盜刷新招 慎防一元消費簡訊
udn聯合新聞網
記者戴瑞瑤/台北報導
詐騙新手法曝光,有歹徒假冒果農臉書小編,提供假的訂購網站,引誘民眾提供信用卡卡號與一次性密碼(OTP),民眾誤以為是向果農買水果,但其實信用卡早已被歹徒綁定在第三方支付盜刷。金管會銀行局昨表示,將請銀行公會檢討,發送的OTP簡訊要讓民眾能分辨是被綁卡還是消費。也提醒民眾留意突然出現的「消費金額一元」簡訊,很可能就是歹徒正在綁卡犯案。
有歹徒假冒果農臉書小編,在臉書上提供一組假的下單網址,民眾下單購買時,釣魚網站會請民眾提供卡號,於是詐騙集團就趁機把卡號綁定在其他的電子錢包。但綁定電子錢包時,通常銀行都會傳送一組OTP密碼簡訊給民眾,於是釣魚網站也請民眾提供收到的OTP密碼,之後民眾會收到一元的刷卡簡訊,民眾誤以為是果農誤刷一元,但其實是信用卡已被歹徒綁定在電子錢包上。
由於有歹徒一連密集刷了八筆,觸到銀行的風控系統,發卡銀行通知客戶後全案才爆發。若遇類似情況該如何自保?銀行業者說,如果發現歹徒正在綁卡,可馬上申請停卡;金管會則表示,電子支付如果有任何偽冒交易,要由電子支付機構負責,但如果是第三方支付的偽冒交易,可先向第三方支付或特店的商家反應,若仍無法解決,持卡人可向發卡銀行申請爭議款,證明是被盜刷後,持卡人不需要負擔這筆盜刷款項。
銀行局副局長童政彰表示,目前銀行公會針對持卡人在任何App綁定時,要遵循兩種安全規範:第一是網路3D安全認證機制,就是被綁卡的發卡銀行,必須寄發一組OTP密碼到持卡人手機,由持卡人輸入這組密碼,以確定是由持卡人綁定。
第二種,是第三方支付或電子支付,以OTP密碼確認綁定者提供綁定的手機號碼後,再將綁定者提供的手機號碼、信用卡卡號,傳送給發卡銀行確認卡號與手機號碼跟發卡機構留存的是否一致。
童政彰指出,這個案子應該是循第一種,卡片被綁定時通常會有試刷的動作,會先刷一元,「當持卡人把OTP密碼交出去後,收到簡訊消費一元,這就是在做綁卡的動作,但很多民眾不知道」,現行規定是消費刷三千元以上會簡訊通知,此案發卡銀行有依照規定簡訊通知,但可能受害民眾沒有察覺。
童政彰也表示,目前正請銀行公會盡快研議,發卡銀行在發OTP簡訊時,要在簡訊當中提醒民眾,告知這是消費密碼,還是綁卡試刷密碼。另部分發卡銀行沒有這種設計,會協調銀行公會補起這漏洞。
此案是用第三方支付做盜刷。童政彰坦言,目前電子支付有交易限額,但第三方支付沒有,若要做交易限額,會涉及到民眾實質生活的交易需求,例如民眾線上買家電,單筆金額都很高,第三方支付只是提供付款的交易中介,無法限額,只能回歸持卡人在發卡機構的刷卡額度去控管。