Re: [新聞] 盜刷新招 慎防1元消費簡訊

這幾位苦主出事，並不是自己蠢到把OTP告訴別人 而是詐騙集團精心偽造出一個刷卡頁面(偽裝成某家第三方支付) 讓你刷卡後 再跑出偽造的3d驗證頁面 讓你乖乖把OTP輸入上去 這次的詐騙不是買什麼一頁式購物詐騙 而是苦主們 與道道地地的芒果果農經營的粉絲團下訂單 這些果農都老實做生意的 沒想到詐騙集團竟然偽裝成小幫手 給苦主們 "訂購單" 跟偽造的第三方支付刷卡還有3d驗證頁面 順序 1)詐騙集團偽裝成芒果農粉絲頁的小幫手，提供訂購單給你 2)訂購單是一個精心布置、偽造的刷卡頁面(某家第三方支付) 3)你乖乖填入信用卡相關資訊後，會傳一個OTP簡訊給你 (金額是一元，類似許多網站的刷卡測試) 4)偽造3D驗正頁面，誘導你乖乖輸入OTP驗證碼 5)你輸入後，實際上是騙子把你的卡綁在某第三方支付，根據新聞報導 有一些case是綁上7-11的open錢包 6)騙子的車手集團們，開始在7-11等便利商店瘋狂購買遊戲點數 因為已經綁卡了，接下來不需要OTP驗證碼，刷到銀行發現不對聯絡你 或是你被瘋狂刷了幾十萬，趕快打電話向銀行停卡 我所知道最慘的狀況是，有人被刷掉超過蔡總統一個月的薪水.... 我認識的苦主們都是短短幾小時內被刷了幾萬塊 甚至十幾萬台幣 最賊的是，他們還會假好心跟你說 你多買幾盒有優惠 然後問你一些細節 芒果要怎麼裝等等 一副儼然就是芒果專業賣家的小幫手 如果你急著買一個幾百塊的芒果 也沒特別研究這個刷卡頁面是真是假 在加上這些"假小幫手"的專業與親切感 很容易就中招被騙 何況一般人誰會想到只是買個芒果 損失頂多幾百塊 怎麼一下十幾萬台幣就噴掉了 我再跟你們說接下來詐騙集團 可能更進階版的進化玩法： 攻擊一些正規網站的金流系統 狸貓換太子 讓你在正規網站上 乖乖交出信用卡資訊與OTP 你的確是在正規購物網站買東西 但正規網站的信用卡付款頁面被掉包 狸貓換太子 你照樣收到OTP驗證簡訊 輸入後 立刻綁卡 接下來瘋狂盜刷 然後因為是綁卡 接下來就不會有任何OTP警示 短短幾小時之內就把數十萬搬走了 所以大家將心比心 不要看到OTP交出去就以為是受害者蠢 這個騙局恐怕會持續進化 搞不好進化後 你去你常去的某家網站購物 就是下一個是害者 我知到這次的詐騙案件中，最慘的例子是 有人被刷到超越蔡英文總統一個月的薪水 -- 不是 冒充成粉專的小幫手 有果農還以為是其他競爭果農來截單 沒想到是詐騙集團 你只會看到刷1元，不會有綁卡提示，很多人看了以為只是果農在做測試 就你訂ubereats或搭Uber一樣 綁一次卡後 後面愛怎麼刷就怎麼刷 不會再有任何OTP 直到銀行發現不對勁打電話給你 沒錯 就是你說的順序 被刷1元，一般人看到1元都會覺得是在測試 就如同很多正常訂閱網站 一開始都會先刷一元新台幣或一美金 而且即便你質疑 那些詐騙集團都想好說詞了
※ 批踢踢實業坊(ptt.cc), 來自: 114.24.109.44 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1656527149.A.D9E.html

推 BNYMellon: 我掃碼就好 06/30 02:57

推 RaiGend0519: 結論是用該平台自己的軟體或APP刷最安全 06/30 03:59

→ RaiGend0519: 除非跟對岸一樣連Steam都能載到假的 06/30 04:00

→ ppptofff: 不懂，所以是fb粉專被盜？？ 06/30 04:38

推 sggs: 以前會有人把網購卡的額度調低，古早的智慧有其道理xd 06/30 06:48

推 w71023: OTP 不利於持卡人 夭壽可怕 06/30 08:30

推 tonyian: fb粉專不用被盜，很多喜歡裝作管理員說現在做活動把你帶 06/30 08:33

→ tonyian: 到其他平台例如line ，然後限時活動超級便宜就會一堆人 06/30 08:33

→ tonyian: 上鉤了 06/30 08:33

推 alloc: 雖然有點事後諸葛 但這種方式看OTP簡訊內的刷卡金額不就能 06/30 08:35

→ alloc: 發覺有問題了嗎 06/30 08:35

推 willieliu: 所以最根本的解法就是像亞馬遜那樣，不使用OTP，這樣 06/30 08:40

→ willieliu: 風險就不會轉到消費者身上，而銀行有專門的法務，看是 06/30 08:40

→ willieliu: 要報案還是釣大魚，都比一般個人消費者有力量。 06/30 08:40

→ kkkk1234: 亞馬遜有時甚至不用CSC 06/30 08:48

→ hsinyuan0104: 只要確認在正規網站交易即可,該網站如何被攻擊,被盜 06/30 08:55

→ hsinyuan0104: 刷的責任還是在該網站 06/30 08:55

推 longsre: 不懂耶，每筆otp密碼不是都有限定單筆訂單刷卡金額？要怎 06/30 09:10

→ longsre: 麼綁定otp狂刷？ 06/30 09:10

推 windsson: 就跟你街口綁卡第一次試刷通過後，後面都不用再OTP阿 06/30 09:13

→ windsson: 後面支付驗證的是跟著手機持有者 06/30 09:14

→ windsson: 那盜刷的如果是綁AP/GP之類的，就可以到處刷了 06/30 09:14

→ windsson: 順序是1.持卡人進釣魚網站輸入卡號 2.詐騙取得卡號綁定 06/30 09:16

→ windsson: 3.持卡人於跳轉的假OTP頁面輸入認證碼 06/30 09:17

→ windsson: 4.詐騙取得OTP認證碼，輸入綁定的裝置 06/30 09:17

→ windsson: 5.詐騙集團使用綁定的卡片到處盜刷 06/30 09:18

→ windsson: 步驟3如果持卡人發現金額怪怪的(只有1元2元) 06/30 09:19

→ windsson: 詐騙集團應該也會有教戰手則看怎麼回應吧 06/30 09:20

推 alloc: 你發現金額不對還給出OTP就自己蠢了啊... 06/30 09:23

推 ABSURDISMM: 這種綁定通常都是AP.GP，綁好後可無限制開刷不再需要 06/30 09:44

→ ABSURDISMM: 任何驗證...這算詐騙不是盜刷，銀行會認帳嗎... 06/30 09:44

→ chris0123: 首購小盒優惠1元，該筆訂單限購一盒。OTP get 06/30 10:02

推 rophynaa: 推解說... 06/30 10:25

推 pushwow: 不是啊 ，每次新聞都不說清楚詐騙手法細節，如果是假的3D 06/30 10:28

→ pushwow: 認證 那真的要小心！ 06/30 10:28

推 jim2100: 推解說 06/30 10:42

推 willieliu: OTP名義上是為了安全，事實上就是想把風險轉嫁給消費 06/30 12:32

→ willieliu: 者，就像DCC名義上是為了消費者方便換算，實際上就是 06/30 12:32

→ willieliu: 銀行想多賺一點匯差 06/30 12:32

→ willieliu: 如果OTP真的這麼安全又先進，那為什麼亞馬遜、蘋果等 06/30 12:34

→ willieliu: 不用？他們應該不落後吧？事實上OTP的安全只是對銀行安 06/30 12:34

→ willieliu: 全XD 06/30 12:34

→ prussian: 叫小商家學amazon自己偵測盜刷你不如叫他們直接去死死 06/30 12:46

→ prussian: 何不食肉糜 06/30 12:46

推 qi3qi3: 謝謝原po跟推文說明，本來還覺得是被騙的人笨... 06/30 13:06

→ qi3qi3: 可以預防的就是不要點來路不明的網站 06/30 13:18

→ tomsawyer: 試刷/綁卡就$1而已 推文要怎麼覺得金額不對 而且之後 06/30 13:34

→ tomsawyer: 就不會再有otp簡訊了 06/30 13:34

推 xru03: 推說明 06/30 13:36

推 winsonwu: 推說明 06/30 13:42

推 Rock0930: 推說明 06/30 13:48

推 alloc: 單純買東西會試刷嗎？小心謹慎點還是可以預防的 06/30 13:49

→ ppptofff: 綁ap gp不是會寄簡訊通知有綁?? 06/30 13:55

推 away612101: 世界上這麼多三方詐騙，他們都是沒對金額才被騙嗎？ 06/30 13:59

推 shawncarter: 推說明 06/30 15:26

推 rail02000: 如果詐騙集團說刷1元是試刷不會請款，可能也會相信 06/30 16:18

→ rail02000: 更不用說有些銀行的OTP簡訊不會寫上交易金額...... 06/30 16:18

→ dantes1013: 有些OTP內容只有密碼和效期，不會有金額或刷卡地點 06/30 16:39

推 alloc: 不知道銀行對於釣魚網站 簡訊內容資訊不足導致持卡人OTP 06/30 16:58

→ alloc: 外洩會怎麼處理就是了 06/30 16:58

推 klyuch: 所以說最好不要FB購物，要的話請賣家提供購物平台上的店舖 06/30 18:24

→ klyuch: 直接下單，或是直接轉帳。 06/30 18:24

推 nikitony2001: 所以原文是被假粉專的私訊導到釣魚網站的嗎？ 06/30 18:55

推 vyvian: OTP早就已經被認證為不安全機制了，只有銀行業還緊抱 06/30 19:46

→ vyvian: https://www.ithome.com.tw/news/112845 06/30 19:47

推 prowhitej: 推，不過看回文感覺很多人不懂倒數第二段的意思 06/30 21:25

推 LazyICE: 推說明 不過如果是綁定的OTP畫面 那銀行加註說明也沒用 06/30 21:35

→ LazyICE: 除非銀行還能抓到是不是綁定的門號輸入的網頁 （光想就 06/30 21:35

→ LazyICE: 覺得有難度了） 06/30 21:35

推 starcat22310: 推說明 會被偽裝小幫手騙也是太不小心了 不是粉專本 06/30 22:03

→ starcat22310: 號的回覆 也不是在常在粉專裡常發公告的帳號 不該輕 06/30 22:03

→ starcat22310: 易相信 06/30 22:03

→ starcat22310: 而且一般購物沒有在試刷1元的吧 只有支付會試刷(講 06/30 22:05

→ starcat22310: 來提醒自己 06/30 22:05

推 kkkk1234: 如果金管會要求OTP通知都要包含特約商店、交易金額、卡 06/30 22:18

→ kkkk1234: 號末四碼、交易時間 這些都有顯示在3D驗證的畫面 把這 06/30 22:18

→ kkkk1234: 些資訊一併告知使用者才能讓使用者核對 釣魚成功的機會 06/30 22:18

→ kkkk1234: 應該能減少吧 https://i.imgur.com/BsrFc3q.jpg 06/30 22:18

→ kkkk1234: 最好還要讓網銀都能查到原始交易幣別以及刷卡店家 06/30 22:18

推 kevin82222: 就算後續刷卡不用驗證 但現在銀行不都有簡訊或app 06/30 22:30

→ kevin82222: 及時推播通知嗎？ 06/30 22:30

→ kevin82222: 這樣至少被盜刷能馬上知道 不用等銀行發現才處理 06/30 22:32

推 tonyian: 希望金管會要求要有otp 做入網銀app內的讓消費者選擇 06/30 22:44

推 vyvian: 現在報稅都能用月租型行動門號做身分認證了 06/30 22:47

→ vyvian: 第三方支付業者沒道理還繼續用OTP這種不安全的方式做綁卡 06/30 22:47

→ vyvian: 問題根源還是在綁卡方式不安全所致 06/30 22:48

推 lilicoco777: 後面有一段寫:「在正規網站購物，付款頁面卻被調包.. 07/01 00:41

→ lilicoco777: .」這有發生過?那也太嚇人了吧! 07/01 00:41

推 Go2: https://i.imgur.com/miiuQCF.png 07/01 22:01

→ Go2: 看各家銀行 OTP 可否像這個導入店家名稱 07/01 22:01

→ peter173: 千萬不要認為1元就是詐騙，詐騙也會刷正常金額。假賣家/ 07/02 08:41

→ peter173: 假客服/假網頁/假簡訊，都會讓你掉入陷阱 07/02 08:41

推 wed1979: 所以我信用卡會綁定line，只要有即時刷卡訊息我都會特別 07/03 02:36

→ wed1979: 開來看 07/03 02:36