安全隱患時常有,電子錢包又失守!有事主在不知情的情況下,懷疑被黑客通過SMS飛線服務,攻陷其電子錢包及盜用身份申請信用卡,涉及金額超過18萬元。
有黑客近日利用政府未有禁止儲值支付工具(SVF)轉發一次性驗證碼(one-time password,OTP)的漏洞,利用事主的個人資料,向電訊商申請SMS轉駁服務,令事主的電郵及多個電子錢包的登入驗證碼外洩。黑客其後藉事主的個人資料,分別攻陷事主的支付寶賬號、亞洲萬里通賬號,並且藉事主電郵內的身份證副本等資料,向銀行申請信用卡消費,最終黑客成功消費超過18萬元。
是次涉事的電訊商為csl.,由於在csl.申請SMS飛線僅需原機主姓名、電話號碼、身份證及回答一個簡單問題,而csl.其中一個SMS飛線申請可以通過登入網上賬戶進行,基於csl.的網上賬戶一般是提供手提電話號碼後,預設密碼為賬戶擁有人的身份證號碼,因此,黑客輕易進入網上賬戶,啟動SMS飛線。
至於今次被攻陷的SVF為支付寶,由於支付寶允許將驗證碼以SMS飛線的方式接收,加上支付寶只需驗證碼登入,因此在取得SMS飛線權限後,黑客想控制支付寶賬戶,可謂易如反掌。不過事件發生後,金管局已通知所有電子錢包營運商,要求引用「一次性密碼轉發禁用」措施,仍未實施有關安排的SVF,包括支付寶香港、TNG及WeChat Pay HK已表明將盡快落實有關安排。
早前,香港發生大規模個人資料外洩事件,為免大家有機會成為受害者,拾捌堂建議讀者盡快將所有預設密碼變更,令騙徒和黑客難以掌握你的密碼,保障個人資料安全,一旦發現無故收到SMS傳來驗證碼,就要立即通知營運商,防止SMS遭他人轉駁;此外,改用Google驗證(Google Authenticator)等較安全的保安措施,也是避免安全隱患的方法。大家想知道自己的個人資料有沒有被外洩?立即按這裡查個明白吧!
三大編輯精選:
