【本報台北訊】民眾電子支付帳戶遭詐騙集團冒名綁定銀行戶頭或信用卡，導致銀行帳戶裡的錢，一夕被搬空，引起外界關切；為了補漏洞，金管會要求銀行公會修改「電支安控基準」，4月1日起，民眾申請電支帳戶綁定時，電支機構身分確認程序中，需增加核驗申請人原留存在銀行或發卡行的手機號碼，確認申請人與帳戶所有人是同一人，以強化金融支付工具驗證措施。

民眾用電支帳戶可綁信用卡或銀行存款帳戶做付款，綁存款帳戶者還能做儲值、轉帳等用途。目前共有10家專營電子支付機構，總使用者人數約2234萬人，等於全台平均每個人的手機至少有一個電支帳戶App。

截至今年1月底，用戶數前3大是街口支付、一卡通money和全支付；悠遊卡、全盈支付緊追在後，光是前5大市占就達78%，等於全台有近8成民眾手機的支付帳戶App，被這前5大電支機構攻占。

去年11月有民眾陳情，電支帳戶遭詐騙集團冒名綁定存款帳戶，導致一夕間銀行帳戶餘額幾乎歸零，還有民眾是銀行帳戶莫名變成了警示帳戶，質疑電支帳戶在綁定過程中有驗證漏洞。

目前民眾要開設電子支付帳戶，都是「實名制」，尤其是綁存款帳戶，需拍照上傳身分證、姓名、生日等，為何還會發生電支帳戶被詐騙集團偽冒盜用、再綁定銀行帳戶？

OTP驗證碼  搬空存款的漏洞

據銀行局了解，是詐騙集團已握有受害人基本資料，包括身分證影像、姓名、生日等個資，當電支帳戶綁定存款帳戶時，銀行會發一組OTP驗證碼到申請人手機。

最大漏洞是，當歹徒申請電支帳戶時，是設定自己的手機號、而非受害人的，而電支機構在身分確認程序核驗存款帳戶或信用卡時，並未再向銀行或發卡行做受害人原始手機確認，導致受害人在不知情的情況下，被歹徒順利拿到OTP驗證碼、鑽了電支帳戶綁定漏洞而搬空存款。

銀行公會這次修正「電支安控基準」，也放寬電支機構崁入第三方行動裝置應用程式（如LINE App）時，除了查個資以及國內外小額匯兌，其餘業務崁入時，准許用較低的資安檢測標準，以提高被崁入的App業者與電支機構合作意願。也就是說，例如未來愛金卡（I-Cash）想與某家App業者合作，將I-Cash崁在該業者獨立的App時，除了查個資或做匯兌，其餘業務合作，該業者App的應用程式都不再需要符合高資安檢測標準。