香港FPS(轉數快)安全指南
如何安全使用轉數快——了解FPS詐騙風險、核實最佳實踐,以及FPS轉帳出錯時的應對方法。
如何安全使用轉數快——了解FPS詐騙風險、核實最佳實踐,以及FPS轉帳出錯時的應對方法。
轉數快(FPS)由香港金融管理局於2018年9月推出,是連接所有HKMA ↗監管銀行及儲值設施的實時全天候支付基礎設施。FPS允許使用簡單識別符——手機號碼、電郵地址或香港身份證號碼——進行資金轉帳,消除了知道收款人銀行帳號的需要。轉帳即時完成,每年365天,跨所有參與機構。這代表了支付便利的重大進步,但也引入了與傳統跨行轉帳不同的特定詐騙風險。
FPS在香港銀行同業結算有限公司(HKICL)層面運作,連接參與銀行、SVF(PayMe、Alipay HK、WeChat Pay HK)及參與信用卡營運商。當你在銀行應用程式中發起FPS轉帳時,你輸入FPS識別符(電話號碼、電郵或身份證),HKICL網絡進行別名到帳戶的查詢,你的銀行在你確認轉帳前顯示已登記帳戶持有人的姓名。這個姓名確認步驟是用戶必須認真對待的關鍵核實點。轉帳在確認後即時完成——沒有冷靜期或可以攔截的進行中交易。
使FPS有價值的即時性也使詐騙恢復更加困難。與可能需要1至3天才能完成並有時可在途中召回的國際SWIFT電匯不同,FPS轉帳在數秒內完成並立即存入收款人帳戶。一旦資金進入收款人帳戶,恢復需要:收款人自願退還、收款行在警方指示下配合凍結令,或法院命令。這些均無法保證,即使在配合的情況下,過程也需要數天至數週。
香港的FPS詐騙主要以授權推送付款(APP)詐騙的形式出現——受害人被社交工程欺騙,自願發起轉帳。這使FPS詐騙有別於傳統信用卡詐騙,在後者中,受害人的信用卡資料被盜並在未獲同意的情況下被使用。在APP詐騙中,付款技術上由真實的帳戶持有人授權——使責任認定更複雜,恢復比未授權交易更困難。
最常見的FPS詐騙情景包括:假房東在租約簽訂前要求支付押金(受害人向聲稱是其看過的物業業主的詐騙者支付FPS款項);假網上市場賣家收取FPS付款後從不交貨;冒充已知收款人(控制了已遭入侵或複製社交媒體帳戶的詐騙者,向你的聯絡人列表要求FPS付款);以及在災難事件或敏感時期的詐騙慈善呼籲。共同點是社交工程製造了一個令人信服的借口,讓你向陌生的FPS識別符轉帳。
PayMe特定詐騙包括:詐騙者發送主動付款請求,希望收件人不加審查地批准;「多付款詐騙 ↗」,詐騙者向你支付超過約定的金額,然後要求你透過FPS退還差額(原始付款隨後被撤回,讓你蒙受損失);以及在商戶付款點替換假二維碼,合法的二維碼被覆蓋,將FPS付款重定向至犯罪帳戶。二維碼替換詐騙在使用印刷二維碼付款的小商戶中特別隱蔽——在確認前查看顯示的姓名是唯一的防禦方法。
姓名核實步驟是FPS用戶可用的最重要保護。當你輸入電話號碼、電郵地址或香港身份證作為FPS識別符時,你的銀行應用程式應在你確認轉帳前顯示已登記帳戶持有人的姓名。在確認前仔細閱讀此姓名。如果顯示的姓名與你打算付款的人或企業不符——或如果查詢返回錯誤或空白——不要繼續。透過完全獨立的渠道(電話、面對面)聯絡預期收款人,核實其正確的FPS識別符,然後重試。
在向新收款人進行任何首次轉帳前,透過獨立渠道核實,是防止大多數FPS詐騙的程序。「獨立渠道」意味著透過完全獨立於促使轉帳請求的通訊方式聯絡收款人。如果有人在WhatsApp上向你發送其用於FPS付款的電話號碼,不要簡單地信任那個號碼——致電你已存儲的對方電話號碼確認。這一步驟防止了冒充、帳戶入侵及許多其他詐騙情景,因為詐騙者無法攔截打給受害者現有聯絡電話號碼的電話。
在你的銀行應用程式中設置適當的FPS轉帳限額,是一個技術保障,限制了詐騙或錯誤情景中的最大可能損失。大多數香港銀行允許用戶將每日及每筆FPS限額設置在系統最高限額以下。將這些限額設置為你合法轉帳實際需要的最高金額——而非保持最高限額——意味著任何被誘導的轉帳上限是你的限額,而非你的全部帳戶餘額。這對於餘額較大的帳戶尤為重要,因為這些帳戶的默認限額可能設置得非常高。
當FPS轉帳以詐騙方式發送時——無論是因為你被欺騙而授權,還是因為你的帳戶在你不知情的情況下被訪問——應對過程與信用卡詐騙爭議不同。FPS轉帳不受Visa/萬事達卡退款規則的約束,後者為信用卡交易提供了相對標準化的爭議解決。FPS恢復取決於接收行的配合、接收帳戶的剩餘餘額以及警方行動的速度。這使即時應對窗口尤為關鍵。
立即向你的銀行報告。致電你的銀行詐騙熱線,說明FPS轉帳是被詐騙誘導或未經授權的,並要求他們聯絡接收機構嘗試召回或凍結帳戶。銀行有跨行詐騙通訊協議,及時行動有時可以在資金被提取前對接收帳戶施加凍結。同時,向CSTCB(熱線2527 7177)提交警方報告——警方可申請法院命令凍結接收行的帳戶,這通常是本地FPS詐騙恢復結果的決定性因素。
如果發送行的詐騙調查得出你是詐騙受害者的結論但拒絕賠償,請升級至HKMA的銀行投訴程序。HKMA對銀行擁有監管權力,可強制執行公平對待標準。香港銀行公會(HKAB)亦就負責任對待APP詐騙受害者發出了指引。涉及透過PayMe支付的FPS款項爭議,由HSBC詐騙團隊處理PayMe特定調查,連同標準HSBC詐騙程序。保留所有通訊記錄——銀行參考編號、警方案件編號及往來函件——因為這些對持續調查及任何升級均必不可少。
