Games Animation Forum

返回   Games Animation Forum > 其他 > ~清談館~

回覆
 
主題工具 顯示模式
舊 10-27-18, 09:34 PM   #51
Rv250
God of Gamer
 
註冊日期: Aug 2002
文章: 5,310
https://www.mpfinance.com/fin/instantf2.php?node=1540554742278&issue=20181026


金管局今日再宣布三項措施,要求儲值支付工具營運商和銀行在設立eDDA時,需選擇實施以下其中一個流程,提升用戶保障。

措施包括,用戶收到銀行發出的電話短訊以確認開設eDDA;或用戶需要從有關銀行戶口作一次轉賬到自己的電子錢包,以確認電子錢包用戶是銀行戶口持有人;或由銀行發出雙重認證 (Two-factor Authentication)。





https://www.mpfinance.com/fin/instan...issue=20181026

【豪言壯語】其實唔關「轉數快」事
有市民被誤導洩露個人資料後,疑被轉走銀行帳戶內的資金,全港媒體大字標題寫「轉數快出事」、「轉數快有漏洞」,卻極少能夠正確指出,問題不是出在「轉數快」的身上,而是個別電子錢包沒有做好認證。「反科技」人士高呼贏了一仗,但這真的是我們對待問題的應有態度嗎?

為何媒體都沒有認清事實真相?關鍵在於最初披露這些個案的《蘋果日報》。周三晚該報即時新聞,直指「轉數快」出現陷阱,文中列出的兩個個案,卻完全與「轉數快」無關,記者只是直接引述受害人對「轉數快」的質疑,沒有做足查證功夫便讓報道出街,以致公眾都以為是「轉數快」的問題。

更可悲的是,不少人因此得出結論,認為科技遲早出事,「唔用就無事」。以此邏輯,難道ATM有轉錯錢的個案,就要唔用ATM嗎?難道銀行有被駭客入侵的個案,就不把錢放在銀行嗎?我們應該保持對高科技的質疑態度,但不應該未搞清楚事實就妄下先入為主的判斷。

還原事件,究竟問題源頭在哪裡?近年興起的電子錢包,最初是透過綁定信用卡,讓用戶把錢增值到錢包內。直至去年底,Wechat Pay推出一項新功能,叫做「直接扣帳授權」(Direct Debit Authorization;簡稱DDA),讓錢包直接連結銀行帳戶,直接從帳戶扣錢。而用戶只要填上銀行帳戶資料,包括帳戶號碼及姓名,便能綁定銀行戶口。而事實上,在Wechat Pay推出DDA功能前,本地電子錢包TNG亦早已有這項功能。可以說,這個漏洞從「轉數快」未推出前就已經存在。

唯一與「轉數快」有關係的是,過去透過DDA增值,資金要兩個工作天才轉入電子錢包內。但「轉數快」推出後,背後的系統大有改進,變成實時及7X24全天候運作,更多的電子錢包推出DDA服務,並在「轉數快」系統支持下變成實時到帳。所以業界為這項服務設定一個更先進的名稱︰「電子」直接扣帳授權(eDDA)。

而其實有沒有「轉數快」,DDA功能早已存在漏洞。問題的關鍵不在於「轉數快」系統,而是電子錢包沒有做足認證,用戶只輸入銀行帳戶號碼便能綁定及轉錢,電子錢包營運商如何確定這些銀行帳戶是屬於用戶本人的?而在今次出事後,銀行一味把責任推卸予電子錢包營運商,但一直以來,他們只是根據電子錢包發出的申請,就設定DDA指令,自己不作驗證,這個步驟又是否過份兒戲?

媒體的工作,是查找事實真相,敦促公私營機構作出改進。但在這次事件中,卻沒有發揮應有作用,反而單從受害人的片面之詞,認定是「轉數快」出現問題,導致公眾人心惶惶。

「轉數快」系統本身有嚴密設防,用戶要登入網上銀行才能發出轉帳指令,若單日轉帳超過一萬元,更要作雙重認證。就算求職者如何不慎,估計也不會把自己網上銀行的密碼外洩。

而作為監管機構,金管局亦沒有做好披露工作。自10月10日接獲首宗投訴後,直至10月24日有媒體揭發後才披露,事隔足足兩周。如果早一點披露,公眾也可有所防備。從控制輿論的角度而言,金管局確是一流;但從風險管理的角度,並不及格。

文濤

此篇文章於 10-27-18 09:58 PM 被 Rv250 編輯。
Rv250 目前離線   回覆時引用此篇文章
舊 10-27-18, 09:50 PM   #52
RPG之鬼
God of Gamer
 
註冊日期: Sep 2002
文章: 10,915
引用:
作者: Rv250 查看文章
https://www.mpfinance.com/fin/instan...issue=20181026

【豪言壯語】其實唔關「轉數快」事
有市民被誤導洩露個人資料後,疑被轉走銀行帳戶內的資金,全港媒體大字標題寫「轉數快出事」、「轉數快有漏洞」,卻極少能夠正確指出,問題不是出在「轉數快」的身上,而是個別電子錢包沒有做好認證。「反科技」人士高呼贏了一仗,但這真的是我們對待問題的應有態度嗎?

為何媒體都沒有認清事實真相?關鍵在於最初披露這些個案的《蘋果日報》。周三晚該報即時新聞,直指「轉數快」出現陷阱,文中列出的兩個個案,卻完全與「轉數快」無關,記者只是直接引述受害人對「轉數快」的質疑,沒有做足查證功夫便讓報道出街,以致公眾都以為是「轉數快」的問題。

更可悲的是,不少人因此得出結論,認為科技遲早出事,「唔用就無事」。以此邏輯,難道ATM有轉錯錢的個案,就要唔用ATM嗎?難道銀行有被駭客入侵的個案,就不把錢放在銀行嗎?我們應該保持對高科技的質疑態度,但不應該未搞清楚事實就妄下先入為主的判斷。

還原事件,究竟問題源頭在哪裡?近年興起的電子錢包,最初是透過綁定信用卡,讓用戶把錢增值到錢包內。直至去年底,Wechat Pay推出一項新功能,叫做「直接扣帳授權」(Direct Debit Authorization;簡稱DDA),讓錢包直接連結銀行帳戶,直接從帳戶扣錢。而用戶只要填上銀行帳戶資料,包括帳戶號碼及姓名,便能綁定銀行戶口。而事實上,在Wechat Pay推出DDA功能前,本地電子錢包TNG亦早已有這項功能。可以說,這個漏洞從「轉數快」未推出前就已經存在。

唯一與「轉數快」有關係的是,過去透過DDA增值,資金要兩個工作天才轉入電子錢包內。但「轉數快」推出後,背後的系統大有改進,變成實時及7X24全天候運作,更多的電子錢包推出DDA服務,並在「轉數快」系統支持下變成實時到帳。所以業界為這項服務設定一個更先進的名稱︰「電子」直接扣帳授權(eDDA)。

而其實有沒有「轉數快」,DDA功能早已存在漏洞。問題的關鍵不在於「轉數快」系統,而是電子錢包沒有做足認證,用戶只輸入銀行帳戶號碼便能綁定及轉錢,電子錢包營運商如何確定這些銀行帳戶是屬於用戶本人的?而在今次出事後,銀行一味把責任推卸予電子錢包營運商,但一直以來,他們只是根據電子錢包發出的申請,就設定DDA指令,自己不作驗證,這個步驟又是否過份兒戲?

媒體的工作,是查找事實真相,敦促公私營機構作出改進。但在這次事件中,卻沒有發揮應有作用,反而單從受害人的片面之詞,認定是「轉數快」出現問題,導致公眾人心惶惶。

「轉數快」系統本身有嚴密設防,用戶要登入網上銀行才能發出轉帳指令,若單日轉帳超過一萬元,更要作雙重認證。就算求職者如何不慎,估計也不會把自己網上銀行的密碼外洩。

而作為監管機構,金管局亦沒有做好披露工作。自10月10日接獲首宗投訴後,直至10月24日有媒體揭發後才披露,事隔足足兩周。如果早一點披露,公眾也可有所防備。從控制輿論的角度而言,金管局確是一流;但從風險管理的角度,並不及格。

文濤
長文不看
其實的確同轉數快有關,因為佢可以定rule唔跟rule就唔可以join(指背後的銀行系統)佢地服務
例如依家啲手提GAME,差不多隻隻都可以DLC加新內容,如果有隻經過審批,但原來佢付錢就可以DLC H EVENT,咁係咪手機平台的問題?如果唔係咁APPLE/GOOGLE點解會成日block呢樣block果樣


__________________
幸せそうな人達をみていると、自分も幸せな雰囲気になれるんですよ

此篇文章於 10-27-18 09:54 PM 被 RPG之鬼 編輯。
RPG之鬼 目前離線   回覆時引用此篇文章
舊 10-27-18, 10:23 PM   #53
Rance
The One
ガハハ
 
註冊日期: Dec 2001
文章: 26,438
PSN  IDRance1219
XBox Live GamertagRance1219
金管局有哂RULE,份SPEC寫明要驗証身份責任O係參與者度,只係金管局都無咩點CARE D參加者點做做D咩,
將D責任射哂出去,外面D人唔知你內部野點當然個矛頭係指返金管局,不過其實金管局都係掛個名,帶頭整呢壇野O既叫HKICL,係金管局開O既公司

其實呢壇野成個系統黎講HKICL做O既野佔好少部份,大部野都係靠D行自己起SYSTEM做,ICL做O既野只係收野,幫你VER下個MESSAGE就掟比其他行,同埋KEEP住D登記EMAIL電話,同埋收D參加者錢


__________________
小便はすませたか? 神様にお祈りは? 部屋の隅でガタガタふるえて命ごいをする心の 準備はOK?」
Rance 目前離線   回覆時引用此篇文章
舊 10-28-18, 07:11 PM   #54
kimtch
God of Gamer
 
註冊日期: Mar 2008
文章: 7,840
PSN  IDkimtch
其實唔係講緊收款方個SVF 可以就咁叫付款方射數出黎咩..
(收款方 打穿左 付款方 ) [由張id做出黎既名]
呢條RULE應該係金管局定架wor?


要冇事緊係做足d 2fa notification verification 架啦, 有乜好嘈
根本個個party都有責任
kimtch 目前離線   回覆時引用此篇文章
舊 11-02-18, 06:32 AM   #55
david
The One
 
註冊日期: Mar 2002
文章: 20,716
港人信用卡資料「熱賣」
支付寶 微信支付 淪賊人提款機

引用:
繼「轉數快」客戶早前遭人盜財後,《蘋果》發現本港兩大熱門電子錢包微信支付(WeChat Pay)及支付寶(Alipay)均出現漏洞,若騙徒使用太空卡(儲值電話卡)開設電子錢包戶口,有機會藉着綑綁他人信用卡,暗地從該信用卡提取現金為電子錢包增值,再把犯罪得益轉移偷走。據悉,近月內地暗網(Dark Web)大量出售不法的信用卡資料圖利,更「一條龍」教人如何利用電子錢包把受害人信用卡的錢偷走,受害卡主包括不少港人,專家促市民小心提防。

「我覺得好恐怖」、「真係好驚」、「個人資料外洩真係唔知點算」,以上都是《蘋果》經調查之後找出來的受害人心聲,他們均在網上消費之後遭盜取信用卡資料,結果被騙徒盜取金錢。

賣家稱一次最多賺$3,000

本報記者聯絡到一名曾經進入暗網購買他人信用卡資料的「中間人」Billy,他透露一班「網絡扒手」覷準香港支付寶及微信支付不一定要用實名登記,即是使用太空卡也可以開戶及綑綁信用卡及轉賬的漏洞,透過暗網購入大量他人的信用卡資料,然後經電子錢包從信用卡提款盜財,並且將之變成大生意,因為「以前要喺人哋嘅信用卡轉現金出來,幾乎係冇可能,但有咗電子錢包就方便得多」。

內地暗網的「菜商(賣家)」發現此新漏洞亦順水推舟,出售以不法途徑偷來的大量信用卡資料,包括卡號碼、最後到期日、保安碼等,甚至會教買家如何利用電子錢包綑綁偷來的信用卡圖利,聲稱一次得手最多可賺3,000元。

據Billy親身示範,「犯案」首先要用太空卡開設一個非實名的香港支付寶戶口,然後利用從暗網購來的信用卡用戶資料綁定新開的支付寶戶口,便可用信用卡轉賬現金到另一支付寶戶口的錢包內;又或在淘寶網購買名為「微信錢包充值」貨品,其功能就如找換店,可把騙徒支付寶戶口盜來的港元轉換人民幣,再充值到微信錢包內套現,充值每日上限為3,000港元(扣除費用後約2,600人民幣)。

兩分鐘可轉錢 卡主難阻

Billy坦言,以往網絡扒手會將偷來或買來的信用卡資料透過網上消費套現,但隨着信用卡網上交易保安改善及引入SMS驗證碼,令冒認卡主網上購物越來越難。不過若利用支付寶綁定盜來的信用卡資料,有機會可快速盜走現金,「一般兩分鐘就能將錢轉到微信錢包,當受害的卡主收到短訊通知時,交易早已完成,卡主欲致電銀行阻止已來不及,且毋須露面減低被捕風險」。據他所知,近兩、三個月有數十名網絡扒手利用此手法犯案,估計很多卡主包括香港人中招,損失每日或達數十萬元。

記者以同一方法實測香港微信支付,發現可用太空卡開設新的微信支付賬戶,且同樣可綁定第三者的信用卡,其間發卡銀行未有發出SMS驗證碼核實綁卡者的身份。成功綁卡後,記者可透過「發利是」方式,在卡內發放100元利是給另一人的香港微信錢包,成功把信用卡的現金轉移,顯示微信支付亦有類似轉賬漏洞。




Cony:
「冇實名登記,都唔知邊個用邊個啲錢。有朋友用電子支付嘅app,但無法進入,懷疑被人盜用,要打好多電話嚟解決。」

文小姐:
「呢個係好大漏洞,咁簡單就盜取信用卡啲錢。我嘅支付寶戶口冇綁任何信用卡或銀行戶口,每次購物,要去便利店入錢到戶口,希望香港都用實名登記。」
股乳有暈:食得鹹魚抵得渴,用得支那PAY就預佐有咁O既結局吧。


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 11-02-18, 06:45 AM   #56
david
The One
 
註冊日期: Mar 2002
文章: 20,716
私隱盡洩 受害人:好恐怖

引用:
《蘋果》調查發現,大批信用卡用戶資料在內地暗網熱賣,資料齊全,令人震驚,包括卡主的英文全名、卡號、到期日、安全碼、來自地區,甚至卡主的電郵、手機號碼、地址等等,私隱蕩然無存。記者按照「網絡扒手」在暗網買來的信用卡資料,聯絡到多名受害卡主,發現大部份卡主都是香港人,其餘則包括內地、台灣、新加坡及新西蘭等地。受害人多表示近日曾經被盜用信用卡,遭賊人冒名在網上購物15至100美元不等,不勝其煩,更加有受害人覺得情況恐怖。
「唔知罪犯會用嚟做乜」

從事銀行業的港人江小姐對於記者能準確講出其全名、電郵地址等資料大感驚訝:「好震驚,信用卡被盜用,以為cut卡就得,點知你哋都搵到我,證明資料仍然外洩!」她自言平日愛網上購物,但兩個多月前發現其中一張渣打卡被碌了5次共100美元,幸及時通知銀行。「最奇怪係,今次俾人碌卡竟然冇收到銀行發出驗證碼通知」。她直言難以估計其信用卡資料如何外洩,「我登記過支付寶、又曾喺網上買機票等,真係唔知邊度漏出嚟」。

另一受害人BoBo是教師,她指約三個月前的凌晨,突然收到銀行電郵通知,指她的渣打信用卡在同一時間有三筆分別20美元的交易,「我即刻打電話查詢,銀行話實際有五筆交易,每宗20美元,係買網上遊戲」。她指自己不玩網上遊戲,遂要求銀行中止該張信用卡,幸一個月後獲銀行退款,但她對犯罪集團持有其電話、姓名、電郵等個人資料大感憂慮及無助,「資料咁詳細,真係幾驚,唔知罪犯最終會用嚟用做乜,真係好恐怖!」但最令她感到可疑的是,信用卡被盜用前一日,她曾首次登記支付寶戶口,並綁定涉事信用卡在淘寶網購物。
反黑犬+重按犬:呢條記者可以捉得!
(佢無用O黎偷錢喎...)
反黑犬+重按犬:佢不誠實使用電腦買資料!
(咁真正有買資料同偷錢O個O的呢...)
反黑犬+重按犬:我O地會同栗正屍研究...
栗正屍:無足夠證據,不能起訴...


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 11-02-18, 06:48 AM   #57
歌絲˙暮斯
The One
一擊格神
 
註冊日期: Feb 2003
文章: 21,203
PSN  IDKENZHAYA
蘋果一直無寫清楚關唔關用 wechat 事,睇黎就一定關事。
由手機版發出
歌絲˙暮斯 目前離線   回覆時引用此篇文章
舊 11-02-18, 06:56 AM   #58
david
The One
 
註冊日期: Mar 2002
文章: 20,716
發卡機構無SMS驗證成漏洞

引用:


今次網絡扒手的手法,與之前全城關注的「轉數快」騙徒類似,都是利用部份電子錢包進行高風險交易(綁信用卡或銀行戶口)時無使用SMS驗證碼的保安漏洞。《蘋果》近日測試發現風險仍未消除,因記者以支付寶及微信支付電子錢包戶口綑綁第三者的安信「EARNMORE VISA」卡時,發卡機構沒向卡主發出SMS驗證碼,令記者能冒認卡主把該信用卡綑綁到記者的支付寶及微信支付戶口。記者其後從這張第三者信用卡提取數十元,經兩大電子錢包轉賬給他人,證實轉賬漏洞仍在。

記者亦曾以太空卡開設四大電子錢包新戶口(支付寶、微信支付、Apple Pay及Google Pay),並嘗試綑綁匯豐、恒生、中銀、渣打及星展五銀行的第三者信用卡,但均告失敗,理由是五大行在綁卡過程均會向卡主真實手機號碼發出SMS驗證碼,防止他人冒認卡主。

支付寶:未收舉報

《蘋果》向香港支付寶查詢,發言人稱沒接獲有人利用支付寶盜取他人信用卡金錢的求助或舉報個案;若真的懷疑被盜用,公司會協助事主調查並對可疑賬戶採取適當措施。

對香港支付寶未有強制新用戶要作實名登記致可能有保安風險,該公司回應指新用戶只需一個電話號碼即可作日常基本交易,是因為要平衡用戶私隱。但當發現賬號存在較大風險時,公司會核實用戶身份,對國際匯款等交易也會要求用戶提供身份認證,該公司會定期評估安全措施。
X 未收舉報
O 唔會受理舉報

段估T&C細字會有寫明一切風險同損失支那PAY一概不會負責之類...


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
回覆

主題工具
顯示模式

論壇跳轉

相似的主題
主題 主題作者 版面 回覆 最後發表
[愛惜自由] WeChat、淘寶將敏感資料傳到中國; 英國為F-35B踢走華為 5G 歌絲˙暮斯 ~清談館~ 655 11-02-23 08:54 PM
[XBLA, PSN] Pay Day 2 繼續打劫 8月13日發售 ( ゚ω゚)? 電視遊戲討論版 22 06-09-17 12:55 PM
[NEWS] Copyright Claim Backfires; Photographer Ordered to Pay $388K KKH 照相館 0 06-03-06 10:56 AM
[PS2,XB]Dead to Rights II: Hell to Pay圖片 神祕人1號 電視遊戲討論版 9 05-21-04 08:04 AM


現在的時間是 06:43 AM


手機版 | APP版
Powered by vBulletin® 版本 3.8.3
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd. map
Games Animation Forum