網上付款又出事!報名系統真的安全嗎?

Frankie
發表於2017/10/18
2,633次點閱
0人收藏
加入收藏

近日有大量跑友舉報信用卡被盜用的事件。聽聞範圍包括不同賽事,不同的網站,甚至不同的付款方法也有中招的情況。事件已經引有關方面的關注,而警方也正式立案調查。究竟哪方面出了問題?在缺乏資料下,筆者不方便妄自推想,只好等警方有了調查報告再作討論。


因為賽季將近,這一兩個月將會是賽事報名的高峰期。在這事件後,大眾或多或少會對此類網上報名系統的安全性提出疑問。


筆者認為,網上付款系統基本上是安全的。信用卡中心對服務商有一套嚴格的 PCI 安全標準要求 (參考1),最少要達到 PCI DSS Level 1 才可以處理信用卡資料。單單是渣馬一個賽事,PCI 已經要相關機構達到第二高的級別,如果連同其他交易的話,筆者幾乎可以肯定要達到最高的 PCI 要求。

一般情況下整個交易通信都是在加密之中進行,而且在多方保護下,整體上這樣的電子交易是安全的。注意,加密只是整個交易安全的其中一個小環節,如果有人跟你說這個系統因為加密所以便安全,這説法筆者不敢認同。

畢竟問題還是發生了,在還未找出問題前而大家又要「手快有手慢無」報名賽事,這可真是一個兩難局面。以現在報名的秒殺速度來說,根本不容大家多考慮片刻,筆者不知會否有人因為這盜用事件而放棄網上報名,但這肯肯定不是筆者。


筆者嘗試給大一些建議減少這方面的風險的方法。主要分為防備性 (Preventive) 和偵查性 (Detective) 兩種,當中尤以前者最為重要。


防備性措施

1)建議使用 PayPal,可以減少洩漏閣下CVV 的風險。因為所有的網上付款必需輸入有效的 CVV 才能成功。被人知道你的 CVV 跟給別人知道你的提款機密碼沒太大分別。銀行一般會把此數字分類成和提款密碼同一級別,所以可以想像到若給人知道此數字是有多危險。



使用 PayPal 的話只需在登記時上載此數字,而交易時不需要提供。單以常識解説,這樣重要的資料在網上傳輸的次數越少,洩漏的風險當然越少。使用 PayPal 不一定代表無問題,只是收窄範圍並減少 CVV 的網上傳送。(參考2)

題外話,筆者建議用膠紙遮蓋這組號碼,碌卡時盡量讓避免信用卡離開視線範圍,以防備給人記下這三組數字。


2)不管你用信用卡或是 PayPal。如果在付款過程中出現關於電子數碼證書 (Digital Certificate) 的警告,定必要馬上退出。這表示閣下有可能正受到「中間人襲擊」(Man-in-the-middle-Attack)。這代表甚麼?即是在人在你和服務商之間左手交右手,在你們成功交易之餘偷偷地記錄了所有的信用卡資料。


3)收到付款電郵時 千 萬 不 要 直接按下電郵中的超連結 (hyperlink)。正確的做法要先複製 (copy) 出來再貼 (paste) 到在瀏覽器的網址欄內。並在按 Enter 之前看一看連結地址是否合理。

甚麼是不合理?這沒有一定答案,但可以用常識判斷一下。比如你看到的連結地址是個古古怪怪的不知名網域,這大有可能是釣魚電郵。如有懷疑還是打電話去大會問一下。


4)  PayPal 的密碼不可以和其他網上帳戶使用相同的密碼。絕大部分人都是用三幾個密碼行走天下,如果其中一個洩漏了 (如釣魚電郵),便會出現如火燒連環船的災難。

最理想方法是用密碼管理軟件令到所有的網上帳戶都有不一樣的密碼。就算有個別戶口的密碼出現洩漏,也不會影響其他戶口。不過以筆者所知,用這種密碼管理軟件的人可能不超過1%。


5) 軟件和防毒軟件要定期更新,這不一定和這事件有關,不過講電腦保安無可能不講這點。


6)可以的話,使用有 SMS 交易提示的信用卡

信用卡交易後,發卡機構以 SMS 發出提示


信用卡交易時,由 SMS 發出一次性密碼


7)不要使用盜版或來歷不明的軟件。不管網上支付系統的待服器有多安全,如閣下的電腦或手機隱藏了木馬程式,以上所講的一切也是徒然。因為入侵者可以直接知道你按過什麼鍵,和做過什麼動作。

這個被稱終端保安 (End Point Security) 的問題一直被視為網絡入侵或網絡安全最脆弱的一環。在這一環節上連銀行也幫不到你們,請大家小心。



以上是只是幾個最有效防護式措施,但不管你有多小心也總有可能出錯的時間。至於以下的偵查性措施可能是你的最後一道防線。


1)在這非常時期,不時查看簽帳紀錄。


2)碰到問題簽帳,不單要馬上通知銀行,還要馬上通知警方。報警不一定可以幫你解決問題,但可以作為官方記錄,證實你發現問題後已經作出合理的行動來防止進一步的損失。記住,你是刑事罪案的受害者,報警一定是上着,也為警方提供更加多的調查線索。 (真人真事,早幾日先有人問過我,已經通知了銀行,再報警有甚麼用!)


最後,有人建議用一張小額信用卡作網上交易,筆者沒有這個習慣也覺得沒有這個需要。根據銀行運作原則,如果問題不是出在客戶身上的話,客戶無需承擔損失。銀行在這方面應該遠比你們更加擔心,而且銀行決定你們的信用額時,已經把這風險放入考慮之列。真的要關心的話,關心他們給你什麼迎新禮品可能更加貼心。


何況如果一家人出發一次歐洲的話,機票酒店的簽帳應該遠遠超過「小額」的定義,最後都是要出動「大額」信用卡,這樣問題又回到原點。


參考:

1) https://www.pcicomplianceguide.org/faq

2) http://yourfinancebook.com/what-is-cvv-and-how-to-protect-your-cvv-from-any-misuse/

發言
還沒有人發言耶!快來當一樓!