香港提款機安全貼士:避免信用卡盜錄及詐騙
提款機盜錄裝置在香港的運作方式、被篡改的機器外觀,以及在每台提款機上保護你的卡資料及PIN碼的習慣。
提款機盜錄裝置在香港的運作方式、被篡改的機器外觀,以及在每台提款機上保護你的卡資料及PIN碼的習慣。
提款機盜錄涉及在提款機上安裝隱蔽硬件,以捕獲毫無戒心的用戶的卡資料及PIN碼。儘管晶片及PIN技術已廣泛採用(使捕獲的磁條資料在本地交易中的用途降低),盜錄活動在香港仍持續存在,原因在於:捕獲的卡資料可用於製作偽冒卡在仍依賴磁條的地區使用、卡資料加上PIN碼可用於海外提款,以及部分本地交易仍回退至磁條處理。
完整的盜錄裝置由兩個部分組成。讀卡器部分——安裝在真實插卡口上方的薄塑料覆蓋物——在插入卡片時捕獲磁條資料。這種覆蓋物是針對特定提款機型號製造的,若不仔細檢查,通常與真實讀卡器難以區分。PIN碼捕獲部分,要麼是藏在鍵盤上方假面板中的微型攝像頭,向下錄製PIN碼輸入,要麼是放置在真實PIN鍵盤上方的薄覆蓋物,以電子方式記錄按鍵資料。
香港的盜錄攻擊已見於高流量地點的提款機——購物中心提款機群、機場候機室及密集城市提款機大堂——因為流量能在設備被發現前最大化收集到的資料。銀行 ↗在有保安攝像頭及定期維護檢查的專用封閉式銀行大堂內安裝的提款機,比零售空間、旅遊區及監控覆蓋較低地點的獨立提款機更少被針對。香港警務處網絡安全及科技罪案調查科定期在發現盜錄設備時發出警報。
在任何提款機插入卡片前進行簡短檢查,可大幅降低遇到未被發現的盜錄設備的風險。檢查不到10秒,熟練後便會成為自動習慣。基本前提是,真實的提款機組件是牢固固定、顏色一致、與機器表面齊平的——無論製作多精良,盜錄覆蓋物通常都有細節顯示出與真實硬件的區別。
從讀卡器開始。抓住讀卡器插口區域,施以輕微的搖晃壓力——真實讀卡器牢固固定在提款機機體上,不應移動。盜錄覆蓋物以雙面膠或輕型黏合劑固定,以這種方式測試時可能略有搖晃。留意讀卡器與機器其他部分之間的顏色差異、覆蓋物與機體接合處的縫隙或不均勻的接縫,或機器上看起來更新、外觀不同或與整個裝置不一致的任何部分。
檢查PIN鍵盤周圍及其上方的表面。留意任何不尋常的突出物、不對稱的面板,或可能隱藏指向鍵盤的攝像頭的物品——詐騙者曾將攝像頭藏在假燈具、假宣傳資料架及提款機上方的鏡面物體中。在PIN鍵盤本身,感受是否有覆蓋物而非真實鍵盤所會有的海綿感或厚度——真實PIN鍵盤有紮實、清晰的按鍵行程。若提款機有任何不尋常之處,請使用另一台機器,並向銀行 ↗的安全熱線或警方報告。
PIN碼保護是在任何提款機上最重要的習慣。沒有你的PIN碼,盜錄器捕獲的卡資料用途大為降低——攻擊者雖有你的磁條資料,但若無PIN碼,便無法進行提款。在輸入PIN碼時,用非慣用手遮蓋鍵盤——形成一道實體屏障,阻擋任何隱藏攝像頭錄製數字——是在提款機上最有效的行為防禦措施。這不需要額外時間,也不需要任何技術知識,人人均可做到。
選擇哪台提款機也在你的掌控之中。設有內部保安攝像頭、由銀行員工定期維護的銀行大堂提款機是最安全的選擇。香港匯豐、恒生、中銀香港及其他主要銀行分行內的提款機,比購物中心公共區域、尖沙咀或銅鑼灣旅遊走廊及便利店的獨立提款機,實體安全環境更佳。盡可能使用自己銀行的提款機——許多主要香港銀行在JETCO等網絡內有免費安排,使用熟悉的機器更容易發現異常。
使用提款機時留意周圍環境同樣重要。「側肩窺視」——有人站在足夠近的地方,可觀察你的PIN碼輸入或讀取交易屏幕——是有別於盜錄的另一種威脅。確保沒有人處於可觀察你屏幕或鍵盤的位置。留意主動提供「協助」的陌生人——這是常見的分散注意力手法。完成交易、取回卡片,在查看收據或現金前先離開機器。
若你的提款機卡資料已被盜用——無論你是發現了可疑設備、收到海外提款的提示,還是在帳單上發現不明提款——應對時間緊迫。首要步驟是在更多提款被處理前封鎖你的卡片。所有主要香港銀行均提供透過手機應用程式(通常在「卡片管理」下)、24小時電話銀行,或在任何分行提款機使用卡片及PIN碼封鎖卡片的服務。在調查詐騙範圍前,先封鎖卡片。
向你的銀行報告詐騙,啟動爭議程序。提供任何未授權交易的詳情——日期、金額、提款機位置(如知)。香港銀行被要求調查詐騙投訴,對於符合真實盜錄詐騙標準的交易,一般會在你及時報告且無疏忽的情況下,根據其零責任政策退還損失。此處的「疏忽」,通常是指自願將PIN碼告訴他人,或未注意到極明顯的篡改——在提款機上正常謹慎地使用,不構成疏忽。
向警方報告被盜用的提款機,對你的個案及防止更多受害人均很重要。致電999報告在提款機位置發現的可疑盜錄設備——提供銀行名稱、提款機位置及可疑元素的描述。銀行自身的安全團隊亦應收到通知——聯絡方式通常印在提款機上。如安全的話,為可疑設備拍照(不要觸碰)——這對銀行調查及警方程序均可作為重要證據。
