[討論] 信用卡透過客服綁定AP/GP的流程

通常來說，行動支付(AP/GP)有兩種驗證方式： 一、簡訊OTP驗證碼 二、致電銀行客服直接開通 底下我附上一個「致電銀行客服直接開通行動支付(AP/GP)」的模擬對話 僅供參考，若現階段有銀行的驗證流程與底下情境相同，請儘速強化驗證程序 <<前提概要>> 某ABC銀行 騙子已經知道被害人的「姓名」、「電話」、「地址」、「身分證號」、「信用卡卡號」 在轉接電話客服之前，騙子已經輸入正確的「身分證號」 <<對話開始>> 客服：您好，歡迎致電ABC銀行信用卡客服，敝姓張，代號143，很高興為你服務 客服：你好，陳先生，請問有什麼需要為您服務的嗎？ 騙子：我想要綁定Google Pay，但人在海外，收不到OTP驗證碼 客服：好的沒問題，在我們開始之前，想先與陳先生進行身份驗證核對 客服：請問陳先生大名是？ 騙子：陳大明 客服：請問陳先生在本行登記的手機號碼是？ 騙子：0900 123 456 客服：請問陳先生的生日是？ 騙子：1911/10/10 客服：請問陳先生在本行留存的電子信箱是？ 騙子：[email protected] 客服：請問陳先生在本行留存的通訊地址是？ 騙子：台北市中正區重慶南路一段122號 客服：請問陳先生： 名下有幾張正卡/有幾張附卡/有幾個貸款/外幣帳戶餘額/畢業國中小/帳戶是否綁定自動扣 繳/ 最近繳款餘額是多少/最近刷卡金額大約多少/ 騙子：1張/0張/0個/0元 -——>這裡可能被騙子亂猜成功，每家銀行問的問題也都不太一樣 客服：感謝陳先生的資訊提供，身份驗證已通過，請問要綁定Google Pay的卡號末四碼是？ ？ 騙子：1234 客服：請問裝置號碼末四碼是？ 騙子：1234 客服：好的，陳先生，請稍等 客服：您好，陳先生，已為您綁定成功 客服：請問還有什麼需要為您協助的嗎？ 騙子：沒有了，謝謝你 客服：陳先生您好，這裏提供超優惠的「不幸福信貸」，利率1.88%起，最高可貸300萬 ，最長可貸7年，需要請專人致電與您說明嗎？ 騙子：不需要，謝謝你 客服：好的，祝你一切順心，歡迎再次致電ABC信用卡客服中心，再見。 <<對話結束>> - - - - - - - - 其實整個流程最大的漏洞是： 只要騙子獲取完整的個資，成功欺詐銀行客服完成身分驗證，之後騙子就可以更改一些設定 為了防範這種情況，建議設定「電話語音密碼」，就算騙子知道個資，但「電話語音密碼」 這關就能成功擋下騙子了。 目前我查到「純信用卡戶」可以設定「電話語音密碼」的銀行有： 外商銀行：花旗、滙豐、渣打、星展 公股銀行：兆豐 民營銀行：富邦、聯邦、中信、國泰、台新 持有有以上銀行信用卡的板友，可以去設定「電話語音密碼」，增加帳戶安全。 其餘的銀行要麼沒有「電話語音密碼」的服務，要麼得是該行的「存款客戶」才能申請 - - - - - 以上供參～ -- 有時候身分驗證環節問的問題很容易猜的出來 以滙豐來說，沒有經過電話理財密碼驗證，找專人驗證也不行 我只是舉例，因為每次我在打客服做身分驗證時，我都覺得那些問題很容易被矇對 就算騙子猜錯，大不了換一個受害者繼續猜 所以有「電話密碼」可以設定最好就去設定，增加安全 身分證+電話+電子郵箱很容易被外流啦 你有沒有想過，騙子在寄釣魚簡訊給你之前，手上早就有你這麼多個資，只差在信用卡號等 你傻傻被騙上鉤而已 像底下新聞這樣 https://bit.ly/3OicCOZ 目前查到似乎僅限存款戶能申請 本文只針對銀行驗證流程做討論 我打過幾次銀行客服身分認證程序就是這樣喔 因為用AP/GP後就不用3D認證，省得要再去找被害者騙OTP驗證碼 難不成要打我的個資出來= . = 重點是流程啊 電話語音密碼忘記通常只能臨櫃修改（滙豐、渣打） 或是網上重設但需要OTP驗證（聯邦） 謝謝分享，這些銀行我會補在內文 有補了更多常見驗證問題了 每家銀行問的問題不一樣，我之前打過的銀行客服只問這些問題就給綁定了 可能銀行後續流程有更改
※ 批踢踢實業坊(ptt.cc), 來自: 39.9.139.143 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1657990372.A.FD1.html

→ Sheng98 : #1YqiPuDS (MobilePay) 我在隔壁板有發類似的文章07/17 00:56

→ Sheng98 : 這篇剛好補足我想知道的東西...前提是騙子掌握到持 07/17 00:56

→ Sheng98 : 卡人的個資了07/17 00:56

推 chiungsuyi : 但電話語音密碼輸入錯誤依然可以專員認證呀07/17 00:58

推 alloc : 照原原po的說法 「沒有給出OTP」 我認為事主應該有07/17 00:59

→ alloc : 收到疑似綁定的簡訊 但否認有洩漏 並非這篇的電話07/17 00:59

→ alloc : 綁定 說猜對都太牽強了07/17 00:59

→ lise1017 : 這些資訊全部都被人知道還不剪卡被騙不是剛好而已嗎07/17 01:00

→ alloc : 樓上我也有疑問被詐騙個資後還不停卡是為什麼...07/17 01:00

→ lise1017 : 姓名 地址 身分證號屬於身分證上即有資料 也屬機密07/17 01:01

→ lise1017 : 電話號碼又是第二個和身分連結的資料屬於第二機密07/17 01:02

→ lise1017 : 最後一個和錢連結上的 連卡號都被人知道了07/17 01:02

→ lise1017 : 這就跟你家獨戶透天沒有鄰居 然後門全部打開07/17 01:03

推 ppptofff : 永豐也有一個什麼理財密碼之類的07/17 01:04

→ lise1017 : 新台幣直接擺在家裡辦公桌上 那被人入室偷走剛好07/17 01:04

推 alloc : 就我的經驗身分驗證都會問與消費所需的資料無關的07/17 01:14

→ alloc : 問題 像是最常問的畢業國小 最近一期帳單繳納 或07/17 01:14

→ alloc : 是消費支付方式 但我還真的剛好沒國泰的信用卡 就07/17 01:14

→ alloc : 不知道了07/17 01:14

→ goodnu2 : 國泰也有理財密碼07/17 01:16

推 iyoka : 被詐騙當下不知道被詐騙才沒停卡，謝謝。07/17 01:23

噓 jjcity : 小劇場太多了吧 07/17 01:28

→ Sheng98 : 模擬對話而已...想太多?07/17 01:30

→ jjcity : 如果詐騙知道這麼多個資，還要大費周章只為了搞個Ap07/17 01:31

→ jjcity : ple pay而已嗎？07/17 01:31

→ Sheng98 : 平常打客服電話, 客服那邊也是會有類似的對話驗證07/17 01:31

→ Sheng98 : 打電話來的人的身分07/17 01:31

→ jjcity : 所以模擬對話有什麼好討論的？07/17 01:31

→ Sheng98 : AP/GP 綁卡不方便收簡訊驗證碼的話, 就只剩下致電07/17 01:31

→ Sheng98 : 客服07/17 01:32

推 iyoka : 剛測試國泰電話語音密碼失敗後直接改個資確認如電07/17 01:35

→ iyoka : 話號碼、畢業國小 詐騙集團應該如原PO說掌握個資。07/17 01:35

噓 jjcity : 我如果知道這麼多個資，難道我不會跟客服說我忘了語07/17 01:38

→ jjcity : 音密碼，要重新設定，所以語音密碼不也落到詐騙集團07/17 01:38

→ jjcity : 手上07/17 01:38

→ iueeng : 純信用卡戶 國泰台新中信花旗都能設語音密碼 不過 07/17 01:58

→ iueeng : 都十幾年前設定的，上次進線才發現該銀行有語音密 07/17 01:58

→ iueeng : 碼都忘記何時設定的，還好沒弄錯，不過就算驗證完07/17 01:58

→ iueeng : 語音密碼（有些是接通客服前先按），客服還是會確07/17 01:59

→ iueeng : 認一些安全性問題07/17 01:59

推 carpkuo : 我只有一間銀行只有一張卡，額度還只有2萬，其它都07/17 02:37

→ carpkuo : 很多張。07/17 02:37

推 dowbane : 還有國小唸哪、帳單寄送地址方式、辦過本行幾張信用07/17 02:42

→ dowbane : 卡。07/17 02:42

噓 ac147 : 在銀行客服上過班，你這樣的核身完全不正確07/17 03:37

推 abin0818 : 星展也是語音密碼認證 07/17 04:36

推 w71023 : 應該是說 手中都有這麼多資料了 百百次試不就行了 07/17 07:14

→ samnpc : 我也打過，問題沒你說的那麼簡單 07/17 08:28

噓 killerbbt : 可以不要唬爛腦補嗎？你那是問信用卡帳單跟調額才07/17 08:47

→ killerbbt : 這麼簡單07/17 08:47

→ killerbbt : 我勸你這篇刪掉根本誤導，你根本沒實際打過不要嘴07/17 08:49

→ killerbbt : 還模擬對話勒，以為平常道路救援還是調額的方式可07/17 08:50

→ killerbbt : 以通用喔 07/17 08:50

推 TCdogmeat : 綁定當事人也會收到簡訊通知 不會這麼傻吧 07/17 09:14

推 jaiyenyen : 前陣子，我致電銀行更改OTP手機，就是問這些，還有 07/17 09:26

→ jaiyenyen : 2題別的，但也是回答有或沒有而已。 07/17 09:26

推 alloc : 事主有收到綁定簡訊 但事主不知道GP就忽略了 07/17 09:28

→ tomsawyer : 推文覺得老人在詐騙王國看到奇怪的簡訊是忽略還是 07/17 10:10

→ tomsawyer : 在意 07/17 10:10

推 LazyICE : 推模擬問的最後兩段好寫實～XDD 07/17 13:20

推 Aixtron : 重點是綁定了，銀行還有風控啊！ 07/17 16:30

→ Aixtron : 而且現在銀行隔天都會寄刷卡明細，或line通知，所以 07/17 16:35

→ Aixtron : 看銀行提醒了幾次，銀行也是敗訴了，才會簡訊啥都來 07/17 16:35

→ Aixtron : ！ 07/17 16:35

→ Aixtron : 像我信用滿分，每間銀行風控到，我單筆刷超過平常消 07/17 16:38

→ Aixtron : 費額度的兩倍，次數頻繁到連續四次的，就算line有通 07/17 16:38

→ Aixtron : 知，都會來電，怕我line沒看到 07/17 16:38

→ Aixtron : 如果被騙了，不想讓人知道，結果風控錄音當場播放， 07/17 16:40

→ Aixtron : 連律師都會傻眼！ 07/17 16:40

→ Aixtron : 說實在個人資訊，沒洩露才是見鬼了吧！ 07/17 16:41

推 Aixtron : 講誇張一點，因這樣而主張，銀行鐵輸，那次社會事件 07/17 16:50

→ Aixtron : 當事人不被肉搜，這些那一樣少過？ 07/17 16:50

推 horusli : 聯邦綁GP，風控馬上電話確認 07/17 17:25

推 JuiFu617 : 很多客服會問什麼國小，這個有那麼容易洩漏？ 07/17 17:26

推 Aixtron : 不要懷疑肉搜！ 07/17 17:57

推 dantes1013 : 個資都已是公開的秘密了，銀行端如果只確認這些 07/17 18:28

→ dantes1013 : 可能已經無法確認為本人了 07/17 18:29

→ Sheng98 : 所以電話語音密碼那種也只能再增加非本人使用他人 07/17 18:39

→ Sheng98 : 個資的麻煩程度而已 07/17 18:39

→ Sheng98 : 進而無法再做進階核對 07/17 18:39

→ bitlife : 肉搜能搜到長輩的國小其實也是厲害,有些說不定現在 07/17 19:10

→ bitlife : 國小都消失了... 07/17 19:10

→ Sheng98 : 我家人的國小都消失了 (東部某國小) 07/17 19:11

推 smileyo0226 : 客戶個資會這麼完整的洩漏，語音密碼感覺也會在別的 07/17 19:20

→ smileyo0226 : 地方洩漏出去。何況銀行嚴格會有客戶客訴擾民，不嚴 07/17 19:20

→ smileyo0226 : 格也會有客戶將自己的責任歸咎於銀行。回到案例本身 07/17 19:20

→ smileyo0226 : 洩漏opt無論是客戶提供後否認或簡訊被攔截都不是銀 07/17 19:20

→ smileyo0226 : 行能控制的。 07/17 19:20

→ smileyo0226 : 更正otp 07/17 19:20

推 DogCavy : 國小搜得到嗎 07/17 19:26

→ dantes1013 : 樓上，不少人在FB上，鉅細靡遺的寫出各種資料經歷 07/17 19:31

→ dantes1013 : 某種程度，很多個人訊息都是自己洩漏出去的 07/17 19:31

推 Aixtron : 國小同學會，人家tag，小學同學過世的合照，太多了 07/17 19:44

→ Aixtron : ，可以說是比較不容易，但我相信賣個資的也是依等級 07/17 19:44

→ Aixtron : 分價的，古人說的好，你知我知天下知！ 07/17 19:44

→ Aixtron : 而且很多人在FB認朋友，多認幾個，您當人工智慧是塑 07/17 19:46

→ Aixtron : 膠？它連您自己都不知的一面都可以發覺了！ 07/17 19:46

推 Aixtron : 其實最好的密碼是錯誤的！小學說一個根本從未存在的 07/17 19:52

→ Aixtron : ，猜難猜，抓好抓 07/17 19:52

→ Aixtron : 可惜我知道這件事時，已經老了XD 07/17 19:53

→ Aixtron : 譬如你說您拜登國小畢業，銀行會說不行？就算詐騙買 07/17 19:57

→ Aixtron : 到銀行的個資，他說不定自己都不信XD 07/17 19:57

→ Sheng98 : 銀行應該沒那麼閒功夫清查全台現存和過往存在的國小 07/17 19:58

→ Sheng98 : 但是填寫信用卡申請資料時通常還是會填寫真實資訊 07/17 19:59

→ Sheng98 : 免得自己寫從未存在過的國小名稱但一時忘記 07/17 19:59

→ Sheng98 : 反而也害到自己 07/17 20:00

→ Aixtron : 所以我說我老了才發覺，其實申請第一張開始就這麽做 07/17 20:09

→ Aixtron : ，根本沒問題，更安全！ 07/17 20:09

→ Aixtron : 而且銀行不能要求您填正確國小！ 07/17 20:09

→ Aixtron : 第一張就拜登國小，最好還能忘記！但是會和您實體產 07/17 20:12

→ Aixtron : 生斷點，會給人工智慧的演算法帶來很大的困擾，除非 07/17 20:12

→ Aixtron : 您又自己把他聯結起來！ 07/17 20:12

推 Aixtron : 而且您ABC說不定真讀拜登國小，銀行沒那麽閒！ 07/17 20:15

→ Sheng98 : 只能要求自己不要下意識講成正確的國小了 XD 07/17 20:17

推 alloc : 搞得那麼累幹嘛...你知道你自己填的資料必須保證沒 07/17 20:17

→ alloc : 問題嗎？ 07/17 20:17

推 Aixtron : 偽造文書，是足生損害他人與公眾！ 07/17 20:34

→ Aixtron : 填錯國小，會害銀行？反而是現在個資法，銀行要人填 07/17 20:36

→ Aixtron : 無關的國小，才有問題吧？ 07/17 20:36

→ Sheng98 : 填國小名稱是用來電話中確認身分用的... 07/17 20:37

→ Sheng98 : 不然可能還有問生肖/星座 (? 07/17 20:37

推 Aixtron : 生肖星座不就和生日相關？沒有多餘的資訊！ 07/17 20:38

→ Sheng98 : 所以生日也不能亂填啊 07/17 20:40

→ Sheng98 : 客服問的東西是要短時間內能回答的, 如果還要花時間 07/17 20:40

→ Aixtron : 確認身份用是不是一定要有國小，這可是涉及個資法個 07/17 20:40

→ Aixtron : 人資訊權的管理，可是要有相當的關聯性，不是嗎？ 07/17 20:40

→ Sheng98 : 想不就被拒絕 07/17 20:40

→ Aixtron : 生日當然不行，身份證上有！我是指國小！！！ 07/17 20:41

→ Aixtron : 名字字號生日，這都會偽造文書，因為您有提供身份証 07/17 20:43

→ Aixtron : 影本！ 07/17 20:43

→ Sheng98 : 用國小這個是後來才出現的資料欄位的樣子, 也許以前 07/17 20:43

→ Sheng98 : 有發生過電話確認通過但是還是被盜刷之類的吧 07/17 20:44

→ Sheng98 : 所以多加一個國小名稱, 讓客服核對資料時可以判斷 07/17 20:44

→ Kazamatsuri : 問小學的應該當初申請時有寫 07/17 20:44

→ Sheng98 : 客戶是否回答正確 07/17 20:44

→ Sheng98 : 我有點忘了我第一張中信卡填資料的時候, 是否有填到 07/17 20:45

→ Sheng98 : 國小資訊 (距今 20 年以上) 07/17 20:45

→ Kazamatsuri : 客服問的應該都是當初申請時您有寫的 所以如果回答 07/17 20:46

→ Sheng98 : 後來的卡填資料也還是會填到畢業國小名稱了 07/17 20:46

→ Kazamatsuri : 錯應該是您偽造文書的成分比較大吧？ XD 07/17 20:46

→ Aixtron : 國小就是以前法律的遺毒！我以前去開戶，填資料，一 07/17 20:46

→ Aixtron : 大堆有的沒的，現在帶雙證件去，簽幾個名，法律在進 07/17 20:46

→ Aixtron : 步，人也要進步！我覺得國小是對資安有幫助，就惡法 07/17 20:46

→ Aixtron : 亦法，不是本來就是正確的！ 07/17 20:46

→ Sheng98 : 所以重點是一開始寫非正確的國小名稱就要自己記好 07/17 20:46

→ Sheng98 : 免得下意識回答原本正確的國小名稱就糗了 07/17 20:47

→ Kazamatsuri : 那當初您也可以拒絕填寫拒絕申請卡不是？ 07/17 20:47

→ Aixtron : 沒錯啊！我相信早晚不用填的！ 07/17 20:48

→ Sheng98 : 想到現在有些網站 (不是銀行) 申請帳號時, 如果要取 07/17 20:48

→ Sheng98 : 回密碼還要回答自設的問題的答案 (當然也有問題問 07/17 20:49

→ Sheng98 : 畢業於哪個國小), 通常都是每個人下意識直接就能回 07/17 20:49

→ Sheng98 : 答的答案 07/17 20:49

→ Aixtron : 您最好去上資安密碼的課！我相信上完，您才會發覺您 07/17 20:51

→ Aixtron : 現在的密碼多不安全！真心不騙！ 07/17 20:51

→ alloc : 乾脆學虛擬貨幣的密碼組好了 越來越複雜真棒 07/17 20:51

→ Sheng98 : 複雜到我有些網站的密碼都快改到自己背不起來了 07/17 20:52

→ Sheng98 : 何況加上問題驗證的 07/17 20:52

推 Aixtron : 看您怎麽看待您的資訊安全！這是每個人價值選擇，不 07/17 20:54

→ Aixtron : 是工程問題XD 07/17 20:54

→ Aixtron : 像我ptt的密碼，不安全也不想改，被偷走很好，否則 07/17 20:56

→ Aixtron : 每天都手癢掛在這XD 07/17 20:56

推 UCCUplz : 推 07/18 01:07

推 david220 : 綁完會寄簡訊通知啊 07/18 10:20

→ Killercat : ...密碼準則還需要上課才知道喔？ 07/18 11:59

→ Killercat : https://tinyurl.com/2bx3hegy 07/18 12:00

推 LV3000 : 渣打銀行密碼就強迫複雜，有很好人記不住 07/18 16:13

→ LV3000 : 很多人，上面錯字 07/18 16:14