電子支付安全升級：如何應對新型詐騙手法？

詐騙手法不斷演進，安全防護也要與時俱進

隨著數位金融的蓬勃發展，電子支付已成為香港市民日常生活中不可或缺的一部分。從街市買菜到大型商場購物，從搭乘交通工具到繳納各類帳單，只需一部智慧型手機或一張信用卡，交易瞬間即可完成。這種便利性極大地提升了生活效率，但同時也為不法分子開闢了新的犯罪途徑。近年來，針對電子支付的新型詐騙手法層出不窮，其複雜性與隱蔽性已遠超傳統的電話詐騙或釣魚郵件。詐騙集團利用尖端科技，如人工智慧（AI）和社交工程學，精心設計陷阱，令即使是最謹慎的使用者也可能不慎上當。

傳統的安全措施，例如靜態密碼、簡訊一次性密碼（OTP），在面對這些新型威脅時，逐漸顯露出其局限性。詐騙者能夠透過惡意軟體攔截OTP，或透過偽基站發送詐騙簡訊。更令人擔憂的是，許多使用者對潛在風險的認知不足，認為使用了官方認證的電子支付平台就絕對安全，這種錯誤的安全感反而成為防護體系中最脆弱的一環。因此，我們的安全思維必須從被動防禦轉向主動預警與持續學習，不僅技術需要升級，使用者的安全意識更是抵禦詐騙的第一道，也是最重要的一道防線。這是一場與時俱進的攻防戰，任何停滯都意味著風險的累積。

新型電子支付詐騙手法解析

要有效防範，必先深入瞭解敵人。當前湧現的新型電子支付詐騙手法，主要呈現技術化、社交化與跨境化的特點。

AI深度偽造詐騙 (Deepfake)

這可謂是當前最具威脅性的詐騙技術之一。詐騙者利用AI深度學習技術，偽造出令人難辨真偽的影像或聲音。例如，他們可能偽造公司高層主管的視訊通話，指令財務人員進行緊急轉帳；或模仿親友的聲音撥打電話，以急需用錢為由請求匯款。在香港，已有金融機構通報疑似此類的詐騙嘗試。這種手法極具迷惑性，因為它直接繞過了傳統「驗證身分」的邏輯——你看到或聽到的「人」似乎是可信的，但實則是數位偽裝。這對企業的財務安全與個人的財產保障構成了前所未有的挑戰。

惡意程式碼隱藏在免費應用程式中

許多使用者為了節省開支，會從非官方應用商店下載破解版或免費的遊戲、工具軟體。這些應用程式很可能被植入了惡意程式碼，一旦安裝，就會在後台靜默運行，記錄使用者的鍵盤輸入（鍵盤側錄）、截取手機螢幕畫面，甚至攔截並轉發銀行或支付平台發來的驗證簡訊。當使用者在受感染的設備上進行支付操作時，其帳號、密碼及動態驗證碼便一併洩露。這類攻擊直接針對支付環節的終端設備，防不勝防。

利用社交媒體散佈詐騙訊息

社交平台已成為詐騙溫床。詐騙者會創建仿冒知名品牌、商戶或甚至政府部門的粉絲專頁或帳號，發佈限時優惠、抽獎活動或緊急通知，誘導使用者點擊連結。這些連結可能導向精心設計的釣魚網站，要求使用者輸入支付資訊進行「領取」或「驗證」；也可能直接導向下載惡意應用程式。由於訊息在熟人圈子間轉發，可信度被無形中放大，導致許多人放鬆警惕。例如，假冒某大型連鎖超市的「周年慶掃碼領券」活動，就曾騙取大量用戶的信用卡資料。

加密貨幣相關詐騙

隨著虛擬資產的熱潮，相關詐騙也急遽增加。常見手法包括：設立假的加密貨幣交易平台或投資計畫，以高額回報為誘餌吸引投資；假冒加密貨幣錢包客服，以協助解決問題為名索取助記詞或私鑰；或在交易過程中，利用買家/賣家的急切心理進行釣魚。由於加密貨幣交易具有匿名性和不可逆轉性，一旦資金被轉出，追回難度極高。香港證監會及警方近年已多次發出相關警告，但案件仍時有發生。

提升電子支付安全防護的新策略

面對日益精密的詐騙手法，單一防護手段已不足夠，必須構建一個多層次、動態演進的綜合防護體系。

加強使用者教育，提高防詐意識

這是成本最低、效益最高的防護策略。支付平台、金融機構及政府部門應聯手，透過多元管道（如社交媒體、電視廣告、社區講座）進行持續性公眾教育。教育內容應具體、易懂，例如：

• 如何辨識官方網址與應用程式（檢查開發者資訊、下載量）。
• 絕不向任何人透露OTP、網銀密碼或支付密碼。
• 對任何「緊急」的轉帳要求保持懷疑，務必透過原有已知聯絡方式進行二次確認。
• 定期檢查銀行及支付帳戶的交易記錄。

香港金融管理局（金管局）與香港警務處反詐騙協調中心（ADCC）推出的「防騙視伏器」等工具，就是很好的實踐，讓市民能即時查詢可疑網站、電話號碼或銀行帳戶。

導入AI反詐騙技術

「以AI對抗AI」已成趨勢。先進的電子支付平台正導入機器學習模型，實時分析每一筆交易的上百個特徵維度，例如：交易時間、地點、金額、設備指紋、使用者行為模式（如打字速度、滑軌跡）等。系統能在一秒內判斷該交易是否存在異常，若偵測到風險，可立即要求進行額外的身分驗證（如生物辨識）或暫時凍結交易並通知使用者。這種基於行為分析的風控系統，能有效識別帳號被盜用或交易被操控的風險。

強化生物辨識技術的安全性

密碼會遺忘、會被盜，但生物特徵具有唯一性。現代的支付安全已廣泛採用指紋、臉部辨識甚至聲紋辨識。為對抗Deepfake等偽造技術，生物辨識本身也在升級。例如，採用「活體檢測」技術，要求使用者進行眨眼、搖頭等動作，以確認鏡頭前是真實的人而非照片或影片；或使用3D結構光技術來建立精確的臉部深度圖，防止平面照片攻擊。未來，多模態生物辨識（結合臉部、聲音、行為）將成為提升pos 終端機及移動支付安全性的關鍵。

利用區塊鏈技術追蹤詐騙資金流向

區塊鏈的不可篡改和透明可追溯特性，為打擊金融詐騙提供了新思路。雖然加密貨幣常被用於詐騙，但區塊鏈技術本身也能用於反詐。例如，可探索建立一個合規的、跨機構的詐騙交易資訊共享鏈。當某個銀行帳戶或加密貨幣地址被確認涉及詐騙，其資訊可被加密後記錄在鏈上，其他參與機構在處理交易時能即時獲得預警。這類似於一個分散式的黑名單共享系統，能大幅增加詐騙集團洗錢和轉移資金的難度。這項技術的應用，需要監管機構、銀行與科技公司的緊密合作。

電子支付平台應採取的應對措施

作為支付服務的提供者，電子支付平台肩負著保障交易安全的核心責任。除了提升技術，更需從機制與合作層面著手。

建立詐騙資訊共享平台

詐騙攻擊往往是跨平台進行的。一個詐騙分子可能同時針對多個支付工具和銀行。因此，業界不應各自為戰。參考國際經驗，香港的支付平台可以推動建立一個行業內的「詐騙資訊共享平台」。在此平台內，各成員在符合個人資料隱私法規的前提下，匿名化地共享詐騙模式、惡意網址、可疑設備指紋、涉案帳戶片段等威脅情報。這種集體防禦能讓所有參與者更快地識別新興威脅，並在攻擊擴散前進行阻斷。這需要一個中立的協調方，例如行業公會或監管機構支持的組織來運作。

加強與執法機構的合作

當詐騙案件發生時，快速反應是挽回損失的關鍵。支付平台應與香港警務處建立暢通、高效的對接管道。例如，設立專屬的聯絡窗口與資料提交系統，以便在接獲用戶舉報後，能迅速依法向警方提供相關交易記錄、IP位址等證據，協助凍結涉案帳戶。同時，平台也應積極配合金管局等監管機構的調查與合規要求，共同完善行業安全標準。這種公私合作關係是打擊電子支付詐騙的堅實後盾。

定期進行安全漏洞掃描與滲透測試

系統的安全性並非一勞永逸。支付平台必須以「攻擊者思維」來審視自身系統。這包括：

• 定期委託獨立、權威的第三方安全機構進行滲透測試，模擬黑客攻擊以發現潛在漏洞。
• 對核心系統，如支付閘道、用戶資料庫、API接口等，進行不間斷的安全監測與日誌審計。
• 建立完善的漏洞獎勵計畫，鼓勵白帽黑客回報安全問題。
• 確保所有合作商戶的pos 終端機軟體也保持最新狀態，防止透過商戶端入侵。

透過主動發現並修補漏洞，才能將攻擊面降至最低。

使用者如何保護自己免受新型詐騙侵害

在數位時代，個人是自身資產安全的最終守門人。以下是一些具體且可行的自我保護措施：

謹慎驗證訊息來源

對任何要求提供個人資訊、支付資訊或進行轉帳的訊息，無論它來自簡訊、電郵、社交軟體還是電話，第一步永遠是「驗證」。不要直接點擊訊息中的連結。應透過官方應用程式、手動輸入官方網址或致電官方客服熱線（號碼需從官方網站查詢，而非訊息提供）來確認訊息真偽。對於聲稱來自銀行或政府的通知，尤其要警惕。

不輕易相信陌生人的資訊

在網路世界，眼見不一定為實。對於社交媒體上突然出現的「投資大師」、「高回報計畫」或來自陌生人的優惠資訊，應保持高度警惕。切勿因「限時限量」的營造而倉促做出決定。涉及金錢交易時，務必選擇信譽良好的正規平台。例如，在進行證券交易或股東權益管理時，應透過官方指定的share registrar 中文（股份過戶登記處）辦理相關手續，而非相信來路不明的代理。

定期更新防毒軟體與系統

確保你的智慧型手機、平板電腦和電腦安裝了可靠的防毒或安全軟體，並保持其病毒定義庫為最新狀態。同時，務必及時安裝作業系統和所有應用程式（特別是支付類、銀行類App）的安全更新。這些更新往往包含了修復已知安全漏洞的補丁。避免從非官方管道下載應用程式，並定期檢查設備已安裝的應用程式列表，移除不常用或來源不明的軟體。

善用支付工具的安全功能

大多數電子支付平台都提供了進階安全設定，例如：

• 設定交易限額：為每日或每筆交易設定上限。
• 啟用登入/交易通知：任何異動都能即時掌握。
• 綁定專用設備：限制帳戶只能在已認證的設備上登入。
• 使用硬體安全金鑰或獨立的動態密碼器（而非僅依賴簡訊OTP）。

花幾分鐘時間設定這些功能，能為你的支付安全增加數道可靠的鎖。

持續學習與提升安全意識，應對不斷變化的詐騙威脅

電子支付的安全是一場沒有終點的馬拉松。詐騙分子的技術與話術在進化，我們的安全知識與防護習慣也必須同步更新。無論是金融科技公司、監管機構還是每一位普通使用者，都是這個生態系統中的一員。從技術層面的AI風控、區塊鏈追溯，到機制層面的資訊共享與公私合作，再到個人層面的警惕與驗證，只有構建起一個「技術+機制+人」的三位一體防護網，才能有效抵禦日益複雜的新型詐騙威脅。

香港作為國際金融中心，在推動電子支付普及的同時，更應成為支付安全的典範。這需要全社會的共同努力：業界持續創新安全解決方案，政府完善法規與加強執法，媒體與社區組織積極宣傳防騙知識，而每一位市民則需將安全意識內化為一種數位生活習慣。唯有保持警惕、持續學習，我們才能在享受電子支付帶來無可比擬便利的同時，牢牢守護好自己的數位財產，讓科技真正為美好生活服務。

by Heidi 瀏覽 0