電子支付日益興盛的今日,潛在的資安問題也開始入侵生活。當方便帶來交易的可能風險,身處風險中的我們,該如何應對並聰明解決?面對琳瑯滿目的電子支付工具,又該如何明智地運用,而非被其主宰?處處考驗著現代人身處變動社會中的辨別力及智慧。
文/侯彥伶
攝影/顏志倫
無現金支付為全球經濟帶來的浪潮,毋庸置疑地擴大了商業發展的規模,比起傳統現金,結合區塊鏈及網路宣傳的無現金,更能吸引消費及資金的挹注,在刺激經濟的活絡發展中,扮演了重要的角色。
然而,傳統的現金交易因為不經手電子設備,也不記名,具有較高的隱密性;相較之下,所謂的無現金支付,往往須綁定手機App、信用卡,留下龐大的數據資料,也不免使人擔心,這些數據最後都去了哪裡?有被妥善保管嗎?
去(2019)年7月,日本企業推出的QR Code電子支付服務「7 Pay」,甫上線便因薄弱的安全防護措施,被駭客攻擊,近千名使用者卡片被盜刷,被迫在1個月內緊急暫停服務;而號稱電子支付使用率已達95%的瑞典,則因駭客入侵、擔憂現金消失造成不便等問題日漸浮上檯面,迫使官方決定暫緩無現金腳步。
回過頭來看台灣,根據聯合信用卡中心統計,2018年國人信用卡遭盜刷的總金額高達23.5億元,其中非面對面的交易,如電商網購、網拍消費等,占比超過9成;令人瞠目的數字不禁使人反思:無現金社會雖帶來方便,但若過了頭,是否反將大眾置於風險與麻煩之中?
對此,東吳大學經濟系教授蔡宗榮表示,所謂的「資安風險」,其實是不論有沒有進入無現金社會,都必須面對及提防的問題;無現金在未來的發展大勢已定,要走回頭路十分困難,我們不能單純認為,完全地杜絕無現金,就能避開所有的資安風險;相反地,加強支付工具的管理,以及建立大眾對網路詐騙的防範觀念,才是治本之道。
卡號代碼化 串聯支付生態圈
蔡宗榮舉例,像3大手機支付系統之一的Apple Pay,在刷卡交易上的安全防堵,全球有目共睹,Apple Pay採用的便是所謂的「卡號代碼化(Tokenization)」,顧名思義,即是顧客刷卡時,商家的電子設備會收到1組代碼,而非顧客使用的信用卡16位卡號,可阻絕卡號外洩問題。這就是針對支付工具進行改善的最佳例子。
經由「卡號代碼化」的交易過程,商家不會知道刷卡人的真實卡號,只有發卡銀行透過解碼才能得知;透過來回建碼與解碼的程序,有效降低資料被竊取的風險。目前許多國內行動支付系統也持續引進代碼化功能,期許打造更安全、無縫的無現金支付保障。
此外,中央警察大學資管系教授高大宇也表示,各大Pay發展獨立的管理機制,將風險分散,也是有效防堵駭客的方式;舉例來說,銀行在工作時,會分別派屬不同員工負責不同層級、階段的資料審核,達到所謂「資訊安全秘密分享(Security Sharing)」的目標,使關鍵技術掌握在不同人手中,最後再加以統整,而非由一人獨攬;如此一來,更能確保整體資訊管理的安全。
建立資安標準 同步管理個資流向
除了在支付工具的管理上精進之外,其次便是嚴格訂立商家及電支機構的資安標準。蔡宗榮表示,倘若政府針對電子支付業者課以應有的責任,相對地,業者在尋找特約商家時就會特別注意,不符合資安標準的商家就不予合作;否則,有的商家資安管理模式過於簡略,就易使安全機制產生漏洞。
除此之外,也可依照營業規模的大小同步管理資安:「你規模大,表示你顧客多,消費金額也多,你就理當有這個責任」,蔡宗榮說,只要營業規模超過某個標準的電支機構或商家,對待資安審核就須更加嚴謹。政府最好建立一套完整的流程機制,讓業者遵循,並隨時查核,以提升消費者的信賴。
高大宇表示,任何電子支付都有一定的資安風險,安全與便利本來就是兩頭,如何達成平衡,是困難所在;商機愈多、交易金額愈大,帳戶被盜取的機率自然愈高。但目前電子支付仍處起步階段,偏向小額交易,比起單次刷卡金額可能上萬元的信用卡,電子支付尚未引起駭客的強烈興趣。
「現在銀行的資安做得比較好,若要盜領有困難度,除非得到內賊的幫助」,高大宇舉例說明,不管是Apple Pay、Line Pay或其他支付軟體,若有工程師利用技術漏洞,與後台結合,才會成為風險;但以目前各大Pay自由發展的程度來看,每個支付軟體系統機制都略有不同,駭客必須對該系統非常熟悉,才敢下手,否則就像拿到棒球棍亂揮,只是「無效打擊」的犯罪,很容易被抓到。
採「付款雙驗證」 培養正確防詐觀念
高大宇表示,以整個金融體系來說,電子支付目前要被駭客突破的困難度較高,民眾大可不必過度擔心,想要保護自身財務安全,可透過向發卡銀行申請「付款雙認證」服務,如消費當下會同時寄送Email及手機簡訊,確認是否為本人消費;以及民眾平時就要建立正確的防詐騙觀念,才能避免風險找上門。
其實,針對無現金支付的正確觀念,就與「錢財不露白」的觀念一樣,不隨意曝光自己的金融卡、信用卡卡號,及清楚管理自己的所有卡片、交易當下要清楚核對金額、每月勤對帳等等;養成良好的習慣,就可保障每筆消費都是安全交易。
此外,若手機收到不明來源的優惠連結,記得先向官方網站求證,勿直接點選,避免個資被盜取。於各大平台留下個資,也務必小心謹慎,要先確認網站真實性及勿於網站儲存密碼,以免有心人有機可乘。
詐騙手法層出不窮,然而,若能培養對資安的正確認識,以謹慎態度面對各種無現金支付,以及養成記帳習慣,其實不須過度恐慌、抗拒無現金;相反地,善用無現金支付工具,不只享有許多回饋及優惠,還能協助自己了解每個月的金流出入,達到理財效果。
「每種支付方式都有其市場的存在基礎,端看使用者能否習慣」,高大宇表示,從瑞典的例子可知,當大眾習慣使用電子支付後,會發現許多商家不願再找零;而當現金在市場無法流通時,反而會出現問題,如老年族群不習慣,認為使用現金才有保障。
瑞典官方放緩無現金腳步的法案,也是希望吹起一個號角,期盼不要進入百分百的無現金社會,同時告訴我們,無論再進步,現金還是有其市場及使用族群。但不可否認地,高大宇表示,若採無現金支付,較不容易成為搶劫標的,如前往歐洲遊玩時,很多竊賊常挑亞洲人下手,因為亞洲人習慣帶現金;相較之下,綁在手機App內的信用卡,需要密碼及雙重驗證,反而較安全。
無現金為我們帶來各式方便,減輕攜帶大量現鈔的恐懼感,以及找零的麻煩,讓消費更快速輕鬆;然而,無現金支付卻也同時成為一把雙面刃,對個資、隱私權的威脅,使許多民眾仍抱持疑慮;唯有選擇最適合自己的消費方式,並勤勞管理金流、聰明消費,才能「做錢的主人」,而非被其主宰。
看下一篇文章
看上一篇文章
