作者:時事評論員 吳桐山
信用卡被盜用時有所聞,近期有投訴人指自己信用卡被盜用金額超過原本信用限額,銀行也沒有攔截,涉案金額高達40萬元。金管局日前與銀行公會專責小組討論後,發出新指引,要求銀行需即時檢討有關超出信用限額的信貸安排,以及在綁定信用卡至新流動支付工具中,需作雙重認證等。但技術是一把雙刃劍,越多的技術步驟,一方面可以增加安全性,但另一方面也可能被騙子利用,或者窒礙長者使用數碼工具的意欲。香港要發展成為創科中心,市民的數碼知識是一道鴻溝。政府和團體要加強對長者的數碼教育,才能從根源上減少騙案和促進技術普及。
技術是雙刃劍關鍵在人
根據金管局的說法,信用卡詐騙的典型犯案方法,通常是向持卡人發送釣魚郵件或短信,誘使他們洩露其支付卡信息,並騙取其一次性密碼以綁定信用卡至流動支付工具。金管局採用的方法就是加設更多的安全保障,例如銀行為客戶綁定信用卡至新流動支付工具(例如Apple Pay)時,要多一重認證,例如透過雙向SMS、程式內確認(In-App confirmation)或回電(Callback),也歡迎提出其他認證措施例如生物認證等。
筆者經常強調,技術是中性的工具,猶如一把刀,既可以用來幫助人,也可以傷害人,關鍵是用的人怎麼用、會不會用。最簡單的網絡安全例如密碼保護,太簡單的密碼會容易被破譯,於是很多機構就將密碼規則設置得越來越複雜。要有字母加數字,然後是要有大寫字母,再進化到要有特殊字符,再要求你6個月更換一次密碼,3個月更換一次密碼,而且你更換的新密碼,不能夠與過去的密碼相同。筆者遇過最極端的一個服務,是要求每3個月更換密碼,而且新密碼不能與之前的9個密碼重複。這意味着筆者要有10個以上不同的常用密碼,每3個月換一次,還要清楚記得現在用的是哪一個。然後,數碼專家建議你最好在不同網站用不同的密碼。寫到這裏不禁笑了,你當我是電腦嗎?哪能清楚記得這麼多密碼?
理論上,越複雜越安全,但越複雜,就越難使用,當難到沒有人能用,別說騙子進不去,使用者也進不去。一扇沒人能打開的門,固然是最安全的,所以任何事都有兩面性。
例如金管局上述的新要求,雙向SMS等,理論上可以令安全系數提升。但對使用體驗會造成折損,令長者更加害怕接觸新技術。所謂雙向SMS,筆者體驗過,一方面你會收到一個驗證碼,然後你要主動發送某串數字去某個電話,才能完成雙向認證。但有時候騙子也會利用這些複雜的位置來詐騙,例如騙子會叫你將密碼或驗證碼發給他。當然,雙向驗證不應該叫使用者發送密碼,問題是很多人尤其長者恐怕搞不清楚哪些是驗證技術,哪些是詐騙陷阱。
創新產品需要使用者教育
理論上,應該較多使用生物認證,例如指紋認證、人臉識別等,對長者使用上較為友善。當然這又涉及到個人信息收集和隱私的問題。
常說香港要發展成為國際創科中心,那麼新技術的應用就必須更多、更廣、更好,創科中心不是科學家、發明家、工程師可以完成的,還有我們——使用者。因為創科產品不是閉門造車,而是造出來給人用的,尤其是創科產品需要在很多人使用的過程中不斷修正、完善。如果香港沒有一個很好的新技術的應用環境,是十分不利創科中心的建設的。
香港人口本來就老齡化,市民普遍對新技術的接受程度不高,對信息收集、實名制等存在抗拒。要加快新技術在香港的應用,必須加強使用者的教育培訓。廣大的非牟利組織、社區團體、地區組織也可以為此作出貢獻,這應該被視為香港建設創科中心的一項基建。(資料圖)