[討論] 信用卡透過電話客服綁定AP/GP的流程

BNYMellon 發表於 2022/7/17 上午12:52:50

看板creditcard標題[討論] 信用卡透過電話客服綁定AP/GP的流程作者

BNYMellon

(BNYMellon)時間Jul 17 00:52:50 2022推噓28 推:32 噓:4 →:131

PTT評價

通常來說，行動支付(AP/GP)有兩種驗證方式：

一、簡訊OTP驗證碼

二、致電銀行客服直接開通

底下我附上一個「致電銀行客服直接開通行動支付(AP/GP)」的模擬對話

僅供參考，若現階段有銀行的驗證流程與底下情境相同，請儘速強化驗證程序

<<前提概要>>

某ABC銀行

騙子已經知道被害人的「姓名」、「電話」、「地址」、「身分證號」、「信用卡卡號」

在轉接電話客服之前，騙子已經輸入正確的「身分證號」

<<對話開始>>

客服：您好，歡迎致電ABC銀行信用卡客服，敝姓張，代號143，很高興為你服務

客服：你好，陳先生，請問有什麼需要為您服務的嗎？

騙子：我想要綁定Google Pay，但人在海外，收不到OTP驗證碼

客服：好的沒問題，在我們開始之前，想先與陳先生進行身份驗證核對

客服：請問陳先生大名是？

騙子：陳大明

客服：請問陳先生在本行登記的手機號碼是？

騙子：0900 123 456

客服：請問陳先生的生日是？

騙子：1911/10/10

客服：請問陳先生在本行留存的電子信箱是？

騙子：[email protected]

客服：請問陳先生在本行留存的通訊地址是？

騙子：台北市中正區重慶南路一段122號

客服：請問陳先生：

名下有幾張正卡/有幾張附卡/有幾個貸款/外幣帳戶餘額/畢業國中小/帳戶是否綁定自動扣繳/
最近繳款餘額是多少/最近刷卡金額大約多少/

騙子：1張/0張/0個/0元
-——>這裡可能被騙子亂猜成功，每家銀行問的問題也都不太一樣

客服：感謝陳先生的資訊提供，身份驗證已通過，請問要綁定Google Pay的卡號末四碼是？？

騙子：1234

客服：請問裝置號碼末四碼是？

騙子：1234

客服：好的，陳先生，請稍等

客服：您好，陳先生，已為您綁定成功

客服：請問還有什麼需要為您協助的嗎？

騙子：沒有了，謝謝你

客服：陳先生您好，這裏提供超優惠的「不幸福信貸」，利率1.88%起，最高可貸300萬
，最長可貸7年，需要請專人致電與您說明嗎？

騙子：不需要，謝謝你

客服：好的，祝你一切順心，歡迎再次致電ABC信用卡客服中心，再見。

<<對話結束>>

- - - -
- - - -

其實整個流程最大的漏洞是：

只要騙子獲取完整的個資，成功欺詐銀行客服完成身分驗證，之後騙子就可以更改一些設定

為了防範這種情況，建議設定「電話語音密碼」，就算騙子知道個資，但「電話語音密碼」這關就能成功擋下騙子了。

目前我查到「純信用卡戶」可以設定「電話語音密碼」的銀行有：

外商銀行：花旗、滙豐、渣打、星展

公股銀行：兆豐

民營銀行：富邦、聯邦、中信、國泰、台新

持有有以上銀行信用卡的板友，可以去設定「電話語音密碼」，增加帳戶安全。

其餘的銀行要麼沒有「電話語音密碼」的服務，要麼得是該行的「存款客戶」才能申請

- - - - -
以上供參～

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.9.139.143 (臺灣)

※ 文章網址:

https://www.ptt.cc/creditcard/M.1657990372.A.FD1

→

Sheng98 07/17 00:56#1YqiPuDS (MobilePay) 我在隔壁板有發類似的文章

→

Sheng98 07/17 00:56這篇剛好補足我想知道的東西...前提是騙子掌握到持

→

Sheng98 07/17 00:56卡人的個資了

有時候身分驗證環節問的問題很容易猜的出來

推

chiungsuyi 07/17 00:58但電話語音密碼輸入錯誤依然可以專員認證呀

以滙豐來說，沒有經過電話理財密碼驗證，找專人驗證也不行

推

alloc 07/17 00:59照原原po的說法「沒有給出OTP」我認為事主應該有

→

alloc 07/17 00:59收到疑似綁定的簡訊但否認有洩漏並非這篇的電話

→

alloc 07/17 00:59綁定說猜對都太牽強了

我只是舉例，因為每次我在打客服做身分驗證時，我都覺得那些問題很容易被矇對就算騙子猜錯，大不了換一個受害者繼續猜所以有「電話密碼」可以設定最好就去設定，增加安全

→

lise1017 07/17 01:00這些資訊全部都被人知道還不剪卡被騙不是剛好而已嗎

→

alloc 07/17 01:00樓上我也有疑問被詐騙個資後還不停卡是為什麼...

→

lise1017 07/17 01:01姓名地址身分證號屬於身分證上即有資料也屬機密

→

lise1017 07/17 01:02電話號碼又是第二個和身分連結的資料屬於第二機密

→

lise1017 07/17 01:02最後一個和錢連結上的連卡號都被人知道了

→

lise1017 07/17 01:03這就跟你家獨戶透天沒有鄰居然後門全部打開

身分證+電話+電子郵箱很容易被外流啦你有沒有想過，騙子在寄釣魚簡訊給你之前，手上早就有你這麼多個資，只差在信用卡號等你傻傻被騙上鉤而已像底下新聞這樣

https://bit.ly/3OicCOZ

推

ppptofff 07/17 01:04永豐也有一個什麼理財密碼之類的

目前查到似乎僅限存款戶能申請

→

lise1017 07/17 01:04新台幣直接擺在家裡辦公桌上那被人入室偷走剛好

※ 編輯: BNYMellon (39.9.139.143 臺灣), 07/17/2022 01:05:06

※ 編輯: BNYMellon (39.9.139.143 臺灣), 07/17/2022 01:10:40

推

alloc 07/17 01:14就我的經驗身分驗證都會問與消費所需的資料無關的

→

alloc 07/17 01:14問題像是最常問的畢業國小最近一期帳單繳納或

→

alloc 07/17 01:14是消費支付方式但我還真的剛好沒國泰的信用卡就

→

alloc 07/17 01:14不知道了

→

goodnu2 07/17 01:16國泰也有理財密碼

推

iyoka 07/17 01:23被詐騙當下不知道被詐騙才沒停卡，謝謝。

本文只針對銀行驗證流程做討論

噓

jjcity 07/17 01:28小劇場太多了吧

我打過幾次銀行客服身分認證程序就是這樣喔

→

Sheng98 07/17 01:30模擬對話而已...想太多?

→

jjcity 07/17 01:31如果詐騙知道這麼多個資，還要大費周章只為了搞個Ap

→

jjcity 07/17 01:31ple pay而已嗎？

因為用AP/GP後就不用3D認證，省得要再去找被害者騙OTP驗證碼

→

Sheng98 07/17 01:31平常打客服電話, 客服那邊也是會有類似的對話驗證

→

Sheng98 07/17 01:31打電話來的人的身分

→

jjcity 07/17 01:31所以模擬對話有什麼好討論的？

難不成要打我的個資出來= . = 重點是流程啊

→

Sheng98 07/17 01:31AP/GP 綁卡不方便收簡訊驗證碼的話, 就只剩下致電

→

Sheng98 07/17 01:32客服

推

iyoka 07/17 01:35剛測試國泰電話語音密碼失敗後直接改個資確認如電

→

iyoka 07/17 01:35話號碼、畢業國小詐騙集團應該如原PO說掌握個資。

※ 編輯: BNYMellon (39.9.139.143 臺灣), 07/17/2022 01:36:36

噓

jjcity 07/17 01:38我如果知道這麼多個資，難道我不會跟客服說我忘了語

→

jjcity 07/17 01:38音密碼，要重新設定，所以語音密碼不也落到詐騙集團

→

jjcity 07/17 01:38手上

電話語音密碼忘記通常只能臨櫃修改（滙豐、渣打）或是網上重設但需要OTP驗證（聯邦）

※ 編輯: BNYMellon (39.9.139.143 臺灣), 07/17/2022 01:40:51

→

iueeng 07/17 01:58純信用卡戶國泰台新中信花旗都能設語音密碼不過

→

iueeng 07/17 01:58都十幾年前設定的，上次進線才發現該銀行有語音密

→

iueeng 07/17 01:58碼都忘記何時設定的，還好沒弄錯，不過就算驗證完

→

iueeng 07/17 01:59語音密碼（有些是接通客服前先按），客服還是會確

→

iueeng 07/17 01:59認一些安全性問題

謝謝分享，這些銀行我會補在內文

※ 編輯: BNYMellon (39.9.139.143 臺灣), 07/17/2022 02:02:22

推

carpkuo 07/17 02:37我只有一間銀行只有一張卡，額度還只有2萬，其它都

→

carpkuo 07/17 02:37很多張。

推

dowbane 07/17 02:42還有國小唸哪、帳單寄送地址方式、辦過本行幾張信用

→

dowbane 07/17 02:42卡。

噓

ac147 07/17 03:37在銀行客服上過班，你這樣的核身完全不正確

※ 編輯: BNYMellon (39.9.139.143 臺灣), 07/17/2022 04:02:55

推

abin0818 07/17 04:36星展也是語音密碼認證

推

w71023 07/17 07:14應該是說手中都有這麼多資料了百百次試不就行了

→

samnpc 07/17 08:28我也打過，問題沒你說的那麼簡單

有補了更多常見驗證問題了

噓

killerbbt 07/17 08:47可以不要唬爛腦補嗎？你那是問信用卡帳單跟調額才

→

killerbbt 07/17 08:47這麼簡單

→

killerbbt 07/17 08:49我勸你這篇刪掉根本誤導，你根本沒實際打過不要嘴

→

killerbbt 07/17 08:50還模擬對話勒，以為平常道路救援還是調額的方式可

→

killerbbt 07/17 08:50以通用喔

每家銀行問的問題不一樣，我之前打過的銀行客服只問這些問題就給綁定了可能銀行後續流程有更改

推

TCdogmeat 07/17 09:14綁定當事人也會收到簡訊通知不會這麼傻吧

※ 編輯: BNYMellon (39.9.139.143 臺灣), 07/17/2022 09:22:25

推

jaiyenyen 07/17 09:26前陣子，我致電銀行更改OTP手機，就是問這些，還有

→

jaiyenyen 07/17 09:262題別的，但也是回答有或沒有而已。

推

alloc 07/17 09:28事主有收到綁定簡訊但事主不知道GP就忽略了

→

tomsawyer 07/17 10:10推文覺得老人在詐騙王國看到奇怪的簡訊是忽略還是

→

tomsawyer 07/17 10:10在意

推

LazyICE 07/17 13:20推模擬問的最後兩段好寫實～XDD

推

Aixtron 07/17 16:30重點是綁定了，銀行還有風控啊！

→

Aixtron 07/17 16:35而且現在銀行隔天都會寄刷卡明細，或line通知，所以

→

Aixtron 07/17 16:35看銀行提醒了幾次，銀行也是敗訴了，才會簡訊啥都來

→

Aixtron 07/17 16:35！

→

Aixtron 07/17 16:38像我信用滿分，每間銀行風控到，我單筆刷超過平常消

→

Aixtron 07/17 16:38費額度的兩倍，次數頻繁到連續四次的，就算line有通

→

Aixtron 07/17 16:38知，都會來電，怕我line沒看到

→

Aixtron 07/17 16:40如果被騙了，不想讓人知道，結果風控錄音當場播放，

→

Aixtron 07/17 16:40連律師都會傻眼！

→

Aixtron 07/17 16:41說實在個人資訊，沒洩露才是見鬼了吧！

推

Aixtron 07/17 16:50講誇張一點，因這樣而主張，銀行鐵輸，那次社會事件

→

Aixtron 07/17 16:50當事人不被肉搜，這些那一樣少過？

推

horusli 07/17 17:25聯邦綁GP，風控馬上電話確認

推

JuiFu617 07/17 17:26很多客服會問什麼國小，這個有那麼容易洩漏？

推

Aixtron 07/17 17:57不要懷疑肉搜！

推

dantes1013 07/17 18:28個資都已是公開的秘密了，銀行端如果只確認這些

→

dantes1013 07/17 18:29可能已經無法確認為本人了

→

Sheng98 07/17 18:39所以電話語音密碼那種也只能再增加非本人使用他人

→

Sheng98 07/17 18:39個資的麻煩程度而已

→

Sheng98 07/17 18:39進而無法再做進階核對

→

bitlife 07/17 19:10肉搜能搜到長輩的國小其實也是厲害,有些說不定現在

→

bitlife 07/17 19:10國小都消失了...

→

Sheng98 07/17 19:11我家人的國小都消失了 (東部某國小)

推

smileyo0226 07/17 19:20客戶個資會這麼完整的洩漏，語音密碼感覺也會在別的

→

smileyo0226 07/17 19:20地方洩漏出去。何況銀行嚴格會有客戶客訴擾民，不嚴

→

smileyo0226 07/17 19:20格也會有客戶將自己的責任歸咎於銀行。回到案例本身

→

smileyo0226 07/17 19:20洩漏opt無論是客戶提供後否認或簡訊被攔截都不是銀

→

smileyo0226 07/17 19:20行能控制的。

→

smileyo0226 07/17 19:20更正otp

推

DogCavy 07/17 19:26國小搜得到嗎

→

dantes1013 07/17 19:31樓上，不少人在FB上，鉅細靡遺的寫出各種資料經歷

→

dantes1013 07/17 19:31某種程度，很多個人訊息都是自己洩漏出去的

推

Aixtron 07/17 19:44國小同學會，人家tag，小學同學過世的合照，太多了

→

Aixtron 07/17 19:44，可以說是比較不容易，但我相信賣個資的也是依等級

→

Aixtron 07/17 19:44分價的，古人說的好，你知我知天下知！

→

Aixtron 07/17 19:46而且很多人在FB認朋友，多認幾個，您當人工智慧是塑

→

Aixtron 07/17 19:46膠？它連您自己都不知的一面都可以發覺了！

推

Aixtron 07/17 19:52其實最好的密碼是錯誤的！小學說一個根本從未存在的

→

Aixtron 07/17 19:52，猜難猜，抓好抓

→

Aixtron 07/17 19:53可惜我知道這件事時，已經老了XD

→

Aixtron 07/17 19:57譬如你說您拜登國小畢業，銀行會說不行？就算詐騙買

→

Aixtron 07/17 19:57到銀行的個資，他說不定自己都不信XD

→

Sheng98 07/17 19:58銀行應該沒那麼閒功夫清查全台現存和過往存在的國小

→

Sheng98 07/17 19:59但是填寫信用卡申請資料時通常還是會填寫真實資訊

→

Sheng98 07/17 19:59免得自己寫從未存在過的國小名稱但一時忘記

→

Sheng98 07/17 20:00反而也害到自己

→

Aixtron 07/17 20:09所以我說我老了才發覺，其實申請第一張開始就這麽做

→

Aixtron 07/17 20:09，根本沒問題，更安全！

→

Aixtron 07/17 20:09而且銀行不能要求您填正確國小！

→

Aixtron 07/17 20:12第一張就拜登國小，最好還能忘記！但是會和您實體產

→

Aixtron 07/17 20:12生斷點，會給人工智慧的演算法帶來很大的困擾，除非

→

Aixtron 07/17 20:12您又自己把他聯結起來！

推

Aixtron 07/17 20:15而且您ABC說不定真讀拜登國小，銀行沒那麽閒！

→

Sheng98 07/17 20:17只能要求自己不要下意識講成正確的國小了 XD

推

alloc 07/17 20:17搞得那麼累幹嘛...你知道你自己填的資料必須保證沒

→

alloc 07/17 20:17問題嗎？

推

Aixtron 07/17 20:34偽造文書，是足生損害他人與公眾！

→

Aixtron 07/17 20:36填錯國小，會害銀行？反而是現在個資法，銀行要人填

→

Aixtron 07/17 20:36無關的國小，才有問題吧？

→

Sheng98 07/17 20:37填國小名稱是用來電話中確認身分用的...

→

Sheng98 07/17 20:37不然可能還有問生肖/星座 (?

推

Aixtron 07/17 20:38生肖星座不就和生日相關？沒有多餘的資訊！

→

Sheng98 07/17 20:40所以生日也不能亂填啊

→

Sheng98 07/17 20:40客服問的東西是要短時間內能回答的, 如果還要花時間

→

Aixtron 07/17 20:40確認身份用是不是一定要有國小，這可是涉及個資法個

→

Aixtron 07/17 20:40人資訊權的管理，可是要有相當的關聯性，不是嗎？

→

Sheng98 07/17 20:40想不就被拒絕

→

Aixtron 07/17 20:41生日當然不行，身份證上有！我是指國小！！！

→

Aixtron 07/17 20:43名字字號生日，這都會偽造文書，因為您有提供身份証

→

Aixtron 07/17 20:43影本！

→

Sheng98 07/17 20:43用國小這個是後來才出現的資料欄位的樣子, 也許以前

→

Sheng98 07/17 20:44有發生過電話確認通過但是還是被盜刷之類的吧

→

Sheng98 07/17 20:44所以多加一個國小名稱, 讓客服核對資料時可以判斷

→

Kazamatsuri 07/17 20:44問小學的應該當初申請時有寫

→

Sheng98 07/17 20:44客戶是否回答正確

→

Sheng98 07/17 20:45我有點忘了我第一張中信卡填資料的時候, 是否有填到

→

Sheng98 07/17 20:45國小資訊 (距今 20 年以上)

→

Kazamatsuri 07/17 20:46客服問的應該都是當初申請時您有寫的所以如果回答

→

Sheng98 07/17 20:46後來的卡填資料也還是會填到畢業國小名稱了

→

Kazamatsuri 07/17 20:46錯應該是您偽造文書的成分比較大吧？ XD

→

Aixtron 07/17 20:46國小就是以前法律的遺毒！我以前去開戶，填資料，一

→

Aixtron 07/17 20:46大堆有的沒的，現在帶雙證件去，簽幾個名，法律在進

→

Aixtron 07/17 20:46步，人也要進步！我覺得國小是對資安有幫助，就惡法

→

Aixtron 07/17 20:46亦法，不是本來就是正確的！

→

Sheng98 07/17 20:46所以重點是一開始寫非正確的國小名稱就要自己記好

→

Sheng98 07/17 20:47免得下意識回答原本正確的國小名稱就糗了

→

Kazamatsuri 07/17 20:47那當初您也可以拒絕填寫拒絕申請卡不是？

→

Aixtron 07/17 20:48沒錯啊！我相信早晚不用填的！

→

Sheng98 07/17 20:48想到現在有些網站 (不是銀行) 申請帳號時, 如果要取

→

Sheng98 07/17 20:49回密碼還要回答自設的問題的答案 (當然也有問題問

→

Sheng98 07/17 20:49畢業於哪個國小), 通常都是每個人下意識直接就能回

→

Sheng98 07/17 20:49答的答案

→

Aixtron 07/17 20:51您最好去上資安密碼的課！我相信上完，您才會發覺您

→

Aixtron 07/17 20:51現在的密碼多不安全！真心不騙！

→

alloc 07/17 20:51乾脆學虛擬貨幣的密碼組好了越來越複雜真棒

→

Sheng98 07/17 20:52複雜到我有些網站的密碼都快改到自己背不起來了

→

Sheng98 07/17 20:52何況加上問題驗證的

推

Aixtron 07/17 20:54看您怎麽看待您的資訊安全！這是每個人價值選擇，不

→

Aixtron 07/17 20:54是工程問題XD

→

Aixtron 07/17 20:56像我ptt的密碼，不安全也不想改，被偷走很好，否則

→

Aixtron 07/17 20:56每天都手癢掛在這XD

推

UCCUplz 07/18 01:07推

推

david220 07/18 10:20綁完會寄簡訊通知啊

→

Killercat 07/18 11:59...密碼準則還需要上課才知道喔？

→

Killercat 07/18 12:00https://tinyurl.com/2bx3hegy

推

LV3000 07/18 16:13渣打銀行密碼就強迫複雜，有很好人記不住

→

LV3000 07/18 16:14很多人，上面錯字

其他人也閱讀了

PTT 熱門相關