渣打國泰萬事達卡被盜用 料受程式化銀行識別碼襲擊
渣打國泰萬事達卡(前渣打Asia Miles萬事達卡)出現大規模盜用簽帳事件,渣打今晚(7日)通知客戶受信用卡退款保障,經核實的非授權信用卡交易,銀行將主動退款 。
熟悉銀行運作的民建聯前財經事務副發言人陳仲翔分析,事件或與「程式化銀行識別碼襲擊(BIN Attacks)」有關,即有黑客利用程式不斷嘗試解析信用卡號碼、有效日期及安全碼,並透過細額交易確認該組資料是否正確。他稱一般情況下,卡主可申請退款保障,卡主及銀行都不會因此受損失,但仍建議市民可降低信用卡額度,各大銀行亦應借機會檢視防止BIN Attacks的機制。
被盜用金額低又頻密 屬BIN Attacks情況
陳仲翔表示,留意到不少卡主被盜用金額較低,且較頻密,認為較大機會與BIN Attacks有關。他解釋,一般發卡機構信用卡頭6位數字是相同,用予區分發卡銀行,被盜用多數有兩大原因,一是市民在進行不安全的信用卡交易時,其資料因被外洩;二是有黑客利用程式嘗試解析信用卡資料。
利用程式不斷嘗試及配對資料 透過小額交易核實
他指信用卡交易涉及三組信用卡資料,包括16位數字的號碼、有效日期及背面三位數字安全碼,黑客利用程式不斷嘗試及配對三組資料,「用程式去撞,試好多好多次,試到得為止」,並透過一些毋需刷卡、簽名及露面的網上小額交易,確認是否嘗試成功。黑客確認資料準確後,下一步或會利用資料進行大額交易,最常見是買比特幣,「可能將資料賣出去,又或者自己用。」
建議將信用卡額度調低 確保手機號碼可接收銀行信息
至於應如何保護個人資料,陳仲翔坦言BIN Attacks防不勝防,「避無可避,因為要用卡,系統對外唔可能截斷」,但建議可將信用卡額度調低,將出事時的最大損失控制到最低,「即係你平時碌得兩三千蚊,就唔好咁大啦」,且要確保手機號碼可接收銀行信息,當被盜用時可即時得知。
各大銀行應檢視現時機制
陳仲翔又說,相信今次事件並非渣打保安出現漏洞,而金管局有一套指引確保本港銀行保安系數達一定水平,銀行一般亦有機制處理BIN Attacks情況,「見有不斷error交易時都可了解係咪中咗BIN Attack」,但強調今次是好機會讓各大銀行檢視現時機制是否足夠安全。
料卡主可申請退款保障 不會有損失
若市民在今次事件中不幸被盜用資料,陳稱需即時停用,但預料卡主可以申請退款保障,向銀行申明並無該筆簽帳,在退款機制之下,預料無論卡主或是銀行都不會因此受損失。他補充,由於大額度交易一般都要求有實時密碼,料不大機會出現較大損失。