《社論》數位支付及加密貨幣藏風險 政府應重視納管

·2 分鐘 (閱讀時間)

全球疫情或許會過去,但有些生活習慣顯然是「回不去的」,舉例來說,非現金電子支付這兩年快速地融入你我生活,以台灣消費者使用信用卡及簽帳金融卡支付為例,於去(二○二○)年竟首度超越現金,今年更從八十%飆升至九十九%,顯示非現金支付的金融習慣,已完全於生活緊密結合;不過電子支付主打交易、轉帳免現金,解決民眾攜帶現金可能面臨遺失或遭搶奪等風險,卻難杜絕有心人士,利用漏洞進行新型態電子詐騙可能,包括竄改或覆蓋QRCode,誤導民眾連結至詐騙帳戶等手法,國內主管機關不可不察。

事實上,在疫情強調實名制下,就有詐騙集團看準QRCode外觀相似的特點,以竄改、偽造等方式誤導使用者連結至帶有惡意的釣魚網站,若不慎點入,包括帳戶、密碼或年籍資料等個資就可能外流,而電子支付業者原先有使用手機門號作為二次驗證機制,但「道高一尺、魔高一丈」,犯人利用手機門號綁定轉移機制的漏洞,在進行綁定門號轉移時,繞過了二次驗證機制,使犯人無須取得被害人手機即可犯案。

對此,我們建議國內金管單位應立即重視支付系統管理,例如:增加犯人的侵入成本,在銀行端可在民眾變更電話門號時,改由原電話門號收受認證碼、由電子郵件收受認證碼,或是強制回答註冊時的預設問題,例如「你從哪間國小畢業?」、「出生的鄉鎮」等加強盜刷;除支付系統外,今年國內券商更發生歷史上首樁駭客入侵事件,讓券商「被下單」買港股一百多件,災情損失約台幣二千萬元,政府不可不察。

而平心而論,金融業正面臨越來越多所謂的「密碼撞庫」的憑證填充攻擊,利用殭屍網路以自動化方式,不斷使用偷來的登錄憑證試圖登錄網路服務的一種攻擊,試想未來台灣電子支付越來越蓬勃下,若在戰爭或天災時,網路中斷,支付系統停擺,無現金社會將無力運作而陷入混亂;而電子支付也絕非如宣傳中的安全,它不像信用卡由銀行負起預付、防盜刷責任,如被盜刷,是直接從儲存於手機上的金融卡帳戶扣款,責任自負,遺失手機或駭客盜刷風險極大,恐造成重大損失,行動自由和隱私無法確保安全,消費習性易被掌握而遭廣告騷擾,建議政府大力推動行動支付之際,應思考這些隱憂,如有萬全防範始推動,更無須急就章的施行,以保障全體國民的財產安全。