(新加坡28日讯)32岁妇女无法使用信用卡的附属卡支付诊所医药费,检查后发现附属卡在两个月前被盗刷了7次共1万零150新币(约3万1465令吉),但她指手机没收到一次性密码(OTP)的交易通知,而且她也没点击过任何可疑链接导致个人资料外泄。
当事人是陈伟雄(38岁,石油燃气业主管)和朱雪儿(32岁)夫妇,陈伟雄是信用卡持有人,朱雪儿则使用相关附属卡。两人后来得知,这些钱是被转去汇款公司,随后过账到一家大马公司。
两人接受《联合早报》访问时说,朱雪儿今年1月在妇产科付医药费时,发现常用的星展银行信用卡被拒收。两人一查才发现去年11月底,信用卡在一小时内进行了7项交易,每项交易1400多元(约4340令吉)。
两人向汇款公司查询后获知,当天其实有10项交易,但在第7项后收到银行通知交易可能涉及诈骗,结果最后3项交易被取消。
夫妇俩也称,他们向银行查询后,银行说这些交易都有一次性密码验证,因此不列为诈骗案,要求他们必须偿还欠款。
朱雪儿说:“我们一向很注重网络安全,没随便将个人资料外泄,更不会把一次性密码交给陌生人,真不知道对方是如何盗刷的。”
由于银行认为这些交易都有一次性密码验证,因此不列为诈骗案,要求夫妇必须偿还欠款。目前双方正通过新加坡金融业争议调解中心向银行商量赔钱事宜。
恶意软件阅读手机内一次性密码
英国伦敦智库战略网络空间与国际研究中心亚太区执行副总裁佘仰明受访时指出,想要盗用信用卡的人,得同时拥有信用卡的卡号,以及银行发出的一次性密码。就陈伟雄和朱雪儿的情况而言,不法之徒可能侵入两人的手机,并掌握了附有一次性密码的手机短信。
佘仰明解释,两人的手机可能下载了恶意软件(malware)或不可靠的应用,黑客透过恶意软件或应用操作受害者手机。“在这起案件中,受害者的手机可能接到一次性密码的短信,但在使用者发现前,黑客已阅读并删除了短信。”
专家提醒别点击可疑链接
佘仰明说,这是一起独立个案,而非短时间内在不同人身上发生类似案件,由此可推测漏洞来自手机,而非电信公司或信用卡系统被入侵。
他指出,顾客可请数码取证专家调查了解事发经过。他也提醒公众别点击不可信的链接。