香港金融管理局於2025年12月發出的《信用卡交易安全指引》中,首次將「虛擬信用卡號碼」列為高風險網上交易的建議保安措施;加上警務處2026年2月公布《2025年科技罪案統計》,期內信用卡資料被盜用的舉報宗數較2024年飆升42%,當中逾七成個案涉及跨境電商平台。一連串數據令不少持卡人意識到,沿用多年的實體卡號加一次性密碼(OTP)模式,已難以招架日益精密的釣魚攻擊與中間人截碼。虛擬信用卡號碼(Virtual Card Number)容許用戶在手機銀行App內即時生成一組獨立卡號、CVV及有效日期,可自訂交易限額,用後即棄,即使商戶資料庫遭入侵,賊人拿到的也只是一個已失效的垃圾號碼。本港目前並非所有發卡行均提供虛擬卡號功能,但渣打銀行、Mox Bank等率先推出的方案,正重塑網購安全格局。下文將從運作原理出發,橫向對照滙豐、恒生、花旗、渣打、星展(DBS)、AEON及Mox的全線信用卡迎新優惠、年費豁免條件與現金回贈比率,助消費者無需在便利、回贈與安全之間作取捨。
虛擬信用卡號碼如何運作?為何比SMS OTP更可靠
獨立卡號與動態保安碼的技術原理
虛擬卡號並非一張新卡,而是由發卡行的系統生成、與主卡信貸額度掛鈎的一組替代號碼。每次申請虛擬卡號時,銀行伺服器會隨機派發一組16位數字、獨立CVV及自定有效期限(最長可設12個月)。該號碼在完成第一筆授權後,便只能由同一商戶再次扣帳;若客戶選擇「單次使用」,授權成功後卡號立即失效。對比傳統實體卡,其核心分野在於卡號不會在商家後台永久保存,從根本上杜絕了因商戶資料外洩而引發的後續被盜碌風險。
靜態卡號的致命弱點
過去十年,網購安全依賴3D Secure及SMS OTP作第二重驗證,然而釣魚網站會同步要求輸入OTP,並即時轉發偽冒交易。據香港電腦保安事故協調中心2026年1月的通報,假冒支付頁面的攻擊手法首次超越電郵釣魚,成為本地最主流的金融詐騙途徑。由於實體卡卡號不變,騙徒只要截獲一次完整卡資料及OTP,便能反覆在各平台試刷。虛擬卡號將這條攻擊鏈攔腰切斷:即使卡號與CVV被偷,沒有有效期及對應交易限額的配對,也無法通過銀行的授權系統。
本港支援虛擬卡號的發卡行及信用卡一覽
渣打Smart信用卡——原生虛擬卡功能最成熟
渣打Smart信用卡是本港少數在官方《SC Mobile》App內置「虛擬卡」申請功能的產品。持卡人可隨時生成多組虛擬卡號,並為每組卡設定HK$1至HK$50,000的交易限額及到期日。該卡年費為HK$2,000,首年豁免,每年累積簽賬達HK$60,000即可續免。迎新優惠截至2026年6月30日,新客於發卡後首兩個月累積簽賬HK$8,000,可獲HK$1,200現金回贈。網上購物及外幣簽賬一律享5%現金回贈(每月回贈上限HK$300),其他本地及海外簽賬1.2%現金回贈無上限。若持卡人將虛擬卡號設定用於經常光顧的跨境平台,5%回贈幾乎抵銷手續費有餘。
Mox Card——純數碼銀行隨時生成多組號碼
由Mox Bank發行的Mox Card屬記帳卡,不設年費。客戶可在《Mox》App內免費建立最多20組虛擬卡號,每組卡號可選定單一或多次使用模式。迎新禮遇更新於2026年5月1日至7月31日,新客戶經邀請碼開戶並於發卡後30天內以Mox Card累積合資格簽賬HK$5,000,可獲HK$600現金獎賞。日常所有類別簽賬享0.5%無上限現金回贈,指定商戶如foodpanda、Netflix等享2%至5%額外回贈。由於沒有信貸額度限制,用戶可將大額交易拆分成多張虛擬卡號處理,進一步分散風險。Mox的虛擬卡號亦可設定幣種,港幣、美元、人民幣一卡對應,減少DCC動態貨幣轉換的損失。
DBS信用卡及AEON虛擬卡的功能局限
星展銀行(DBS)目前僅為指定DBS Eminent Card持卡人在《DBS Omni》App提供測試階段的虛擬卡號功能,未全面開放。AEON信貸財務旗下的AEON Card暫時不支援虛擬卡號,仍以3D Secure 2.0及即時的SMS交易通知作主要防護。儘管如此,DBS Eminent Card的年費HK$2,000(首年豁免,每年簽賬達HK$80,000可翌年免年費)及迎新HK$800現金回贈(發卡後首兩個月簽賬HK$6,800)仍吸引不少主打本地消費的用戶;AEON Card則永久免年費,迎新期不時送出超市禮券,對低用量持卡人友善。
滙豐、恒生及花旗的替代保安方案
滙豐銀行、恒生銀行及花旗銀行至今未在港推出消費者可自訂的虛擬卡號服務。滙豐EveryMile信用卡年費HK$2,000(首年豁免,每年簽賬達HK$100,000可續免),迎新期至2026年6月底,新客簽賬HK$10,000享20,000亞洲萬里通里數。恒生enJoy卡年費永久豁免,迎新主打指定百貨及超市簽賬高達5%現金回贈(每月回贈上限HK$200)。花旗Cash Back信用卡年費HK$1,800(首年豁免,每年簽賬達HK$60,000免翌年年費),迎新簽賬滿HK$8,000回贈HK$1,200現金,食肆及外幣簽賬享2%無上限現金回贈。雖然這些發卡行均未提供虛擬卡號,但它們的App普遍已支援即時鎖卡、交易通知推送及24小時可疑交易監控,用戶在進行高風險交易前,可先手動將主卡限額調低,完成交易後再回復,亦能達到近似虛擬卡的限額保護效果。
用虛擬卡號網購的三大實戰要點
為每個商戶設定獨立交易限額
生成虛擬卡號時,銀行App會詢問該卡號的單筆或總累積交易上限。網購外國小型網站,建議將限額設為實際付款金額的101%至105%,預留匯率波動空間即可,多出的餘額不授予。渣打Smart信用卡容許每次為虛擬卡設定HK$1至HK$50,000的限額,Mox則可設定為接近實際金額的整數;這層防線確保即使商戶的收款系統被入侵,賊人也無法超出控額進行試刷。
採用「單次使用」卡號處理一次性付款
對於不會再光顧的網站、二手交易平台或眾籌項目,應選擇「單次使用」模式。授權成功後,該虛擬卡號便永久失效,後續無論賣家如何保留卡資料,都無法再次扣帳。Mox的單次虛擬卡號會在首筆授權後自動移除;渣打Smart的單次卡號則在授權後24小時內由系統自動刪除,期間銀行不會允許任何新授權請求。
定期清理閒置的虛擬卡號
即使虛擬卡號設有有效期,銀行App內可能仍顯示多組已過期或不用的卡號。建議每季度檢查一次,手動刪除不必要的號碼,減少管理混亂,也可避免誤將大額限額授予不常用的號碼。銀行後台對此類閒置卡號亦會施加風險分數,過多未清除的卡號可能觸發內部保安警示,影響正常交易核准速度。
現金回贈與迎新優惠對照:哪張虛擬卡最著數?
若純粹以網購安全為主軸,渣打Smart信用卡與Mox Card是目前最完整的選擇;但將迎新金額、日常回贈率及年費豁免條件納入考量,便能細分出不同使用場景的勝出者。經常進行外幣網購的消費者,渣打Smart憑5%現金回贈及HK$1,200迎新,一年可望在回贈上超越免年費的Mox Card(0.5%);惟後者勝在不設信貸額度及可大量生成單次卡號,適合訂閱式服務試用及二手交易。滙豐EveryMile雖無虛擬卡功能,其迎新里數換算等同約HK$1,400現金價值,加上里數玩家可集中累積亞洲萬里通,仍是飛行里數活躍用戶的強力選項。恒生enJoy卡永久免年費,配合指定日子超級市場5%回贈,對本地家庭支出仍具吸引力。花旗Cash Back的2%食肆回贈無上限,則彌補了渣打Smart餐飲僅1.2%的不足。AEON Card無年費壓力,適合保留作後備。綜合而言,建議將一張支援虛擬卡號的卡設為網購主力,另配一張高回贈卡應付本地餐飲及超市消費,藉此拆開風險與回贈的天秤。
立即行動的5項安全設定
- 啟用虛擬卡號作所有陌生網站付款:即時申請渣打Smart信用卡或Mox Card,將日常網購轉為虛擬卡號執行,封鎖實體卡號外洩的可能。
- 為常用平台建立專用卡號並鎖死限額:如Amazon、淘寶等,生成一張限額等於月均使費1.2倍的虛擬卡,定期自動充值概念,減少被超額盜碌風險。
- 關閉不必要的SMS OTP授權:在銀行App內將感應式付款及海外交易設為預設鎖定,僅於使用時短暫開啟,減低休眠期被盜用的機會。
- 檢查所有信用卡的年費豁免條件:確保渣打Smart、滙豐EveryMile等有年費要求的卡每年達標簽賬,避免因忘記續免而被收取HK$2,000年費;Mox及恒生enJoy免年費則可長期保留。
- 訂閱發卡行的即時交易推送:將所有卡(包括虛擬卡)的交易通知設為App推送和電郵雙重提醒,一旦發現異常可在5分鐘內致電銀行凍結卡號,爭取零責任保障的黃金時間。