PTT評價

Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包

看板creditcard標題Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包作者
Hseuler
(藍色貍貓)
時間推噓推:187 噓:6 →:236

我是幫苦主與幾位受害者調查與做數位鑑識此件事情的資安顧問.苦主被盜刷第一時間就報警並聯絡我.在這次的事件中我用我的專業談談,並把一些版友友興趣的資訊上色強調:

1.苦主被盜刷的卡是滙豐銀行.
詐騙集團精心偽造某家第三方支付的刷卡頁面與3D驗證頁面,
並不是苦主傻傻把OTP直接交給詐騙集團.大家要小心假冒的第三方支付與3D驗證頁面!!
最慘的是因為是綁卡,一次OTP,後面就不需要OTP了,連續盜刷累積十九萬

2.盜刷的當下,匯豐銀行告知是7-11線上購物,但實際上並不是(差點誤導我調查方向).
我仔細調查後確認是被詐騙集團綁上小七的OPEN錢包.

3.苦主被綁卡的時候,驗證簡訊只顯示1元的刷卡OTP,並沒有像apple pay或samsung pay顯示是"綁卡".如金管會近日指示,必須講清楚到底是"綁卡"的temporary hold,還是真的1元的消費.光這好步做好就可以阻止不少詐騙了.實際上,這些受害者頂多同意這一筆1元消
費,但可沒有同意後面那十幾萬的盜刷.銀行不應讓消費者承擔那些十幾萬元使用者沒有授權的盜刷.

4.7-11官方幾提供任何有用的資訊給苦主與其他受害者,例如到底是在哪家門市盜刷? 盜刷什麼東西? 雖然盜刷當下立刻報警,案件轉至北市中山分局偵查佐那裏後,也很積極處
理,但7-11拖了一個月,有幾家門市的監視錄影器已經被洗掉了.

雖然我不是受害者,但其實讓我非常不高興,我協助受害者第一時間通知7-11 OPEN錢包客服.事發隔天後也調出了門市,不告訴我們就算了,那麼為什麼警方發公文了,卻拖這麼久,拖到影像被洗掉?

5.在7-11官方不願意提供有用資料的同時,倒是我當時靠另外一位受害者得到了一些關鍵資訊,他用國泰世華銀行,反而是國泰世華銀行主動告知是在那些7-11門市刷卡.

6.為什麼詐騙集團專攻小七的open錢包而不是其他第三方支付/電子支付?吾人認為理由有三.

其一,OPEN錢包的異常偵測機制沒在這些受害者中沒發揮作用.
其二,OPEN錢包在綁一些信用卡時,不會像samsung pay, apple pay的綁卡驗證簡訊上有明確表示是綁卡,消費者會以為是一元消費簡訊或是刷卡測試.
其三,小七可以買到大量的gash點數洗錢,有興趣的人可以看看於余麗貞檢察長的投書.

實際上,我們資安團隊幫這些受害者們做了不少偵查與數位鑑識工作,掌握了詐騙集團的重要數位跡證,已經交給警方,然敵暗我明,故細節不便公開詳談.然而有幾點值得改進的是:

a)驗證簡訊必須講清楚是綁卡.這點前幾日金管會已經發布因應措施.這點蠻感謝立委鍾佳濱委員,因為我本身是技術底出身,法制的部分還是要讓專業的來,我們當時通知了不少立委,只有鍾立委回應我們而且非常積極處理.

b)仔細追蹤後,我們發現這個詐騙集團已經囂張多時.如此嚴重的事情,7-11集團理應要找資安團隊調查,並加強異常偵查系統.但後來同類型的詐騙手法持續發生於小七的OPEN錢包,令人遺憾.


c)銀行與OPEN錢包的「交易異常偵測系統」要持續強化

傳統上的異常交易偵測技術可粗略分為兩類:

一、規則式偵測技術(rule-based method):建立多比盜刷/異常行為規則,即時偵測交易/刷卡異常。一些銀行是採用此傳統的老技術.

二、依靠巨量數據,人工智慧與機器學習(big data, AI and machine learning methods)建立異常偵測模型:利用過去刷卡與交易紀錄的巨量數據,使用時間序列、聚類、深度學習等機器學習與AI技術,訓練出一套偵測盜刷或異常交易的模型,比上述傳統的規則式異常偵測技術來的更為精確有效。使用單位像是玉山銀行(2019年後)、Apple Pay, Line
Pay, Google Pay。

這是非常重要的,玉山金控科技長張智星受訪時強調:「這種規則式系統,每月需要人
工調整一次規則和參數,不僅難以捕捉快速變化的盜冒行為,還會產出大量異常名單,得耗費大量人力一一打電話確認。為改善這個問題,玉山發起一項AI專案,要用刷卡歷史資料,訓練一套信用卡盜刷偵測模型,來判斷盜刷風險。他們想藉此減輕銀行人力負荷、提高辨識準確度。...這套模型在2020年替玉山阻擋了上億元的損失。」

如果是依靠技術一,其實在open錢包出事後很容易建立一個異常偵測規則來阻止詐騙.如果是依靠技術二,模型訓練的好,詐騙集團連綁卡都綁不上.

總言之:

(1)驗證OTP簡訊必須講清楚是綁卡
(2)異常偵測系統抓包到異常行為

這些做好就可以有效阻止這次的詐騙.何況,7-11的open錢包本身是以小額支付為主,他們的異常偵測系統竟然沒阻止短短幾小時內盜刷十幾萬,實在是不可思議.
(做個比較:一些ATM上限一天上線三萬)

在調查過程中,就不得不提國泰世華銀行的機警:其中一位受害者是國泰世華銀行的卡被盜刷.幾天後,國泰世華銀行便宣布OPEN錢包綁訂本行卡於7-11門市交易,單筆限額最高
4,999元.雖然是一個很簡單的規則式條件,但是是有效的.如圖:

https://i.imgur.com/g3wfzSt.png


最後我希望大家將心比心,畢竟就如我之前提過,這種騙局可持續進化,讓你去大網站消費也被盜刷.一種手法是配合網頁滲透與攻擊手法,將正規網站的信用卡支付頁面狸貓換太
子,成功綁卡後,便可連續(不需要OTP驗證)盜刷消費者的信用卡.

下一篇文章,我會談談此案更核心的主題:

如何有效地驗證你是你?你如何知道來驗證你身分的人真的有效的驗證者?也就是身分驗證與策略、FIDO聯盟識別標準、信賴等級(level of assurance)、密碼學身分識別、中間人攻擊(man-in-the-middle attack)等等核心的問題.

實際上,不少專家前輩都曾提及,法規與歐美國家相比,有不少待改善的部分.
可惜說者諄諄,聽者藐藐,希望能藉這次苦主的案子加以推動相關法規繼續前進.

--

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.24.85.250 (臺灣)
※ 文章網址: https://www.ptt.cc/creditcard/M.1656688438.A.2E0
※ 編輯: Hseuler (114.24.85.250 臺灣), 07/01/2022 23:16:16

alloc07/01 23:20感謝分享 希望大家引以為戒

thomson07/01 23:22open 錢包的地位應該跟 FamiPay/PxPay 相同, 建議拿這兩

thomson07/01 23:22個做比較

tonyian07/01 23:22支持你,open 相關支付本來就很不積極防盜

bigstudent07/01 23:25推一下

zyvupu07/01 23:25

hsinyuan010407/01 23:26找個好律師比較重要

rophynaa07/01 23:28辛苦了,分享資訊讓大家多點警覺QQ

※ 編輯: Hseuler (114.24.85.250 臺灣), 07/01/2022 23:33:24

pushwow07/01 23:32我真的想知道偽造的刷卡頁面跟3D驗證頁面到底是長怎樣

Go207/01 23:32這個鬧大之後統一也會逼著做啦 前幾年OP點數盜用也封了幾年

Go207/01 23:33到現在有換機驗證等才再度開放

kazuC07/01 23:33推 這篇說的清楚 好多推文都搞錯重點

kimja07/01 23:35推!

※ 編輯: Hseuler (114.24.85.250 臺灣), 07/01/2022 23:42:17

hicoy07/01 23:38釣魚的話 一般人應該是很難不中招

pushwow07/01 23:38還有 到底是哪間第三方支付,還有假設我今天買1000 塊

pushwow07/01 23:38 網頁上的付款金額到底是多少? 還有收到的簡訊是一塊錢

pushwow07/01 23:38 為什麼還會輸入

bullce07/01 23:39OPEN錢包不需要驗證信用卡與會員是同一個人嗎?

pushwow07/01 23:41然後為什麼會覺得是果農在試刷?

histidine07/01 23:41

kimja07/01 23:41其實滿多支付都不驗證這個 像王品瘋pay也可以隨意綁別人的

kimja07/01 23:41

Asakid07/01 23:42有人寫詳解 #1Yl9ajsU

pushwow07/01 23:44然後導向的3d認證是匯豐的驗證頁面嗎?

videoproblem07/01 23:44

eXcFerGodSt07/01 23:45推 3 跟 a 有抓到重點

shaoten707/01 23:46小弟我之前遇到綁定的都會白爛打假卡號,假的網站無法

shaoten707/01 23:46驗證那個國際組織,還是會轉跳otp驗證頁面,假設卡號16

shaoten707/01 23:46個1,也會轉跳哦

RaiGend051907/01 23:46這篇講得非常清楚惹

Jiapie07/01 23:50謝謝分享

pakh07/01 23:50感謝清楚說明

LazyICE07/02 00:05推說明 也希望受害者早日抓到犯人

pushwow07/02 00:08總言之講的好棒棒!但是就是不見對使用者的觀念建立去宣

pushwow07/02 00:08導或是釐清到底使用者哪方面不足需要加強,就連事實假網

pushwow07/02 00:08站假的3d驗證,都不去檢討,要如何辨別,就是檢討open錢

pushwow07/02 00:08包,被綁愚婦給人我的感覺就是吞不下這筆,把原因歸於ope

pushwow07/02 00:08n 錢包的系統不足,怪罪警察系統公文發了,7-11沒錄影設

pushwow07/02 00:08備的保存。

sanion07/02 00:09推詳細清楚說明,國泰世華這單筆限額4999的規定就做得很

sanion07/02 00:09好,會在超商單筆刷超過5000的人少之又少,並且就算超過

sanion07/02 00:09也能用實體卡刷

asd24543807/02 00:09感覺-4超不積極在處理,是錢包的利潤不夠嗎......

maybe200407/02 00:10高調推!原文底下一堆文盲檢討被害者有點失焦了

q2520q07/02 00:11事實就是事後發生除了國泰有在積極協助之外,op客服7-11店

q2520q07/02 00:11家警察每個處理速度慢得要死阿

gnr121307/02 00:17推說明,綁卡要走聯卡中心的信用卡輔助持卡人身分驗證平

gnr121307/02 00:17臺。至於偽冒偵測,這就比較難要求銀行了,畢竟每家發卡

gnr121307/02 00:17銀行的風險管理機制不同,太嚴格會限制持卡人消費體驗,

gnr121307/02 00:17太鬆又怕偽冒盜刷

pushwow07/02 00:18不檢討被害者怎麼知道到底是哪受騙? 以為大家都有專家?

pushwow07/02 00:19苦主可以找資安顧問,可以找立委?其他人呢?

pushwow07/02 00:30騙局可以持續進化,使用者不進化行嗎?

love709030307/02 00:31卡號已經被洩漏,就是在那裡都能夠被消費,OP錢包就

love709030307/02 00:31是一個幫忙刷卡的,如果大筆瘋狂消費,為甚麼匯豐沒

love709030307/02 00:31有偵測到異常擋刷?

pushwow07/02 00:34你看看你又在怪銀行沒幫忙擋刷了

BalaBaBaBa07/02 00:35推詳細說明!將心比心,如果我是苦主或幫忙的朋友,一

BalaBaBaBa07/02 00:35定也會對於統一集團的消極處理感到很不滿,擺明就是

BalaBaBaBa07/02 00:35不想幫忙找出詐騙集團...同時對國泰世華的好感度大增

BalaBaBaBa07/02 00:36是願意積極處理問題的好銀行!

maybe200407/02 00:39pushwow您可以去把文章看懂再推文嗎?感覺一直在跳針你

maybe200407/02 00:39看不懂的地方

linlin2407/02 00:40

pushwow07/02 00:42maybe2004 哪裡看不懂? 這文就是資安顧問的專業

pushwow07/02 00:43事實就是資安顧問只講後面,以及未來的預防補漏做法

pushwow07/02 00:45詐騙日新月異,補救的手法是補的完嗎?

ruam07/02 00:45感謝分享

pushwow07/02 00:46精心偽造的頁面,沒講出差異誰知道?

thomson07/02 00:46我剛剛試用LP綁卡 也是只要輸入OTP就好了

BalaBaBaBa07/02 00:46同意騙局可以持續進化,但難道因為這樣就不用努力去

BalaBaBaBa07/02 00:46抓出詐騙集團嗎?不就是因為很少真的被抓到,詐騙才越

BalaBaBaBa07/02 00:46來越囂張嗎?

thomson07/02 00:46看來LP也有一樣的風險

pushwow07/02 00:47好比之前假冒銀行網銀的網頁不有北七像?

thomson07/02 00:47LP也可以允許綁非本人的信用卡

BalaBaBaBa07/02 00:48也同意詐騙日新月異,但難道因為問題漏洞補救不完所以

BalaBaBaBa07/02 00:48就擺爛不補救嗎?這完全不合理吧...

pushwow07/02 00:48就覺得愚婦要把問題導向銀行,第三方支付。自己免責。

pushwow07/02 00:50到底是怎樣的精美假冒的網站,連3D認證都很精美!

pushwow07/02 00:51我們手邊沒那麼多資源,如何靠自己避免詐騙不是才是重點

maybe200407/02 00:51夠積極的銀行我遇過花旗會監控到我的卡有被盜刷情形直

maybe200407/02 00:51接電話聯繫我跟我確認,然後停卡。匯豐十幾萬擋不下來

maybe200407/02 00:51銀行不用被檢討嗎?

pushwow07/02 00:52就說檢討銀行檢討第三方支付,那都是事後了。

pushwow07/02 00:53到底我們如何辨別假冒的網站?難道都一模一樣?

maybe200407/02 00:55所以國泰有積極做金額限制,避免被盜但是其他銀行呢?

maybe200407/02 00:55真的不檢討嗎?

maybe200407/02 00:56狸貓換太子 不要這麼有自信自己不會被釣到 風險控管不

maybe200407/02 00:56單單是消費者,發卡銀行和第三方支付都有責任

maybe200407/02 00:57有破洞就是要補起來

pushwow07/02 00:57不知道詐騙手法不了解詐騙手法 檢討銀行來得及嗎?

pushwow07/02 00:58對啦對啦 身為消費者的我 希望是先檢討自己

ppta07/02 01:00推專業與用心 今天看到富邦新聞說一年詐欺總額是中小型銀

ppta07/02 01:00行營業額。好多人檢討受傷人 該被遣責的是歹徒才對。否則每

redcoin07/02 01:00因為不是銀行就是受害者要付錢,所以7-11沒有動機去改善

redcoin07/02 01:00防盜機制

ppta07/02 01:00個罪都能說被害人的錯 例如性侵是被害人太裸露 被打是太白

ppta07/02 01:00目 激怒別人 酒駕被撞是太晚回家 家暴也是同上 被搶是財

ppta07/02 01:00不該露白。

pushwow07/02 01:01maybe2004 您說的對,風險管控不單單是消費者,問題是

ppta07/02 01:01推專業與用心 今天看到富邦新聞說一年詐欺總額是中小型銀

ppta07/02 01:01行營業額。好多人檢討受傷人 該被遣責的是歹徒才對。否則每

ppta07/02 01:01個罪都能說被害人的錯 例如性侵是被害人太裸露 被打是太白

ppta07/02 01:01目 激怒別人 酒駕被撞是太晚回家 家暴也是同上 被搶是財

ppta07/02 01:01不該露白。

pushwow07/02 01:02問題是愚婦就是在發卡銀行和第三方支付的風險管控

vyvian07/02 01:07第三方支付業者單靠OTP簡訊來做綁卡身分認證 是事件主因

aq227235371207/02 01:07匯豐刷卡有簡訊通知啊~

vyvian07/02 01:07OTP簡訊會被攔截 轉發 釣魚等等 早就是不安全的認證機制

vyvian07/02 01:08不應該繼續使用不安全的機制作身分認證 這個金管會應該要

vyvian07/02 01:08有所規範。

aq227235371207/02 01:08完全不懂,談論那麼多,請問要如何從open錢包改進,

aq227235371207/02 01:08每次買東西,驗證一次,這就失去一開始綁錢包驗證

aq227235371207/02 01:10otp被轉發,擷取,難道要求每間銀行通通從網銀app通

aq227235371207/02 01:10知,這樣以卡版來說,人人手機安裝一堆網銀app

UCCUplz07/02 01:11推 一堆人一直罵苦主 根本搞不清楚狀況

aq227235371207/02 01:11一次被蛇咬,搞死大家的概念,為何不積極抓詐騙,YT

aq227235371207/02 01:11詐騙廣告放一年從沒消失過

ppta07/02 01:13抱歉 app一直顯示錯誤 竟然洗版了 拜託幫忙刪除重覆推文

ppta07/02 01:13 謝謝

pushwow07/02 01:13我還是猜不透愚婦不細說如何掉入陷阱的原因?

vyvian07/02 01:14不懂身分驗證的 可以參考目前國稅局報稅上的做法

aq227235371207/02 01:15國稅局那個驗證很擾民,不能用wifi 手機門號要自己

aq227235371207/02 01:16很難用的驗證

aa13345607/02 01:19我在跟你談大海,你給我一個漱口杯的問題

aa13345607/02 01:22看不懂真的可以不要硬回,自己當個厲害的使用者就好,管

aa13345607/02 01:22理者的問題留給管理者自己想吧

foodspace4u07/02 01:24話說像LP一樣是第三方支付,但綁卡後每一次消費時,

foodspace4u07/02 01:24還是要指紋驗證才能開啟支付系統,OP看起來什麼都沒

foodspace4u07/02 01:24做啊。

DogCavy07/02 01:26OPEN錢包也要吧

BNYMellon07/02 01:26樓上,OP綁卡後消費也是要密碼喔

flora502807/02 01:27強迫驗證身份很煩 金管會統一銀行OTP格式就能解決問題

aq227235371207/02 01:27有啦,你自己看看,要密碼跟人臉啦

tananadishow07/02 01:28OPEN 錢包不是狹義的「電子支付」,綁卡不會驗證持

tananadishow07/02 01:28卡人與帳號的ID

flora502807/02 01:28直接定型化防呆防使用者失智的規格化 成本低有效解決

aragonite07/02 01:35

Ultramarine07/02 01:37

yufat07/02 01:46所以如果簡訊改成綁卡 真的被騙綁卡的人要怎麼立刻解綁?

healthbuy07/02 01:47

Go207/02 01:53有一些卡片鎖可以先鎖起來 然後找客服掛失吧

vyvian07/02 02:00無法解綁,只能請客服先停用。

RedDux07/02 03:08我個人是覺得銀行確實需要增加一些風控的設定 很多銀行

RedDux07/02 03:08現在對於點數卡/禮物卡突然大量刷都會警覺 這次問題出在

RedDux07/02 03:08銀行端第一時間判斷成"購物網站"了

pttabs07/02 03:49公文都發了,7-11還拖到門市影像被洗掉

pttabs07/02 03:50這就是7-11總公司慢不經心處理詐騙的態度

pttabs07/02 03:57影像第一時間給不出來,需要公文往返,7-11總公司可以先通

pttabs07/02 03:57知門市凍結該時段的影像吧

asdf15900007/02 04:28

justaID07/02 04:29推這篇,有些原po沒說到的情節(例如假冒otp網頁,也可

justaID07/02 04:29能是覺得偵查中不敢說太明)這篇說得很清楚,原來有關鍵

justaID07/02 04:29的第一點。也把要點解釋得淺顯易懂,對銀行現行偵測異常

justaID07/02 04:29技術的分類長知識了。對那位立委好感度大增,我猜其他立

justaID07/02 04:29委不敢接是因為對電子支付制度不熟悉,怕接了應付不了,

justaID07/02 04:29吃力不討好又砸了名聲。對國泰、玉山在防堵異常和積極度

justaID07/02 04:29的好感度也增加,投入在這種資安資源常被視為成本,沒辦

justaID07/02 04:29法增加銀行收益,但其實對客戶很重要。針對這次事件對7-

justaID07/02 04:2911消極處理的態度滿失望的,不管是案件發生後的消極配合

justaID07/02 04:29,或是電子錢包綁定機制的不夠嚴謹,統一集團的資訊化程

justaID07/02 04:29度應該算很不錯,有心要做應該不是做不到,希望不是因為

justaID07/02 04:29有利可圖而故意縱容(在這個詐騙流程,損失的是銀行或受

justaID07/02 04:29害者有一方要買單,但在7-11通路消費的收益已經入袋)

justaID07/02 04:45有些推文一直咬著檢討被害人,ok,被害人知識不如詐騙集

justaID07/02 04:45團吃虧了,該補充知識,但銀行端、7-11在這個流程的疏失

justaID07/02 04:45就可以忽略嗎?我不覺得被害人沒在檢討自己,但是檢討自

justaID07/02 04:45己的同時,後續持續追查案情,希望補救追討回錢很正常。

justaID07/02 04:45民眾知識、銀行風控、7-11風控,每一個環節都可以被改善

justaID07/02 04:45。希望這個新聞能洗出能見度

dowbane07/02 04:51專業推

kaltu07/02 05:03假冒的網站可以多像的問題,不考慮法律的話可以做到肉眼看

kaltu07/02 05:03起來一模一樣喔

kaltu07/02 05:03網址可以用西里爾字母弄成肉眼看起來一模一樣,網頁上的流

kaltu07/02 05:03程、文字字型、HTML、CSS和JavaScript全部都只要複製貼上就

kaltu07/02 05:03是真的一模一樣喔

kaltu07/02 05:03用非ASCII字體偽造網域的手法這個到目前為止都無解喔

kaltu07/02 05:03什麼SSL憑證之類的反冒充反釣魚技術都繞得過去喔

kaltu07/02 05:03只要人類還存在看到網址就點他而不是自己開另外一台電腦用

kaltu07/02 05:04鍵盤把網址打一遍,或者反過來停止支援已經支援了十幾年的U

kaltu07/02 05:04nicode網址,這種肉眼看起來100%跟真的網站一模一樣的釣魚

kaltu07/02 05:04網站就是無解喔

kaltu07/02 05:07為什麼資安領域永遠不談檢討使用者,因為使用者永遠都是智

kaltu07/02 05:07障喔

kaltu07/02 05:07再聰明的使用者在肉眼看起來100%一樣的攻擊看來也是智障喔

kaltu07/02 05:07你可以繼續檢討使用者,但在資安領域上這是純粹浪費時間的

kaltu07/02 05:07行為喔

kaltu07/02 05:09資安上不會談怎麼處理人為失誤喔

kaltu07/02 05:09只會談系統為什麼會給人為失誤的空間喔

kaltu07/02 05:09因為人就是會失誤喔,你允許人失誤那是你系統設計的問題不

kaltu07/02 05:09是人的問題喔

asdfghjklasd07/02 06:29簡單說統一從頭到尾都爛掉了

asdfghjklasd07/02 06:30這根本在設計OPEN錢包時就以擋掉的root cause

stareye07/02 07:00很有用的文章

hideo2107/02 07:39謝謝,學到很多,希望您繼續分享!

chic907/02 07:54大推!

Truer07/02 08:04

sgxm307/02 08:07感謝分享,文章淺簡易懂。

willieliu07/02 08:07推說明,但我認為主要的重點在open錢包與7-11,並不是

willieliu07/02 08:07在銀行,第一時間HSBC之所以會告知是7-11線上購物,是

willieliu07/02 08:07因為在盜刷的當下馬上詢問,什麼請款資料都沒有的情況

willieliu07/02 08:07下,銀行客服也只能看到大略的資訊吧,雖然不確定他們

willieliu07/02 08:07能看到的是什麼,但與後續國泰世華這明顯已經出帳的來

willieliu07/02 08:07看,能得到的資訊當然比較多。

willieliu07/02 08:10補推,國泰世華很熱心,但不是應該,當然也不表示滙豐

willieliu07/02 08:10銀行沒這麼做就不行,而且滙豐銀行在受害者第一時間詢

willieliu07/02 08:10問的當下,也確實可能看不到很明確的資料。

pindar07/02 08:18其實有一個點也很簡單可以抑制詐騙。就是不要開放信用卡

pindar07/02 08:18買點數。點數是詐騙最喜歡的虛擬貨幣,好脫手。記得早期

pindar07/02 08:18好像無法信用卡買,因為可以洗優惠等,現在-4開放過頭了

pindar07/02 08:18

Baternest07/02 08:30EZ Way/健保局/國稅局都會用手機門號驗證 麻煩但有效~

hsinyuan010407/02 08:32國泰世華很熱心?OPEN錢包就是國泰世華寫的,統一要

hsinyuan010407/02 08:33卸責,國泰世華也只能自己吞

hopeemily07/02 08:40推推,統一的不作為變相助長詐騙猖獗!企業應善盡社會

hopeemily07/02 08:40責任!不能只賺錢而不保障消費者權益!

TCdogmeat07/02 08:40等等 不是發現是1元的時候就代表有鬼了嗎

TCdogmeat07/02 08:40還是你的芒果含運真的只要1元?

iorittn07/02 08:42

blithy07/02 08:47感謝分享

hopeemily07/02 08:47open錢包就是國泰世華幫統一做的!合理推斷可比別的銀

hopeemily07/02 08:47行獲得更多資訊

hsinyuan010407/02 09:06苦主被盜刷第一時間是連絡律師申請保全證據,後續結

hsinyuan010407/02 09:07果大不同

aq227235371207/02 09:16欸,為何買點數不能用信用卡,莫名其妙,自己被盜刷

aq227235371207/02 09:16,然後禁止一堆

willieliu07/02 09:18網路上也很常出現盜刷 那是不是蝦皮要改成只能匯款?

IS098707/02 09:24

nmkl07/02 09:29感謝提醒,op錢包icashpay已解綁不使用了

hsinyuan010407/02 09:31幹嘛解綁,綁好綁滿別人就無法綁

MJdavid07/02 09:39你解綁 結果歹徒用很爽

YCL1307/02 09:45如果是做了假的購物刷卡網頁來騙人,那又是另外的問題了,

YCL1307/02 09:45另外則是不知這詐騙網頁是否連網頁識別碼都正確呢?

afria07/02 09:46感謝說明,還上色畫重點XD

temu201507/02 09:47同個支付不能綁同張卡在不同帳號下 你解綁OP比綁著風險

temu201507/02 09:47還高…… ICP別人根本綁不了就沒差

nmkl07/02 09:47很久以前綁的,當然解綁,反正沒什麼在用

nmkl07/02 09:49順便換卡號換好換滿

benben99407/02 09:58

kanx07/02 10:13推 謝謝分享, 這種詐騙Case本來就是人人都有機會遇到

raythwy07/02 10:18推推 感謝分享分析很清楚

MissPigHead07/02 10:19推!感謝研究及分享

chobo31807/02 10:23推專業 詐騙技術愈來愈多元 使用者的確也要跟著進化 並

chobo31807/02 10:23不是方便就可以隨便

j4922210607/02 10:24

lunatica07/02 10:43social engineering 在使用者自己的警覺之外 沒有辦法

lunatica07/02 10:43用任何的機制來防範

prowhitej07/02 10:57推,新聞那篇還一堆人傻傻的..

inmee07/02 11:00滙豐這麼爛喔?

prowhitej07/02 11:10其實大公司或政府會有社交工程演練,推廣成萬安演習不

prowhitej07/02 11:10知道會不會比宣導有用,不然就只能像這樣實戰訓練,訓

prowhitej07/02 11:10練失敗錢就沒了,跟交通很像啊..

rerecros07/02 11:14推 長知識

a035648207/02 11:26高調推

monkeyday07/02 11:40

vanll2307/02 11:42

baibaizo07/02 11:51學習了,感謝PO文

p52088807/02 11:51高調推

annlee043007/02 11:54自己看不懂重點跳針就算了還噓 這種人未來也很容易上

annlee043007/02 11:54當就不要上來哭啊

j736576307/02 12:06

yyou07/02 12:25我想問otp不是還會有識別碼嗎?這種盜用來綁卡不會號碼對不

yyou07/02 12:25起來嗎?

evaliao07/02 12:29

jerrywin07/02 12:35專業推~

Lomax07/02 12:50推……

frozenmoon07/02 13:11

sh912907/02 13:12推專業分析 還好有找到像原po這樣專業的人幫忙協助

lucky12382007/02 13:13原po專業跟國泰機警&效率推一個!

popolili07/02 13:18謝謝

sandny07/02 13:26

shuhong07/02 13:44這些詐騙真是成精了,還設假第三方支付網頁,家裡老人沒

shuhong07/02 13:44這麼精的,確實有可能中招。

a548027707/02 13:48可以分享一下那個很精美的詐騙網站嗎? 想看一下

a548027707/02 13:50另外說7-11拖了一個月 可以分享一下時程嗎?

a548027707/02 13:51看內文感覺是說7-11隔天就知道了哪家門市了 還能這樣拖?

JOYJS07/02 13:53長知識,推!

rxers199407/02 14:01結論停用open好了 抵制這種消極資安的企業

iiiiiiii17107/02 14:08推詳細說明

TCdogmeat07/02 14:12想知道詐騙網站有多精+1

samlin070207/02 14:13

tandzh07/02 14:36小7不阻止盜刷,它有錢賺幹嘛阻止,垃圾

tandzh07/02 14:38哪些銀行是良心哪些企業只顧賺黑心錢很明顯

Alllllogo07/02 14:42推分享

uegajde07/02 14:53推這篇,以及推樓主為這個事件所做的工作

tonylaio07/02 15:09爛7-11給他爆上新聞

dogzi07/02 15:12驗證簡訊要做到寫明是綁卡其實不太可能,現行機制都是使用

dogzi07/02 15:123DS驗證方式,除非國際組織調整規格,讓全世界發卡行配合

dogzi07/02 15:12調整,不然這點就做不到,APPLE PAY他們可以寫明的原因,

dogzi07/02 15:12是因為他們是跟銀行逐一串接,除非現行的綁卡支付服務商,

dogzi07/02 15:12也願意改用這種模式進行串接,不然理論上就只是金管會做做

dogzi07/02 15:12樣子而已,而且簡訊就算寫再多資訊,會被騙的人還是會被騙

dogzi07/02 15:12,不然怎麼會有人相信網銀的轉帳功能,可以開啟和關閉一些

dogzi07/02 15:12隱藏服務

labo07/02 15:19推樓上 目前第三方支付普遍不限定發卡行

labo07/02 15:20而Apple Google的感應付款只使用合作的發卡行的卡片

labo07/02 15:24電子支付能有效防範 但是用戶對提供身份證給業者常有疑慮

labo07/02 15:27電子支付除了限定本人卡片,也有每月收付額度限制

a548027707/02 15:48會認為簡訊寫清楚就不會被騙的 坦白說我只能呵呵...

dandandance07/02 15:49謝謝分享 辛苦了

a548027707/02 15:50使用者就是不懂相關資訊不是嘛 寫個XXX綁卡 難道就會立

a548027707/02 15:51刻開竅懂了綁卡是什麼?

Kazamatsuri07/02 15:53寫了至少有機會讓更多人去問或警覺不是嗎?

bluesky113007/02 15:55好人一生平安

a548027707/02 15:56沒錯 有寫有幫助 但不代表寫了就能杜絕問題發生 就這樣

a548027707/02 15:59你自己看今天這例子 他是透過釣魚網站輸入資訊的 我們先

a548027707/02 15:59不論網站的精美程度有多高 你在網站上轉帳金額難道是填

a548027707/02 16:011元嗎? 你網站上填的金額是自己想要付的總額吧

a548027707/02 16:01收到的簡訊如果是顯示1元,跟金額不符的話,就該警覺吧

papac07/02 16:07推!

InInIn07/02 16:09謝謝分享

JUNKERS07/02 16:25推這篇,問題商家該改進,另外檢討被害人很好笑

linlin2407/02 16:26目前有遇到詐騙集團騙得款項後確實轉入類似支付系統洗錢

linlin2407/02 16:26相信這類的詐騙確實已經演變越來越多

Kazamatsuri07/02 16:30當然有寫出來是治標 但在治本方式出來前總是多少有

Kazamatsuri07/02 16:31幫助啦~

waterseen07/02 17:34推國泰玉山 技術都有在進步 之前被盜刷也是馬上協助止

waterseen07/02 17:34付停卡

wisteriachi07/02 18:14感謝分享

refanna07/02 18:26

uj200307/02 18:49kaltu大哥,社交工程一直是資安的一環啊

proletariat07/02 19:14感謝分享防範資訊

ayumiray07/02 19:23

UCCUplz07/02 19:59不管怎麼樣都會有人被騙沒錯

UCCUplz07/02 19:59但是銀行多做一些處置 就可以讓被騙的人變少不是嗎?

percentoff07/02 20:04哇專業 謝謝分享

UCCUplz07/02 20:04一直在那邊檢討受害人,聽別人檢討系統就叫叫叫,老實說

UCCUplz07/02 20:04挺白痴的

vyvian07/02 20:12遇到詐騙,每個人都可能是下個受害人。檢討制度才是正解

Jiapie07/02 20:26關於驗證簡訊的OTP我試了一下同樣是OPEN錢包,國泰世華的

Jiapie07/02 20:26信用卡很明確的說是APP綁定用,另一家則只是發送驗證碼用

Jiapie07/02 20:26途沒有多說。

Jiapie07/02 20:27https://i.imgur.com/wqimJfR.jpg

a770810107/02 20:29推 並不是每家公司都有相關的課程告訴你這些東西...

hsinyuan010407/02 20:38OPEN錢包是國泰世華寫的.國泰世華當然可判別,但其他

hsinyuan010407/02 20:39銀行要如何判斷,要國泰世華告訴他們

nerda07/02 21:19LP不能綁非本人的信用卡吧?之前試過不給綁啊

peiningyu07/02 21:23推詳細解說

tbrs07/02 21:28本來就沒很愛用統一家的 為了回饋我還是不得不用而這次讓我

tbrs07/02 21:28學乖 不能再增加股債以外的詐騙債了 只能綁安全係數較高不

tbrs07/02 21:28銀行這樣 額度不要超過一萬

Kazamatsuri07/02 21:29https://i.imgur.com/FXJbmRs.png LINE Pay只有中信

Kazamatsuri07/02 21:30玉山聯邦國泰世華富邦連線才有限要跟留存在銀行的電

tbrs07/02 21:30我賴佩用 連線銀行自己家的卡片

Kazamatsuri07/02 21:30話一致的帳號才能綁 其他銀行不限

nightA07/02 21:31看了推文後認同k大的說法,因為只要是人,都會有人為疏忽

nightA07/02 21:31的可能,所以我們才要建立有效的系統去防範這些漏洞,以

nightA07/02 21:31減低跟避免這些問題

tbrs07/02 21:31難怪我沒用過三維驗證

tbrs07/02 21:32難怪我因為疫苗沒百分之百有效 就不打半劑疫苗 一小步我都

tbrs07/02 21:32不想跨

tbrs07/02 21:33因效廢疫的我

Kazamatsuri07/02 21:34如果因為不能百分百預防就不做 那不如就不要出門了

flora502807/02 21:40金管會統一簡訊開頭格式揭露4樣時間-金額-行為-店家

flora502807/02 21:42能防堵99%釣魚詐騙 現簡訊沒統一使用者看數字就急著輸

flora502807/02 21:44強迫驗證本人綁卡1支1人不太好 電支有人因驗證就拒用

Kazamatsuri07/02 21:46撇開不穩定因素 看看多少人因為要上傳身份證而不想改

Kazamatsuri07/02 21:47用全盈的? 科科

asdfghjklasd07/02 21:48一個簡單可以從源頭就管好的,還替-4講話

tbrs07/02 21:58全盈確實很方便 但是她讓我詬病的就是 我原本的全家配就被

tbrs07/02 21:58改成次要了 不像統一集團能自由選擇愛金配 還歐本佩

tbrs07/02 21:59每次切換 指紋還總是在那時感應不良多次

DogCavy07/02 22:05可以把FamiPay單獨拉捷徑出來

Kazamatsuri07/02 22:10FamiPay在中間酷碰券右邊的「全家支付」 但要用全盈

Kazamatsuri07/02 22:10的密碼登入 XD

crazycy07/02 22:12

tbrs07/02 22:28居然藏那麼裡面 找好幾次都沒找到

tbrs07/02 22:35畢竟太多項目了

poui056707/02 22:44

hahananav07/02 22:54謝謝分享

cka07/02 23:09只要排除非本人信用卡綁定帳戶這麼簡單的小事7-11不願意也是

cka07/02 23:09很怪,橘子支付就有排除

a1985110607/02 23:11推~~

barttien07/02 23:16從此對小七的印象大大折扣,統一真的糟透了

pipiiii77707/02 23:42

kevin96307/03 00:23現在都盡量避免去711 爛透的公司

billiechick07/03 00:35推!!!!!!!!!!!

hihihiccc07/03 00:39辛苦了

tbrs07/03 00:40不痛不癢 照樣爽賺點數發大財

tbrs07/03 00:40賺錢的最大

jerrykyo07/03 00:42感謝專家提供寶貴建議 希望政府官員能好好聽進去

kkkk123407/03 00:50@tbrs 3D驗證什麼時候變三維驗證了 3D是指三分

kkkk123407/03 00:50https://i.imgur.com/1Nj7Y7b.png

erty285207/03 00:54幹,跪了

tbrs07/03 03:21喔是三方 不是三維 英文名詞簡稱太多了

darkMood07/03 03:39要求修法詐騙集團首腦一律公開鞭刑至死才是解決之道

chocopie07/03 04:17

ivi07/03 07:32推 一堆人怪消費者被騙根本腦殘

louiseyeyen07/03 10:00有個疑問,跳轉驗證的網頁不是操作人才會收到嗎?

louiseyeyen07/03 10:00原原po是給詐騙集團otp號碼,還是自己輸入進假網頁

louiseyeyen07/03 10:00

thisgo07/03 10:02謝謝分享

goodnu207/03 10:57假網站的刷卡金額不會是$1吧?收到銀行簡訊說要刷$1不覺

goodnu207/03 10:57得奇怪嗎?

ricshi07/03 11:38

hsinyuan010407/03 11:40https://i.imgur.com/r7vqXAa.jpg

hsinyuan010407/03 11:41https://i.imgur.com/094kRGu.jpg

hsinyuan010407/03 11:41https://i.imgur.com/HpIFiAe.jpg

hsinyuan010407/03 11:41https://i.imgur.com/ZLO8MuG.jpg

hsinyuan010407/03 11:42https://i.imgur.com/sTVucLj.jpg

nalthax07/03 11:42

mrshort07/03 12:52

zj76552307/03 12:55推し

tinahou07/03 13:48國泰世華加分加到爆

eayterrr07/03 14:16推個

lkj12tw07/03 16:33好文幫推

warrigal07/03 16:55推這一篇

oliverroli07/03 17:36為什麼買芒果需要試刷1元?買什麼東西需要試刷?一直

oliverroli07/03 17:36以來不是只有綁卡才要試刷嗎?

oliverroli07/03 17:36前一篇和這一篇都沒有回答到這個問題……

houjay07/03 18:20所以金管會在幹嘛?

itismimi07/03 19:08409樓講到重點,為什麼要刷1元去驗證,到底想要驗證什麼

itismimi07/03 19:08東西呢?

hsinyuan010407/03 19:37大概就跟訂旅館入住時被要求試刷信用卡

wattswatts07/03 19:54蝦皮刷卡購物輸入卡號就會有信用卡試刷機制,買完刪

wattswatts07/03 19:54除卡號沒被盜刷過

labo07/03 21:38蝦皮刷卡是綁定蝦皮的第三方支付,所以需要試刷

zoe88807/03 21:57推詳細

dtdon169907/03 23:48推好文 盜刷一元跟綁定不同 小七拖時間很有問題

sara82082007/04 00:35詳細給推

facelift561507/04 05:13

anomaly07/04 08:25我覺得就算otp裡面加上綁卡兩個字,會被騙的還是會被騙

a991033007/04 08:27拖到監視器洗掉沒證據,被害人無證據只能認賠~小7計畫通

yuuirain07/04 09:49Push

ChingLan32607/04 13:41感謝分享

kissrain07/04 17:43遊戲點數五萬十萬買,什麼遊戲那麼迷人

kissrain07/04 19:25政府實在該管管遊戲點數

sfwejfish07/04 19:32感謝分享