技商會榮譽會長方保僑向香港文匯報表示，相信事主的手機遭黑客入侵，被植入木馬程式而取得其信用卡資料和電子支付工具的一次性密碼（OTP），盜用其賬戶進行消費。

他解釋，現時手機會接收不少訊息，只要用戶不為意點選訊息內的連結，就可能令手機被植入「木馬程式」，「只要被植入有關程式，黑客就可以遙控和取用戶手機內的所有資料，包括銀行和信用卡賬戶等信息。」

黑客可攔截驗證碼 用戶不知收過

使用電子支付工具時收到的驗證碼，黑客亦可以輕易盜取，「中咗木馬程式部手機就由黑客操控，銀行傳驗證碼來，黑客已攔截咗，然後遙距刪除，用戶自己也不知收過驗證碼，咁樣黑客就可以開一個電子支付賬戶，使用苦主的信用卡消費。」

方保僑強調，用戶要保護自己的個人私隱，手機不應保存有關銀行、信用卡賬戶等資料，收到任何信息後都不要胡亂點選內附的連結，更應安裝手機防毒軟件。