根据报导,近日有数名教师的一触即通电子钱包(Touch ’n Go eWallet)被骇客入侵,造成严重的损失。
其中一名受害者在民主行动党联邦直辖区公共投诉局举办的记者会上指出,该户头在短短7分钟内进行了3次的交易,损失近3000令吉,还有者被激活了与银行户头相连的自动充值功能。
根据《光华日报》公布的截图显示,有一个账号被用来购买Steam钱包点数(Steam Walley credits),在基于威尔乌(Valve)平台进行多笔300令吉的交易。
据悉,这次事件约20名教师成为受害者,他们异口同声要求一触即通公司给予解释,同时不解为何在没有获得用户的许可的情况下批准相关的交易。
该投诉局主任游佳豪呼吁其他受害者勇敢发声,并且向警方报案,他还建议用户不要使用身份证前6位数字或生日日期,作为电子钱包的6位数密码。
一次性密码和6位数密码
根据数年前的投诉和安全建议,一触即通电子钱包对安全程序已经做了更动,还有该次程序需要脸部识别认证、6位数密码和一次性密码(OTP),值得一提的是,该电子钱包仅允许一个设备操作,如果另一部设备登录,前者就会自动登出。
如果你需要用新手机登录一触即通电子钱包,而启用脸部识别认证的用户,需要扫描脸部并眨眼证明不是机器人;若是使用脸部匹配则需要输入一次性密码,如果脸部识别失败或取消,该应用程序将要求输入6位数密码。
我们测试后发现,没有脸部识别的用户只需输入6位数的密码即可登录户头,在某种情况下,如果你试图在同一个设备上重新登录,你可以用脸书识别,而无需6位数密码或一次性密码。
此外,在撰写这篇文章时,一触即通电子钱包没有为该应用程序启动指纹验证码,该指纹验证通常在较旧的设备,同时可避免6位数密码曝光。
当局一直提醒用户不要使用生日日期、电话号码、一般数字(123456)和重覆数字(111111)作为保护户头的6位数密码。
其实,一触即通电子钱包有退款保证政策(Money Back Guarantee),当局承诺如果你的电子钱包被收取授权交易费,将在5天内退还钱给你。
但是,用户必须在未经授权的交易日期起60天内向一触即通公司申报相关的交易,经调查和确认后将会在5个工作日内给予赔偿。
恶意软件应用可能是罪魁祸首
除了使用更强的密码保护账户外,安装的应用程序有可能会让网上银行和电子钱包的安全暴露在风险中,使用被恶意软件侵袭的APK文件可以窃取2FA短信代码,这种骗局日益增长。
还有,这些恶意软件将能够浏览你的短信,其中包括银行或电子钱包供应商发送的一次性密码,这能让不法之徒更轻易登录受你的账户。
我们建议所有用户仅从苹果应用商店、谷歌应用商店和华为应用库下载应用程序,尽量避免下载或安装陌生人发送的随机APK文件。
马来亚银行(Maybank)也发布了资讯图,并警告所有客户不要安装来历不明的应用程序。
