【經濟日報專訊】市面湧現感應式信用卡(以類似八達通的方式「嘟」卡付款),中銀及DBS近日向用戶發出提示,指部分手機App靠近這類信用卡可讀取資料,促卡主保護好感應式信用卡。
本報測試中銀、DBS、恒生及東亞銀行的感應式信用卡,發現可透過App讀取卡號及有效日期,即使隔着銀包也能讀取,但只有DBS及中銀可讀取卡主姓名。記者以錫紙遮卡,即可破解。
金管局回應指,2012年已要求發卡銀行在提供非接觸式信用卡服務時,必須加強保安措施,確保卡內儲存必須的個人資料,但不包括用戶全名。初步顯示,其中一家非接觸卡供應商,有客戶的姓名儲存在卡內,並可透過非接觸方式讀取,共有兩間銀行有使用該供應商,有關銀行已向其客戶發出提示。
感應式信用卡可用於超級市場、戲院等,只要交易金額少於1,000元,就能「嘟」卡付款。兩大發卡機構VISA及MasterCard近年均推出支援NFC(Near Field Communication,近場通訊)的感應式信用卡,其中VISA名為payWave,而MasterCard則稱為PayPass或Contactless。
中銀近日發短訊 提醒用戶
中銀近日向用戶發出短訊,指發現部分智能手機應用程式,在靠近感應式信用卡,例如payWave卡時,有可能讀取卡的資料,並稱有關資料與信用卡交易安全無關。陳太昨日收到有關信息,審視良久都不明白內容。
星展銀行亦有發出類似短訊,提醒卡主保護好payWave卡。王小姐上周六收到有關信息,但亦不明所以,向丈夫查詢也不得要領。
本報記者以附設NFC功能的智能手機,測試中國銀行、恒生、星展銀行及東亞銀行的感應式信用卡。
手機掃銀包 讀取交易紀錄
記者搜索「NFC reader」已有數十款相關的Apps,並下載了一款叫「Banking Card Reader」App,將以上4間銀行發行的信用卡掃過手機背面,只需兩秒即可讀取信用卡號及有效日期,中銀及東亞信用卡被讀取到所有交易紀錄;再把信用卡放回銀包內,嘗試將手機掃過銀包,亦成功讀取靠近銀包邊緣、沒有被其他物件遮擋的信用卡資料,而被其他卡覆蓋的信用卡,則讀取失敗。記者再嘗試用另一App「CardTest」測試,結果成功讀取中銀及星展信用卡的卡主姓名。
香港互聯網協會網絡保安及私隱小組召集人楊和生表示,感應式信用卡是透過NFC功能,即無綫電通訊方式讀取資料,而NFC讀取功能是「近場」通訊技術,「好近距離約1至2厘米可Scan到」,部分App例如「CardTest」更可讀取卡主的姓名,容易被不法之徒盜用個人資料,「用來網上購物,碌爆卡都可以」。
卡驗證碼 暫無App可讀取
不過,楊指,由於技術限制,目前暫無App可讀取信用卡的驗證碼,據悉只有小部分的海外網站毋須提供驗證碼購物。不過,本報測試發現,有本地的綜合購物網只須輸入卡主姓名、卡號及有效日期,毋須驗證碼,就可完成交易。
為防資料被盜,他提醒不要將信用卡放近銀包最靠邊位置,又建議購買纖維保護套,甚至採用最傳統的錫紙保護,「把錫紙當銀紙咁放在銀包內,折埋後就可包住信用卡」。
MasterCard回應指,卡背面的3位數驗證碼(CVC2)不會被輸入至卡上的非接觸式晶片內,MasterCard亦不允許發卡機構將持卡人的姓名輸入至卡上的非接觸式晶片內。中銀回應指,並無收到任何有關感應式信用卡被盜用、或資料外洩而發生詐騙的投訴或查詢。恒生回應稱,已依照發卡組織的指引而儲存所需的信用卡資料於非接觸式信用卡內。星展、東亞及VISA則在截稿前未回應。
