PTT評價

Re: [新聞] 盜刷新招 慎防1元消費簡訊

看板creditcard標題Re: [新聞] 盜刷新招 慎防1元消費簡訊作者
Hseuler
(藍色貍貓)
時間推噓37 推:37 噓:0 →:57

這幾位苦主出事,並不是自己蠢到把OTP告訴別人
而是詐騙集團精心偽造出一個刷卡頁面(偽裝成某家第三方支付)
讓你刷卡後 再跑出偽造的3d驗證頁面
讓你乖乖把OTP輸入上去

這次的詐騙不是買什麼一頁式購物詐騙
而是苦主們 與道道地地的芒果果農經營的粉絲團下訂單
這些果農都老實做生意的 沒想到詐騙集團竟然偽裝成小幫手
給苦主們 "訂購單" 跟偽造的第三方支付刷卡還有3d驗證頁面
順序
1)詐騙集團偽裝成芒果農粉絲頁的小幫手,提供訂購單給你
2)訂購單是一個精心布置、偽造的刷卡頁面(某家第三方支付)
3)你乖乖填入信用卡相關資訊後,會傳一個OTP簡訊給你
(金額是一元,類似許多網站的刷卡測試)
4)偽造3D驗正頁面,誘導你乖乖輸入OTP驗證碼
5)你輸入後,實際上是騙子把你的卡綁在某第三方支付,根據新聞報導
有一些case是綁上7-11的open錢包
6)騙子的車手集團們,開始在7-11等便利商店瘋狂購買遊戲點數
因為已經綁卡了,接下來不需要OTP驗證碼,刷到銀行發現不對聯絡你
或是你被瘋狂刷了幾十萬,趕快打電話向銀行停卡
我所知道最慘的狀況是,有人被刷掉超過蔡總統一個月的薪水....
我認識的苦主們都是短短幾小時內被刷了幾萬塊 甚至十幾萬台幣

最賊的是,他們還會假好心跟你說 你多買幾盒有優惠
然後問你一些細節 芒果要怎麼裝等等 一副儼然就是芒果專業賣家的小幫手
如果你急著買一個幾百塊的芒果
也沒特別研究這個刷卡頁面是真是假
在加上這些"假小幫手"的專業與親切感
很容易就中招被騙 何況一般人誰會想到只是買個芒果
損失頂多幾百塊 怎麼一下十幾萬台幣就噴掉了


我再跟你們說接下來詐騙集團 可能更進階版的進化玩法:
攻擊一些正規網站的金流系統 狸貓換太子
讓你在正規網站上 乖乖交出信用卡資訊與OTP
你的確是在正規購物網站買東西
但正規網站的信用卡付款頁面被掉包 狸貓換太子
你照樣收到OTP驗證簡訊 輸入後 立刻綁卡 接下來瘋狂盜刷
然後因為是綁卡 接下來就不會有任何OTP警示
短短幾小時之內就把數十萬搬走了

所以大家將心比心 不要看到OTP交出去就以為是受害者蠢
這個騙局恐怕會持續進化 搞不好進化後 你去你常去的某家網站購物
就是下一個是害者

我知到這次的詐騙案件中,最慘的例子是
有人被刷到超越蔡英文總統一個月的薪水

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.24.109.44 (臺灣)
PTT 網址
※ 編輯: Hseuler (114.24.109.44 臺灣), 06/30/2022 02:32:56 ※ 編輯: Hseuler (114.24.109.44 臺灣), 06/30/2022 02:43:43

BNYMellon06/30 02:57我掃碼就好

RaiGend051906/30 03:59結論是用該平台自己的軟體或APP刷最安全

RaiGend051906/30 04:00除非跟對岸一樣連Steam都能載到假的

ppptofff06/30 04:38不懂,所以是fb粉專被盜??

不是 冒充成粉專的小幫手 有果農還以為是其他競爭果農來截單 沒想到是詐騙集團

sggs06/30 06:48以前會有人把網購卡的額度調低,古早的智慧有其道理xd

w7102306/30 08:30OTP 不利於持卡人 夭壽可怕

tonyian06/30 08:33fb粉專不用被盜,很多喜歡裝作管理員說現在做活動把你帶

tonyian06/30 08:33到其他平台例如line ,然後限時活動超級便宜就會一堆人

tonyian06/30 08:33上鉤了

alloc06/30 08:35雖然有點事後諸葛 但這種方式看OTP簡訊內的刷卡金額不就能

alloc06/30 08:35發覺有問題了嗎

你只會看到刷1元,不會有綁卡提示,很多人看了以為只是果農在做測試

willieliu06/30 08:40所以最根本的解法就是像亞馬遜那樣,不使用OTP,這樣

willieliu06/30 08:40風險就不會轉到消費者身上,而銀行有專門的法務,看是

willieliu06/30 08:40要報案還是釣大魚,都比一般個人消費者有力量。

kkkk123406/30 08:48亞馬遜有時甚至不用CSC

hsinyuan010406/30 08:55只要確認在正規網站交易即可,該網站如何被攻擊,被盜

hsinyuan010406/30 08:55刷的責任還是在該網站

longsre06/30 09:10不懂耶,每筆otp密碼不是都有限定單筆訂單刷卡金額?要怎

longsre06/30 09:10麼綁定otp狂刷?

就你訂ubereats或搭Uber一樣 綁一次卡後 後面愛怎麼刷就怎麼刷 不會再有任何OTP 直到銀行發現不對勁打電話給你

windsson06/30 09:13就跟你街口綁卡第一次試刷通過後,後面都不用再OTP阿

windsson06/30 09:14後面支付驗證的是跟著手機持有者

windsson06/30 09:14那盜刷的如果是綁AP/GP之類的,就可以到處刷了

windsson06/30 09:16順序是1.持卡人進釣魚網站輸入卡號 2.詐騙取得卡號綁定

windsson06/30 09:173.持卡人於跳轉的假OTP頁面輸入認證碼

windsson06/30 09:174.詐騙取得OTP認證碼,輸入綁定的裝置

windsson06/30 09:185.詐騙集團使用綁定的卡片到處盜刷

windsson06/30 09:19步驟3如果持卡人發現金額怪怪的(只有1元2元)

windsson06/30 09:20詐騙集團應該也會有教戰手則看怎麼回應吧

沒錯 就是你說的順序 被刷1元,一般人看到1元都會覺得是在測試 就如同很多正常訂閱網站 一開始都會先刷一元新台幣或一美金 而且即便你質疑 那些詐騙集團都想好說詞了

alloc06/30 09:23你發現金額不對還給出OTP就自己蠢了啊...

ABSURDISMM06/30 09:44這種綁定通常都是AP.GP,綁好後可無限制開刷不再需要

ABSURDISMM06/30 09:44任何驗證...這算詐騙不是盜刷,銀行會認帳嗎...

chris012306/30 10:02首購小盒優惠1元,該筆訂單限購一盒。OTP get

rophynaa06/30 10:25推解說...

pushwow06/30 10:28不是啊 ,每次新聞都不說清楚詐騙手法細節,如果是假的3D

pushwow06/30 10:28認證 那真的要小心!

jim210006/30 10:42推解說

willieliu06/30 12:32OTP名義上是為了安全,事實上就是想把風險轉嫁給消費

willieliu06/30 12:32者,就像DCC名義上是為了消費者方便換算,實際上就是

willieliu06/30 12:32銀行想多賺一點匯差

willieliu06/30 12:34如果OTP真的這麼安全又先進,那為什麼亞馬遜、蘋果等

willieliu06/30 12:34不用?他們應該不落後吧?事實上OTP的安全只是對銀行安

willieliu06/30 12:34全XD

prussian06/30 12:46叫小商家學amazon自己偵測盜刷你不如叫他們直接去死死

prussian06/30 12:46何不食肉糜

qi3qi306/30 13:06謝謝原po跟推文說明,本來還覺得是被騙的人笨...

qi3qi306/30 13:18可以預防的就是不要點來路不明的網站

tomsawyer06/30 13:34試刷/綁卡就$1而已 推文要怎麼覺得金額不對 而且之後

tomsawyer06/30 13:34就不會再有otp簡訊了

xru0306/30 13:36推說明

winsonwu06/30 13:42推說明

Rock093006/30 13:48推說明

alloc06/30 13:49單純買東西會試刷嗎?小心謹慎點還是可以預防的

ppptofff06/30 13:55綁ap gp不是會寄簡訊通知有綁??

away61210106/30 13:59世界上這麼多三方詐騙,他們都是沒對金額才被騙嗎?

shawncarter06/30 15:26推說明

rail0200006/30 16:18如果詐騙集團說刷1元是試刷不會請款,可能也會相信

rail0200006/30 16:18更不用說有些銀行的OTP簡訊不會寫上交易金額......

dantes101306/30 16:39有些OTP內容只有密碼和效期,不會有金額或刷卡地點

alloc06/30 16:58不知道銀行對於釣魚網站 簡訊內容資訊不足導致持卡人OTP

alloc06/30 16:58外洩會怎麼處理就是了

※ 編輯: Hseuler (114.24.85.250 臺灣), 06/30/2022 17:22:16

klyuch06/30 18:24所以說最好不要FB購物,要的話請賣家提供購物平台上的店舖

klyuch06/30 18:24直接下單,或是直接轉帳。

nikitony200106/30 18:55所以原文是被假粉專的私訊導到釣魚網站的嗎?

vyvian06/30 19:46OTP早就已經被認證為不安全機制了,只有銀行業還緊抱

prowhitej06/30 21:25推,不過看回文感覺很多人不懂倒數第二段的意思

LazyICE06/30 21:35推說明 不過如果是綁定的OTP畫面 那銀行加註說明也沒用

LazyICE06/30 21:35除非銀行還能抓到是不是綁定的門號輸入的網頁 (光想就

LazyICE06/30 21:35覺得有難度了)

starcat2231006/30 22:03推說明 會被偽裝小幫手騙也是太不小心了 不是粉專本

starcat2231006/30 22:03號的回覆 也不是在常在粉專裡常發公告的帳號 不該輕

starcat2231006/30 22:03易相信

starcat2231006/30 22:05而且一般購物沒有在試刷1元的吧 只有支付會試刷(講

starcat2231006/30 22:05來提醒自己

kkkk123406/30 22:18如果金管會要求OTP通知都要包含特約商店、交易金額、卡

kkkk123406/30 22:18號末四碼、交易時間 這些都有顯示在3D驗證的畫面 把這

kkkk123406/30 22:18些資訊一併告知使用者才能讓使用者核對 釣魚成功的機會

kkkk123406/30 22:18應該能減少吧 https://i.imgur.com/BsrFc3q.jpg

kkkk123406/30 22:18最好還要讓網銀都能查到原始交易幣別以及刷卡店家

kevin8222206/30 22:30就算後續刷卡不用驗證 但現在銀行不都有簡訊或app

kevin8222206/30 22:30及時推播通知嗎?

kevin8222206/30 22:32這樣至少被盜刷能馬上知道 不用等銀行發現才處理

tonyian06/30 22:44希望金管會要求要有otp 做入網銀app內的讓消費者選擇

vyvian06/30 22:47現在報稅都能用月租型行動門號做身分認證了

vyvian06/30 22:47第三方支付業者沒道理還繼續用OTP這種不安全的方式做綁卡

vyvian06/30 22:48問題根源還是在綁卡方式不安全所致

lilicoco77707/01 00:41後面有一段寫:「在正規網站購物,付款頁面卻被調包..

lilicoco77707/01 00:41.」這有發生過?那也太嚇人了吧!

Go207/01 22:01看各家銀行 OTP 可否像這個導入店家名稱

peter17307/02 08:41千萬不要認為1元就是詐騙,詐騙也會刷正常金額。假賣家/

peter17307/02 08:41假客服/假網頁/假簡訊,都會讓你掉入陷阱

wed197907/03 02:36所以我信用卡會綁定line,只要有即時刷卡訊息我都會特別

wed197907/03 02:36開來看