Re: [問題] 我被以3D驗證碼通過的方式盜刷了

: 這蠻詭異的. : 對方要用3D認證盜刷應該要有以下條件，而且缺一不可： : 1. 卡片上的相關訊息 （用實體卡可能會被盜錄，也有可能是購物網站資料被駭） 正確，因為以目前的方式，只有實體卡(虛擬卡同實體卡)最容易竊取資訊，Google Pay、Apple Pay等因為包含手機資訊再進行加密，除非被植入有底層讀取權限的病毒，不然難以仿冒身份。 : 2. 持卡人的手機號碼、Email address. （線上購物網站資料被駭） : 3. 駭入持卡人的手機、Email帳號. （手機、電腦被植入木馬） 關於2、3點表示的應該是持卡人的手機已經被植入無法被偵測的病毒，或者電子信箱已經被破解登入，現行最容易被被User誤觸登入的是Google 提示(無法更改預設)以及Microsoft 無密碼登入，其餘的電子信箱MFA，如Yahoo是使用隨機碼驗證。 : 基本上，知道1也無法在需要認證密碼的網站盜用，還有知道2以及完成3. 正確，因為未經過3D驗證的消費會被信用卡組織取消簽帳，所以需要走完整個3D驗證。 : 大抵而言，購物網站洩漏資料的機率最高. 認同但不完全是商店的錯，就算商店伺服器被入侵洩漏個人以及信用卡資料，也不能避開3D驗證，所以User需要驗證他的電子信箱沒有異常登入以及手機沒有病毒。 : 但之前也有案例持卡人設定固定的認證密碼取代隨機的，以致猜中認證碼盜刷. 如花旗，但目前是用在轉帳、變更網路銀行設定上，信用卡是OTP隨機碼。 : 如果是隨機認證密碼，應該很難才是. : 所以要養成一些好的習慣： : 1. 網路購物網站、Email密碼要用高強度的. 並且開啟兩段式認證. 兩段式驗證別稱為MFA，方式有隨機碼app產生OTP、簡訊收取OTP、Google 提示、無密碼登入。 : 2. 實體商店善用感應支付或電子支付，避免卡片訊息被盜錄. : 3. 留在購物網站的電話跟Email盡量不要跟留存銀行的一樣. 尤其是可以收到認證密碼的Email. 這觀念是對的，但重要的是登入密碼別用同一個組合走遍天下網路，現在有密碼產生器可以用在不同服務上，如卡巴斯基這種老牌的防毒廠商推出的。 : 4. 手機、電腦安裝防毒軟體，不要點選不明連結、安裝不明APP. 不熟悉資安的User，在Windows系統上，請給他Users的權限就好，Administrantor權限請給家中較有資安觀念的人管理。至於Android系統，可以透過禁止非Google Play來源的安裝方式。iOS系統留給有相關經驗的前輩指導。 : 5. 網路購物，尤其是不知名網站盡量用可以隨時設定額度的虛擬信用卡. 這比較和盜刷沒關係，因為透過銀行app限制刷卡途徑、單筆額度或是帳單上限，最初的目的是讓持卡人管理信用卡的刷卡途徑，如限制玉山Ubear卡使用實體卡消費；單筆額度或帳單上限，最初是管理附卡消費額。 所以我的建議是，要用卡時才把刷卡功能開啟，但這樣很麻煩，所以最好備有一張專門刷不知名網站的信用卡，這樣可以每天管理、檢查一張卡即可，即使停卡、掛失也不會影響平常生活使用信用卡。 最後提醒各位，Debit卡雖然已經逐漸跟上信用卡的回饋，但Debit與Credit終究有差別，Debit卡一旦過卡，就是現金被扣款了，而且沒有Credit卡的90天退款保證，最長有過450天帳款才退回Debit卡。 ----- Sent from JPTT on my Asus ASUS_AI2201_F. -- 不用卡巴比特諾頓，難道你要用趨勢3A嗎？ 有些會提供儲存信用卡資料，但也就僅止於個人與信用卡資訊 1.2FA提供的驗證方式，MFA都有，就驗證方式並沒有不同。 2.不管是實體卡還是虛擬卡，都有卡號過期日驗證碼，哪裡不同？你現在過卡還用磁條嗎？ 對，通常留給黑客越少成功登入的方式最好，但是大部分的群眾不是資安人員，最好的方式是伺服器提供MFA，使用者從中多選一設為身份驗證 沒輸卡巴還會第三方機構評鑑輸比特卡巴？趨勢就是沒有連線的情況下跟垃圾一樣，這也要護航？
※ 批踢踢實業坊(ptt.cc), 來自: 36.236.188.100 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1674823906.A.844.html

推 jay121133 : 不過我之前的習慣就是有可以關就關閉刷卡功能 01/27 20:56

→ jay121133 : 結果國泰的回饋 回饋不進信用卡 變成進到KOKO 01/27 20:57

推 imkiwiwi : 卡巴斯基俄國防毒 你確定？ 01/27 20:58

→ jay121133 : 然後我去電國泰客服 客服還質問我為甚麼要關 = = 01/27 20:58

推 rstpiopxo : 所以直接幫帳戶的 東西 各位要三思啊 錢扣了 銀行端 01/27 20:58

→ rstpiopxo : 一定是愛理不理的 01/27 20:58

→ rstpiopxo : 綁 01/27 20:58

推 gottsuan : 3D機制的話 特店根本不會有卡片資料 也不是特店驗 01/27 21:04

→ gottsuan : 證密碼 交易驗證是被國際組織轉到發卡行的ACS執行 01/27 21:04

→ gottsuan : 的 所以沒有特店洩漏的問題 01/27 21:04

→ eXcFerGodSt : 1. 2FA跟MFA不一樣 01/27 21:45

→ eXcFerGodSt : 2. 實體卡跟虛擬卡不一樣，前者有磁條資料後者沒有 01/27 21:45

→ kkkk1234 : 還有一種破解MFA的方式是偷cookies 01/27 22:15

→ kkkk1234 : 2FA->兩種 MFA->兩種以上 01/27 22:16

→ eXcFerGodSt : 2FA是MFA的子集，維基跟微軟都有解釋你可以去看看， 01/27 23:12

→ eXcFerGodSt : 如果你跟他們的意見不一樣的話那你是對的 01/27 23:12

→ eXcFerGodSt : 加油站或餐廳店員把卡拿去側錄，跟你過卡用不用磁 01/27 23:14

→ eXcFerGodSt : 條沒有關係，虛擬卡不會被側錄 01/27 23:14

→ eXcFerGodSt : 另，Passwordless 是用來取代 MFA 的，甚至不是MFA 01/27 23:22

→ eXcFerGodSt : 的子集 01/27 23:22

推 vestinland : 比較好奇哪些銀行的debit卡可以關閉或減少刷卡額度 01/27 23:53

→ vestinland : 的，不然被盜刷真的麻煩 01/27 23:53

推 gottsuan : 2fa-two factor authentication; mfa-multi facto 01/27 23:58

→ gottsuan : r authentication; 2fa是mfa的一種 01/27 23:58

→ gottsuan : passwordless基本上是用其他驗證方法來取代密碼 例 01/28 00:00

→ gottsuan : 如生物特徵 圖形等 只有一個 factor; 通常會搭配d 01/28 00:00

→ gottsuan : evice token組合成2fa 01/28 00:00

推 gottsuan : 或mfa 幾個factor只是定義 一般說法驗證的因子有3 01/28 00:08

→ gottsuan : 個 你知道的(如密碼) 你擁有的(如載具) 和你個人的 01/28 00:08

→ gottsuan : (如指紋) 01/28 00:08

→ jack168168tw: 中信debit可以在app關，永豐要打客服 01/28 01:35

推 cka : 永豐打客服沒用..他堅持要我裝大咖APP才能關 01/28 02:05

→ rz759 : 大咖app的google商店評論好有趣，好多不明英文名的 01/28 02:14

→ rz759 : 帳號在洗5星好評(雖然內容不敷衍，但還是超明顯... 01/28 02:14

→ rz759 : ) 01/28 02:14

→ rz759 : 還聚集在同一天 https://i.imgur.com/TBaSDZK.jpg 01/28 02:16

→ rz759 : 大戶app下面也是一片這種，其他銀行app評論沒看到 01/28 02:21

→ rz759 : ，難怪永豐app平均分數都比較高? 01/28 02:21

→ james4141989: 之前Richart也有怪帳號洗評論，最近沒有了 01/28 06:07

推 wattswatts : https://youtu.be/CB7m8-VMKzw 01/28 10:48

→ wattswatts : 綁咕狗信箱的GPay算了吧 01/28 10:48

→ filet : 趨勢雲端完全沒輸卡巴好嗎？還活在十年前？ 01/29 14:03

推 jmt1259 : 有些銀行可以生成一次性的虛擬卡，可以用來在覺得 01/29 18:44

→ jmt1259 : 不安全的網站消費 01/29 18:44