(图:联合早报)
(新加坡28日讯)信用卡被盗刷七次共1万零150新币(约3万1510令吉),但手机没收到一次性密码(OTP)的交易通知,夫妇向银行查询后,银行说这些交易都有一次性密码验证,因此不列为诈骗案,要求他们必须偿还欠款。目前双方正通过新加坡金融业争议调解中心向银行商量赔钱事宜。
32岁妇女无法使用信用卡的附属卡支付诊所医药费,检查后发现附属卡在两个月前被盗刷了七次共1万零150新币,但她指手机没收到一次性密码(OTP)的交易通知,而且她也没点击过任何可疑连结导致个人资料外泄。
当事人是陈伟雄(38岁,石油燃气业主管)和朱雪儿(32岁)夫妇,陈伟雄是信用卡持有人,朱雪儿则使用相关附属卡。两人后来得知,这些钱是被转去汇款公司,随后过帐到一家马来西亚公司。
两人接受《联合早报》访问时说,朱雪儿今年1月在妇产科付医药费时,发现常用的星展银行信用卡被拒收。两人一查才发现去年11月底,信用卡在一小时内进行了七项交易,每项交易1400多元(约4324令吉)。
两人向汇款公司查询后获知,当天其实有10项交易,但在第七项后收到银行通知交易可能涉及诈骗,结果最后三项交易被取消。
夫妇俩也称,他们向银行查询后,银行说这些交易都有一次性密码验证,因此不列为诈骗案,要求他们必须偿还欠款。
朱雪儿说:“我们一向很注重网络安全,没随便将个人资料外泄,更不会把一次性密码交给陌生人,真不知道对方是如何盗刷的。”
黑客可用恶意软件阅读手机内一次性密码
英国伦敦智库战略网络空间与国际研究中心亚太区执行副总裁佘仰明受访时指出,想要盗用信用卡的人,得同时拥有信用卡的卡号,以及银行发出的一次性密码。就陈伟雄和朱雪儿的情况而言,不法之徒可能侵入两人的手机,并掌握了附有一次性密码的手机简讯。
佘仰明解释,两人的手机可能下载了恶意软件(malware)或不可靠的应用,黑客透过恶意软件或应用操作受害者手机。“在这起案件中,受害者的手机可能接到一次性密码的简讯,但在使用者发现前,黑客已阅读并删除了简讯。”
专家提醒别点击可疑连结
佘仰明说,这是一起独立个案,而非短时间内在不同人身上发生类似案件,由此可推测漏洞来自手机,而非电信公司或信用卡系统被入侵。
他指出,顾客可请数码取证专家调查了解事发经过。他也提醒公众别点击不可信的连结。
陈伟雄说,两人目前正通过新加坡金融业争议调解中心(FIDReC)跟星展银行商量赔钱事宜。“我们并没有做错事,不明白为什么这笔钱要由我们承担。”
新加坡金融业争议调解中心总裁蔡惠涵回复本报询问时说,除了这起案件,该中心也有收到其他情况类似的个案,多数还在调解。
她说:“我们接过的类似案件中,银行能证明交易有经过一次性密码认证,但顾客却坚持他们并没有收到一次性密码。”
星展银行发言人受询时说,银行的系统安全、可靠,以及没被入侵。汇款公司采用3D安全验证,要求顾客使用简讯或数码令牌(digital token)收到的一次性密码,验证每一项交易。
发言人说,此案还在调解,目前不便置评,若顾客决定向FIDReC求助,银行将全力支持调解的过程。
(联合早报)
