Re: [請益] Google Pay 被盜加卡

※ 引述《findarato (芬恩)》之銘言：
: → prussian: 所以以上都是在網站購物時選擇用google pay付款，輸入 03/18 17:55: → prussian: 了卡號，然後被 google 婊了自動將卡號儲存在 google 03/18 17:55: → prussian: 帳號的 google pay裡，而不是被加進某隻手機的 google 03/18 17:55: → prussian: pay 新增虛擬卡? 03/18 17:55: → prussian: 以上看不懂是正常的，google的命名一直都很爛，改名時 03/18 17:55: → prussian: 的改法更爛 03/18 17:55: → prussian: 工程師都應該上命名學 03/18 17:55: → jamt: 樓上說的有很難懂嗎...GP本來就是有分網路消費跟手機感應消 03/18 18:42: → jamt: 費了啊，在沒有進GP app做CVC認證前都只能用網站的pay with 03/18 18:42: → jamt: GP，而不能感應支付 03/18 18:42: → jamt: 然後那個說GP很危險的，我用那麼多年真的還不知道哪裡危險 03/18 18:43
你講的網路消費 Google Pay 是

A.
在 Google 網站上
https://pay.google.com/gp/w/home/paymentmethods
輸入卡號，把這張卡的「真實」卡號「直接」「儲存」在Google 帳號內
過程中完全沒有任何驗證，就跟用紙筆紀錄下來備忘是一樣的
只是抄下來的不是你本人，而是把卡號直接交給Google
你登入了Google 帳號，要在網站上結帳，
Google 就再把這組「真實」卡號直接交給購物網站，
驗證保護方式就是信用卡原本的結帳時輸入CVC，
是最低科技的用卡號和驗證碼直接刷卡
沒有加密，沒有虛擬，就是16碼裸奔幫你輸入到購物網站而已
真實卡號是儲存在雲端帳號裡。

另一種
B.
在手機上加卡操作的，一樣是輸入真實卡號，
經由銀行驗證你確實為持卡人，
但是「不」儲存真實卡號在手機上或雲端帳號上或任何地方
而是另外產生一組虛擬卡號，以供感應使用
刷卡的時候不用再輸入 CVC 或密碼，
保護方式是手機鎖，把手機當成一個安全容器。
虛擬卡號儲存在手機裡，沒有真實卡號。

這兩種現在都叫 Google Pay，或者叫 Pay With Google

到目前為止有跟上嗎？

混淆的地方在於，
1.
存在手機上的虛擬卡號，除了直接手機感應付款之外，
「也可以」在手機網站上，或是在App 內「網購」
一樣不需要輸入CVC或PIN碼之類，打得開手機鎖就能付款，
但只限於有支援手機API的網站。

但有時候沒支援的網站，還是可以用「Google Pay」在瀏覽器裡付款。
為什麼? 請往下看。

2.
在手機上加虛擬卡，名義上不需要儲存真實卡號，
但以前Google 私心作祟，一樣會把真實卡號另外「儲存」一份在 Google 帳號內，
「方便」你在電腦上，或是沒有支援手機API的網站，
一樣可以用「Google Pay」付款。
但這時的Google Pay, 就不是手機虛擬卡保護，而是同上儲存真實卡號的裸奔方式。
這時即使你是用手機要結帳，你用來付款的，
是存在Google 帳號裡的真實卡號，而不是手機上的虛擬卡號。

很久一陣子我在手機上加卡已經不再有這種情形，但其他人說還有，
詳細是誰理解有誤或我關了什麼「方便」的設定也不一定。

3.
上面 2. 是 Google 偷幫你複製卡號 手機->帳號
如 A. 你所說，在Google 網站上加入真實卡號到你的 Google 帳號內之後，
現在 Google 又會很「貼心」地「順便」把這組真實卡號直接傳到你的手機裡，
催促你輸入 CVC ，並完成虛擬卡片的 手機-銀行 認證過程，
開啟「另一種」付款方式，趕快用手機多花錢。
幫你作半套的 帳號->手機 流程

你說沒有很難懂，但你真的懂Google Pay嗎?

然後這次的霧社事件，天曉得 Google 又在作什麼「貼心」的事了~

--

原來 autofill 拿麼厲害 可以跨 OS 跨裝置 跨瀏覽器 LOVE注入 穀歌和火狐一定組成了個神秘的卡特爾共享使用者資訊，真是太邪惡了

跟 Google Pay 無關的話我都不知道擺那個 Logo 要幹嘛了 謝謝你自願當範例證明 Google Pay 這名稱真的很難懂