問:中國支付終端機製造商百富環球開設在佛羅里達州的美國辦事處日前遭到美國聯邦調查局及國土安全部搜查,而全球主要的支付處理公司WorldPay亦宣布,停用百富環球製造的終端機。無論聯邦調查局,以至WorldPay的聲明,都指總部設於深圳的百富環球終端機,連接不明網站而未有合理解釋,以及涉及大規模針對美國和歐盟的網絡攻擊。現時的電子支付終端機,為何會成為黑客的跳板?
李建軍:由於智能手機以及寬頻互聯網的普及,電子支付終端機的設計比起十年前複雜了好多。基本上,新一代的電子支付終端機,不少都使用Android作業系統,連上4G甚至5G數據網絡,亦有不少具備Wi-Fi以及藍芽連接能力。除了軟件安裝程序特別麻煩,現時一部電子支付終端機的硬件,其實大致上與一部智能手機沒分別。亦因為支付終端機與智能手機甚至平板電腦的技術相似,不法分子要安裝木馬軟件,變得理論上可行。
但光是理論上可行,都不足以造成保安風險,又即造成了保安問題,成因也有諸多可能,也許出現在硬件上,也可能出現在軟件上。
一般而言,只有製造商才有能力在支付終端機安裝軟件,而製造商會受到嚴密規管。譬如部分歐洲地區,當地政府更會定期對終端機作出調查,並加上封條,以免有人更改內裡軟件,作出逃稅或偷竊消費者信用卡資料等行為。因此,當歐盟、美國以及英國執法部門發現異常情況時,就很容易推論出木馬的來源是製造商本身,因為製造商的主機可以透過軟件更新程序,同時植入木馬,甚至有關終端機出貨時,已經一早有木馬軟件。這種手法,之前在翻牆問答介紹一些中國廠商手機,甚至網絡設備植入木馬手法時都介紹過。因此,像支付終端機這種用戶不大可能有能力自己改軟件的設備,都居然有奇怪的網絡活動時,除了廠商有問題,找不到其他更合理解釋。
這次聯邦調查局以及國土安全部之所以搜查百富環球辦公室,就是要試圖找出答案。但當然了,有關答案可能在中國深圳的總部才能找到。
問:倘若支付終端機有問題,消費者有甚麼可以做呢?
李建軍:情況若發生在中國,消費者除了留意銀行往來紀錄,及時察覺異常支出外,基本上沒有甚麼好做,因為中國絕大部分銀行都為國企,即使是民營銀行也無礙當局審查。因此,你只要用中國的銀行服務,一切就在監控之下。見到異常的刷卡簽帳,只能儘快向銀行報告並且要求替你更換新卡。
至於香港以及海外的消費者,在決定使用信用卡或提款卡簽帳前,不妨留意支付終端是否有百富環球的標誌,如果有的話,就寧可改用現金付款。
在無法使用現金的情況下,Apple Pay和Google Pay不失為一個安全的替代方案。因為Apple Pay和Google Pay都只會傳送一組代碼給支付終端,並不會傳送實體信用卡或提款卡號碼,大大提高安全度。現時大部分支付終端,只要支持非接觸式付款,都幾乎肯定會支援Apple Pay和Google Pay,故使用非接觸式付款既方便,也可以克服這次百富環球事件所帶來的部分問題。
問:對於商戶而言,他們現在可以做甚麼?
李建軍:有部分支付服務供應商,已經向使用百富環球終端機的客戶發出通知,歡迎他們改用其他的終端。假如有商戶所採用的支付服務供應商仍未作出有關更改安排,那麼相信對大部分商戶而言,主動向支付服務供應商要求更換終端機是唯一方法。如果你對手上的百富環球終端機有疑慮,應立即停用,並且要求服務供應商提供一部新的、由其它公司生產的終端機。皆因終端機會連接你的收銀機系統乃至Wi-Fi網絡,對商戶從財政到整體的保安都會帶來很大影響。因此必須立即向服務供應商要求提供可靠品牌的支付終端,否則換上百富環球的新機又或只加裝百富環球提供的更新軟件,不能擔保支付終端本身不會有任何木馬。