网络欺诈屡次发生,账户被骇,接著绑定的电子支付被盗刷。企业(如金融机构、非银行金融机构、电商平台等)对于欺诈的检测能力也各异,受制于对网络安全基础建设的基础和人力投资、基于对用户信息的敏感和隐私性对可采集的用户信息产生限制,影响了企业对欺诈的检测能力和防范。同时,市民并不应该欺诈的发生而拒绝使用平台或者电子支付。本文主要对欺诈进行防范醒觉教育,在日常生活中采取防范的措施。
对电子邮件采取安全措施
对于不常用电子邮件的市民,邮件是最常被忽略的通讯软件,而这就被不法份子盯上。不法份子骇进邮箱,接著在该骇进邮箱注册的平台账户(如电商或其他涉及金钱交易等平台)点击忘记密码,就会在骇进的邮箱收到链接重置密码,这就使用成功骇进的邮箱骇进平台。
骇客骇进平台之后就会设法套现金钱,如平台帐户里有绑定信用卡,如用信用卡支付又不需要通过验证,就会被盗刷。如果市民没有在平台绑定信用卡,那该平台的账户也会被不法分子绑定遗失(无论是丢失、被偷走、泄漏了信用卡个人资料)的信用卡进行盗刷。
或许一个市民使用邮箱注册的平台账户很多,但是用来注册平台账户的邮箱会倾向较常用的邮箱。因此,市民在邮箱的账户安全应该设置强密码(包含大写字母、小写字母、数字和符号)加上双重验证,同时警惕双重验证的验证码不可告知他人,也须提防钓鱼(phishing)邮件套取双重验证的验证码。
如用手机号码获取验证码,有些手机系统可以自动填充验证码以防止钓鱼和自动删除这类信息(把信息直接存放在信息垃圾桶(trash)) 的功能以增加这类信息的隐私度。
有些邮箱如谷歌和微软也有各自的验证器,这些验证器的优势在于安全性比邮箱和手机号码获取验证码更安全(邮箱有高机率被不法份子盯上被骇、邮箱和手机都有可能被不法份子钓鱼获取验证码)。微软的账户或苹果账户注册的平台账户还设有免设密码的功能(提防骇客以系统大规模自动攻击一个平台的所有账户),直接以验证器生成的验证码(微软)或生物识别(人脸或者指纹)验证登录。
有个情况是邮箱被骇,但平台账户设有双重验证,那使用被骇的邮箱获取重置平台账户密码的链接是否成功重置平台账户的密码?这取决于该企业的风险评估(risk assessments),有些平台在重置密码时原先设定的双重验证自动失效,有些平台会要求双重验证,较严谨的会要求邮箱外的其他双重验证如手机验证。如遇到反欺诈不严谨的平台且双重验证设置邮箱获取验证码,不法份子就可以用骇进的邮箱再骇进平台账户尝试套取现金。
除此之外,生物识别科技催生了密钥(Passkey),让登录更方便和安全。但是账户被骇,骇客依然可以删掉密钥和设立骇客的密钥让骇客登录。
别忽略第三方社交媒体登录
欺诈其中一个常见的手段是骇进第三方社交媒体,再骇进平台账户。现今的平台账户都可以使用第三方社交媒体如脸书账户和谷歌账户登录,一旦成功登录账户,第三方社交媒体也处于登录状态,因此社交媒体也是会被骇客盯中的高风险软件。
另外一种可能出现的情况是在公开场合使用非自己的电子设备,再以第三方社交媒体登录平台账户,届时平台账户和用以登录平台账户的社交媒体都会登录,但却忘了登出第三方社交媒体。
社交媒体被骇,绑定的平台账户也会被骇,就会被不法份子尝试套取现金。因此,对绑定平台账户的社交媒体也应该设置双重验证。如使用第三方社交媒体登录平台账户,需提醒自己要登出第三方社交媒体,尤其是使用非自己的电子设备或者会与他人共享的电子设备。
电子设备丢失应变方法
电子设备丢失无论是疏忽丢失或者被偷/被抢,市民只要做好几个简单的防范措施,就可以减低欺诈的风险。
在登录任何电子设备时,强烈建议使用生物识别验证(人脸识别或者指纹),这可避免其他人登录手机。一些可以启用生物识别验证的程序尤其是银行和电子钱包程序也强烈建议开启。
SIM卡应该设立密码,避免在手机或者平板电脑丢失时被不法份子登录以手机号码登录的平台。
当确认电子设备丢失后,投报执法机构、前往电讯公司更换SIM(如需要)、电子设备的相关系统(如苹果/谷歌/微软)更换密码、购买新手机赶紧对银行程序、电子钱包、涉及付款的程序在新设备登录和移除旧设备记录(如在该系统登出旧设备、移除成为信任设备的旧设备)。
由于欺诈的性质非常的复杂,假设账户被盗电子支付被盗刷,赔偿取决于企业的反欺诈政策、企业注册在地的法律等。
马来亚大学经济系毕业、中英文专栏作者。群议社社员,相信以公共政策改革打造更美好的马来西亚。
