繳費靈用戶遭盜撥10萬，疑黑客假卡黨聯手犯案

繳費靈網站發生用戶款項被盜事件。

繳費靈上周日發生用戶存款離奇失竊案件。受害人的繳費靈戶口疑遭盜用， 10萬元銀行存款轉移至涉案者的馬會投注戶口。易辦事並無公佈事件，又向本報堅稱系統非遭黑客入侵。易辦事、馬會及金管局口徑一致，以警方正調查為由拒絕透露詳情。據了解，疑有黑客與假卡黨聯手犯案。

本報接獲消息稱，繳費靈網上戶口上周日遭不法之徒擊破雙重認證，用戶的銀行存款轉移到騙徒馬會投注戶口。受害人已報警。

攻破雙重認證

所謂雙重認證，是用戶於繳費靈網站輸入登入密碼及手機短訊顯示的驗證密碼，才能增設繳費或投注等戶口。消息透露，懷疑有黑客盜用受害人的登入密碼等用戶資料，再由假卡黨運用資料製造假卡，到便利店等設置終端機的地點更改受害人電話號碼，驗證密碼就能傳送至不法之徒的手機，破解雙重認證。據了解，黑客並無攻擊繳費靈系統，如何取得受害人登入資料仍然成謎。
消息人士質疑，事件反映該網站有嚴重的保安漏洞，繳費靈所屬的易辦事為保聲譽罔顧公眾利益，沒即時公佈及暫停所有網上戶口服務，僅於周一起停止繳費靈用戶新增或刪除馬會戶口。一旦事件遭揭發，公眾對繳費靈失信心，靠此服務賺取利息的銀行紛紛遭殃，「以前假卡黨都係買嘢呃貨，或者換人民幣返大陸，今次係黑客同假卡黨第一次聯手犯案，易辦事一定將件事賴落受害人度，唔畀金管局追查落去」。
本報記者昨登入繳費靈網站，成功增設第三者的賬單繳費戶口，惟不能增設馬會投注戶口。
易辦事發言人證實，接獲網上繳費靈戶口涉嫌被不正常使用的用戶「查詢」，也確認款項轉移至馬會投注戶口，但強調此乃個別事件，與系統安全性無關，無任何黑客入侵紀錄，惟沒回應是否暫停用戶增設馬會投注戶口的服務。馬會表示已接獲易辦事通知，強調事件與馬會投注戶口系統無關。

轉至馬會戶口

金管局發言人向本報證實，繳費靈客戶存款轉移至馬會戶口一事，易辦事已向金管局滙報。至於何時滙報及事件始末，金管局以警方調查為由不肯透露，只提醒市民小心保管網上戶口資料，並於電腦及手機安裝防毒軟件。警方何時接獲報案及交由哪個單位跟進，警察公共關係科也沒交代，僅回覆指會跟進及了解事件。

立法會資訊科技及廣播事務委員會何秀蘭批評，易辦事應於事發後即時通知所有用戶並公佈細節，現時做法會引起公眾恐慌，「應該話畀用戶聽點樣防範，家搞到大家對繳費靈冇晒信心。」

保安漏洞 少年黑客曾盜取 15萬元

有 150萬用戶的繳費靈，系統並非首次出現保安漏洞， 07年一名 17歲少年黑客成功竊取多個用戶的密碼，盜取 15萬元，之後繳費靈為加強保安，引入雙重認證方式辨別用戶身份真偽。

出事後引入雙重認證

繳費靈是易辦事及電訊盈科於 1993年推出的電話付款服務， 1999年擴展至網上繳費，至今登記用戶達 150萬，參與商戶及公共機構達 700多個，每月處理數百萬宗交易。

市民若要登記為繳費靈用戶，需以提款卡在遍佈全港的繳費靈終端機開設戶口，並設定密碼，每次用電話或網上繳費都要輸入密碼。 07年，一名 17歲少年將黑客程式寫入流行曲檔案內，在網上任人下載，這些程式植入電腦後，就會記錄用戶在鍵盤上輸入的資料。少年以此方式偷取 4名繳費靈網上用戶的用戶名稱及繳費密碼，將用戶存款轉至他兄長的馬會投注戶口。

事件揭發後，繳費靈隨即為網上用戶引入雙重認證方式，加強保安。雙重認證是網上銀行服務普遍採用的保安方式，即用戶除了需輸入個人密碼，還需輸入另一組資料確認，方式有多種，包括輸入出生日期等個人資料、按動保安編碼器取得一次性密碼，或按手機短訊取得一次性密碼。繳費靈以手機短訊向用戶發送一次性密碼，用戶要輸入收到的密碼，以確認身份。

預防中招 每周檢查戶口抄錄資料

繳費靈設雙重認證，仍有用戶中招。有學者指出，網絡保安問題多源於個人警覺不足，呼籲市民每周檢查網上戶口一次及抄低資料，如有異樣即與有關公司聯絡甚至報警，「好多人登記咗又唔用，就咁中咗招」。

中文大學訊息工程學系客座教授、恆生商學院資訊總監黃寶財解釋，手機驗證普遍，尤其用於股票投資。網站會向用戶的手機發出驗證密碼，經電訊商加密後轉發，手機把訊息解密，用戶才能讀取，保安尚算嚴密。繳費靈雖設手機短訊驗證，若手機被盜，或短訊被其他人過目，驗證就形同虛設。若涉案者於網站更改手機號碼，更能把驗證密碼直接傳給其他手機。

兒童遊戲程式易中毒

網站登入密碼方面，應避免手機使用 facebook遊戲等程式，因 facebook為促進用戶交流及商業運作，網絡保安相對寬鬆。研究發現，坊間兩至三成電腦已中毒，兒童遊戲等程式最高危，電腦儲存的個人資料隨時外洩。