信用卡保安淺談

好多發卡銀行都offer手機認證（例如OTP），但絕大部分付款系統（尤其係Google同Apple）都會bypass呢個步驟

所以網絡保安相當兒戲，即使你唔用SMS用其他Authenticator做MFA，付款系統唔buy一樣照碌卡。

你可以做的，就係用debit card代替信用卡

Google 基本上可以無限嘗試，有心人寫 app絕對可以brute-force碌你張卡

另外，除了2G, 有心人亦可以用FreeSMS技術forward你所有短訊，只要你部機試過forward電話號碼就會中招，基本上SMS認證絕對唔安全

所有銀行發出的信用卡，未啟動黑客都照碌得，而且絕大部分支付系統連姓名都唔會對。朋友，準備CUT卡未?

Data Breach就日日都有，但無乜中小企會老實如外公佈，因此信用卡消費極度唔安全

例如在某些日報官網訂書，佢哋會hold住你信用卡資料十幾日先過數，如果班處理該資料的職員無道德操守，基本上就RIP

又例如去高級餐廳食野，俾錢時就咁隊張卡俾侍應，佢大可在背後影你張卡正反兩面，攞到卡背嗰3隻字安全碼就可以瘋狂碌你張卡

同埋，有啲咸豐年代Layout嘅基督教書店網絡保安奇差，開戶口密碼限死6個alphanumeric，又無得set雙重認證。我試過收到兩份黑客blackmail spam，一份就爆我喺呢間書店的帳戶密碼，另一個就正正係高登。早期高登用clear text唔hash就咁save人密碼，即係連SSL都欠奉。嗰間書店連人名同SMS認證都唔駛做就可以直接碌卡，相信所有帳戶都已經中哂招等俾人碌

仲有，好多閪網站都鐘意save人信用卡資料先俾你碌，例如Google, Apple, Lalamove, HKTVMall, Adobe, WordPress, Paypal等等。基本上呢啲服務就極度高風險，如果你幫襯開又唔用FPS, AlipayHK呢啲直接從銀行儲蓄戶口扣帳的proxy, 基本上你就死硬

There are always huge costs for a bundle of convenient services. Don't fuck yourself.