電子錢包安全指南：PayMe、AlipayHK 的風險與防範

香港的電子錢包使用率持續上升。街市買菜、茶餐廳用餐、朋友聚會夾錢,都可以用手機掃碼完成。方便的同時,安全問題也隨之而來。

帳戶被盜、詐騙訊息、釣魚連結,這些威脅離我們並不遙遠。了解風險所在,採取適當預防措施,才能安心享受電子支付的便利。

香港常用電子錢包概況

香港主流電子錢包各有特色,安全機制也稍有不同。

PayMe(滙豐/恒生銀行)

由滙豐及恒生銀行推出,最初用於朋友間轉帳,現已支援商戶付款。帳戶需連結本地銀行戶口,轉帳即時從銀行扣款。

安全特點:需要設定6位數字密碼或生物認證(指紋/面容識別)、每次交易推送通知、每日轉帳限額可自行設定。

AlipayHK(支付寶香港)

源自內地支付寶,但香港版獨立運作。除了銀行戶口,也可以透過便利店增值。支援跨境支付,在內地和澳門可用。

安全特點:需要身份認證(初級或高級)、設有手勢密碼或生物認證、內置風險監測系統、支援掛失功能。

WeChat Pay HK(微信支付香港)

與內地微信錢包分開,香港用戶需另外註冊。可連結信用卡或銀行戶口,也可透過便利店增值。

安全特點:每次支付需要輸入密碼或生物認證、交易記錄即時顯示、可設定免密支付小額上限。

八達通 O! ePay

八達通公司推出的電子錢包,可為實體八達通卡增值,也可進行網上支付和轉帳。

安全特點:需要註冊實名認證、設有交易密碼、每日轉帳和消費限額。

常見安全風險

無論哪個電子錢包,都可能面對以下風險。

帳戶被盜用

如果你的手機遺失或被盜,而電子錢包沒有設定密碼保護,拾獲者可以直接使用。即使設有密碼,如果密碼太簡單(例如123456或生日),也容易被猜中。

2024年香港警方接獲超過500宗電子錢包盜用案件,損失金額超過2,000萬元。大部分案件涉及手機遺失或密碼被盜。

釣魚詐騙

騙徒發送假冒電子錢包公司的訊息,聲稱「帳戶異常需要驗證」或「中獎需要領取」。訊息附有連結,點擊後進入假網站,要求輸入帳號密碼或銀行資料。

這類詐騙訊息越來越難分辨。騙徒會模仿官方用語和格式,甚至使用相似的發送號碼。一不小心就會上當。

二維碼陷阱

商戶展示的付款二維碼被人偷換,你掃碼後錢轉到騙徒帳戶而非商戶。這種情況雖然不常見,但確實發生過。

另一種是騙徒主動向你出示「收款碼」,聲稱是付款碼。你掃描後以為在收錢,實際上是向騙徒轉帳。

個人資料外洩

使用電子錢包時需要提供個人資料,包括姓名、電話、身份證號碼、銀行帳戶。如果電子錢包公司的系統被入侵,或者職員不當處理,資料可能外洩。

資料外洩的後果不只是私隱問題,騙徒可以利用這些資料進行身份盜竊,開設其他帳戶或申請貸款。

基本防護措施

以下是每個電子錢包用戶都應該做的事。

設定強密碼和生物認證

不要使用簡單密碼。6位數字密碼至少應該是隨機數字,不要用生日、電話號碼、連續數字(123456)。

更好的做法是啟用生物認證。指紋或面容識別比密碼更安全,因為無法被輕易複製。現時大部分電子錢包都支援生物認證,設定方法也很簡單。

以 PayMe 為例:進入設定 → 安全 → 開啟生物認證。之後每次打開 app 或進行交易都需要驗證。

設定交易限額

大部分電子錢包允許你設定每日或每次交易限額。如果你平常只用電子錢包支付小額消費,可以將限額設為較低水平。

例如:每日轉帳上限5,000元、每次支付上限1,000元。即使帳戶被盜,損失也有限。需要進行較大額交易時,可以臨時調高限額。

AlipayHK 設定方法:我的 → 設定 → 支付設定 → 交易限額。

定期檢查交易記錄

養成習慣每週檢查一次交易記錄。如果發現不明交易,即使金額很小也要立即跟進。

有些騙徒會先測試,轉出小額款項(例如10元),看你會否察覺。如果沒有反應,再進行大額轉帳。

檢查時留意:不認識的收款人、不尋常的交易時間、金額異常。所有主流電子錢包都有詳細交易記錄,按日期和金額排列,容易查閱。

啟用交易通知

確保已開啟推送通知功能。每次有交易,手機會即時收到提示。如果收到通知但你並未進行交易,立即採取行動。

部分電子錢包也支援電郵或短訊通知。雖然不如推送通知即時,但可作為額外保障。

進階保護技巧

做好基本防護後,可以考慮以下進階措施。

不連結主要銀行戶口

如果你有多個銀行戶口,考慮開設一個專門用於電子錢包的戶口。只在這個戶口保留適量餘額,需要時才從主要戶口轉入。

這樣即使電子錢包被盜,損失也局限於該戶口的餘額,不會影響主要儲蓄。

實際操作:在虛擬銀行(例如 ZA Bank、Mox、livi)開設戶口,只保留5,000-10,000元。電子錢包連結這個戶口,主要儲蓄放在另一個傳統銀行。

小心掃描不明二維碼

不要隨便掃描來路不明的二維碼。商戶的付款碼應該清晰展示商號名稱。如果二維碼只是貼紙,可能被人更換。

付款前先確認收款方名稱。大部分電子錢包掃碼後會顯示收款方資料,才要求你確認金額和輸入密碼。如果收款方名稱可疑,立即取消交易。

定期更新 app

電子錢包公司會不時更新 app,修補安全漏洞和加強防護。確保你使用最新版本,不要忽略更新提示。

同時,只從官方渠道下載 app。App Store 或 Google Play 是最安全的來源。不要從不明網站下載 APK 檔案安裝,可能是假冒 app,專門盜取資料。

避開公共 Wi-Fi

在公共場所使用電子錢包時,盡量使用手機數據而非公共 Wi-Fi。公共網絡可能被監控,傳輸的資料有機會被截取。

如果必須使用公共 Wi-Fi,考慮先連接 VPN 保護資料傳輸。但更簡單的做法是直接用手機數據,反正電子錢包用不了多少流量。

識別詐騙訊息

騙徒的手法不斷演變,但有些共通特徵可以幫助你識別。

檢查發送者資料

官方訊息通常來自已認證的帳號或號碼。如果是短訊,留意發送號碼是否與之前官方訊息一致。

可疑訊息特徵:來自普通手機號碼(而非短碼)、號碼包含國際區號、發送者名稱是模仿官方但稍有不同(例如「PayMe-HK」而非「PayMe」)。

留意語氣和用詞

官方訊息通常用詞正式準確,不會有文法錯誤或奇怪用語。

可疑訊息特徵:製造緊急感(「必須在24小時內處理否則帳戶將被凍結」)、要求提供敏感資料(「請回覆你的登入密碼以便驗證」)、承諾不尋常優惠(「恭喜你中獎獲得10,000元,請點擊連結領取」)。

絕不點擊可疑連結

收到任何聲稱來自電子錢包公司的訊息,不要點擊內附連結。正確做法是自己打開 app 或到官方網站,查看是否有相關通知。

電子錢包公司不會透過訊息要求你提供密碼、驗證碼、銀行帳戶資料。如果有這類要求,肯定是詐騙。

手機遺失的應對

萬一手機遺失或被盜,立即採取以下步驟。

遠端鎖定或清除手機

iPhone 用戶可以透過「尋找我的 iPhone」功能遠端鎖定或清除手機。Android 用戶可以用「尋找我的裝置」。

這需要預先設定。如果你還未設定,現在就去做。登入 iCloud 或 Google 帳戶,啟用尋找裝置功能。

聯絡電子錢包公司

立即致電客戶服務熱線,要求暫停帳戶。電話號碼可在官方網站查到,也可以用另一部手機登入 app 查看。

主要電子錢包客服熱線:

• PayMe: 2233 3000(滙豐)或 2198 8000(恒生)
• AlipayHK: 3001 5520
• WeChat Pay HK: 3929 1666

暫停帳戶後,所有交易都會被阻止,即使有人取得你的手機也無法使用。

聯絡銀行凍結連結帳戶

如果電子錢包連結銀行戶口或信用卡,也要通知銀行。可以要求暫時凍結相關帳戶或卡片,防止未經授權的交易。

更改密碼和檢查交易

找回手機或使用新手機後,立即更改所有密碼。檢查遺失期間有沒有可疑交易,如有損失要向電子錢包公司和警方報告。

電子錢包公司的責任

作為用戶,你有責任保護自己的帳戶。但電子錢包公司也有義務提供安全的服務。

香港金融管理局規管儲值支付工具(SVF)持牌人,要求他們建立足夠的網絡安全措施、保護客戶資料、監察可疑交易。

如果你因系統漏洞或公司疏忽而蒙受損失,公司有責任賠償。但如果是因為你自己洩漏密碼或點擊釣魚連結,通常不獲賠償。

所以,最好的保障還是自己做好防範。不要以為「出事自然有公司賠」,實際索償過程可能很複雜,而且未必成功。

平衡便利與安全

電子錢包的確方便,沒必要因為安全顧慮而完全不用。重點是建立良好習慣:設定強密碼和生物認證、定期檢查交易記錄、不點擊可疑連結、手機遺失立即處理。

這些措施不需要花很多時間,但可以大幅降低風險。就像出門鎖門一樣,成為日常習慣後就不會覺得麻煩。

安全和便利不是對立的。做好該做的防護,就可以安心享受電子支付帶來的便利。