【電子貨幣漏洞】三大電子錢包兩款容許截糊取款 專家料為方便犧牲保安

更新時間 (HKT): 2020.05.15 06:01
香港資訊科技商會榮譽會長方保僑推測,透過訊息發送網頁鏈接可能是作通知用途,「其實都無可厚非,有時唔喺朋友名單入面都唔知係邊個畀錢你,咁如果喺WhatsApp通知咗嘅話,起碼知道有個交易做咗,有個Reference」。(資料圖片)

記者測試市民流行的數款電子錢包,發現支付寶以及滙豐銀行旗下的PayMe均會在交易過程中產生付款超連結,任何收款人只要按下超連結即能領取金錢,本應是方便雙方交易的措施,卻因超連結沒有綁定收款對象,變相令第三者也能藉此「截糊」取款,引起爭議。但記者發現其實就算是首次交易的收款用戶,也可以用App直接取款,故引起爭議的付款超連結貌似多餘,欠存在價值。事實上,另一款電子錢包「微信支付」摒棄了付款超連結,確保只有指定收款人可取款,杜絕了截糊取款問題,看來更為安全。

記者:馮智敏 趙媛媛 攝影:周子惇

在利用PayMe或支付寶轉賬時,付款人若從「PayMe朋友」或支付寶「朋友列表」一欄選取收款人,輸入了金額及交易密碼後,轉賬會被即時處理,款項會立即存入對方的賬戶且不能取消;付款人亦可由手機通訊錄的選取聯絡人進行轉賬,在輸入交易金額的同時,付款人亦可選擇「透過WhatsApp過數」或「透過手機短訊過數」,系統即會產生付款超連結並自動打開付款人與收款對象的WhatsApp或手機短訊私人對話頁面,付款人只需要將付款訊息及超連結發送,當收款人按下,系統即會自動打開應用程式並表示轉賬完成,付款人亦可在收款人收款前取消該次交易。

《蘋果》測試後,發現超連結並非收款人領取款項的唯一途徑,以PayMe為例,即使二人不是PayMe 朋友,在付款人輸入了交易密碼後,該次交易其實已被系統處理,會即時顯示在收款人PayMe內的「通知」欄,告訴收款人有一筆「待處理」款項,只要收款人按下「收款」鍵,款項便會即時存到收款人的PayMe戶口內,交易亦能順利完成。

若不需超連結亦能成功轉賬,滙豐銀行及支付寶刻意製造付款超連結的原因令人費解,雖然超連結在一次交易後便會失效,但超連結又不能做到綁定收款對象,變相令到第三方有機可乘,能夠「截糊」取得金錢。

香港資訊科技商會榮譽會長方保僑認為,付款超連結不是「一對一」,也許是與電子錢包本身的設計有關,「你唔一定要用嗰個電話嘅賬戶去接收,你可以用第二個賬戶去接收」,方便有多於一個戶口的用家使用。方提醒用家若想確保款項不會落入第三者手中,就直接由朋友名單中選取收款人進行交易。

「越高保安就越唔方便,越方便就越少保安」,無線科技商會執行委員李勁華認為PayMe及支付寶,不似其他轉賬工具,如轉數快,交易時有多重認證,雖能確保只有收款對象能領取款項,但過程亦較繁複,故猜測「呢個係一個設計上嘅取捨啦,睇你要方便定係高保安」。不過,他也指:「個問題重點係在於佢冇畀人哋知道佢個玩法係先到先得」,PayMe與支付寶有責任告知用家其存在風險。

李認為PayMe的交易額設有上限其實「一定程度上都有個保安喺度」,至少不會有巨額交易,即使是一時失誤也不至於會有太大的金錢損失。

追實城中突發大小事,即 like 蘋果【現場】FB!
BannerBanner