看板 creditcard作者 vyvian (vyvian)標題 [新聞] 永豐34名卡友遭盜刷逾百萬 金管會:疑因O時間 Wed Feb 1 05:01:05 2023
1.媒體來源
聯合報
2.完整新聞標題
永豐34名卡友遭盜刷逾百萬 金管會:疑因OTP密碼傳電子郵件遭駭
3.完整新聞內文
在年假期間1月23日到29日,有超過30位永豐銀行信用卡卡友發現被盜刷,甚至能通過3D
驗證碼,因集中在1家銀行、且在短期內密集發生,引起金管會的注意。金管會銀行局今
表示,目前永豐銀行初步了解,是傳送給客戶的電子郵件中OTP過程被不法集團截取,目
前沒有收到其他銀行有類似情況,而客戶主張被盜刷,依照現行機制都會被列為爭議款,
並釐清後續責任歸屬。
銀行局副局長童政彰表示,目前了解,永豐銀行在1月23日到29日之間出現密集被盜刷的
情況,34位客戶在國外30家網路商店被盜刷、被盜刷達76筆,都是小額盜刷,總盜刷金額
約110萬元左右,平均盜刷金額約1萬元。
但為何集中在永豐銀行、且不法盜刷集團還能通過3D驗證碼?童政彰表示,特店與發卡行
都有導入3D驗證機制,客戶刷卡會收到驗證碼,經過永豐銀行初步分析,推測是客戶被盜
刷時,客戶的電子郵件中收OTP過程中有被被不法集團截取,但是實際的盜刷手法,銀行
還在查證中。
童政彰指出,每家銀行OTP採行的方式不同,大部分銀行傳送OTP是到手機,但也有部分銀
行是同步傳送到手機與email。因為是海外的網路商店,很難辨別是被盜刷還是客戶自己
意願購買,因此目前永豐銀行採取的機制,是先暫停把OTP發送到email。
其他銀行是否有類似情況發生?童政彰表示,各銀行都設有監控機制,這次永豐的案件是
在短期間密集發聲,永豐銀在接到客戶通報後,立即有啟動相關監視機制,目前沒有收到
其他銀行有通報在短期內被密集盜刷,後續會請聯卡中心密切注意。
4.心得
好奇永豐的email是怎麼被駭的。於是我查了一下之前的電子帳單。
發現最基本的加密都沒做,當然也沒有用憑證簽章。
https://imgur.com/ObU78S8
這樣的資安真的不行
數位發展部的通知信,內容沒有機敏資料都有做到加密與簽章了。
https://imgur.com/e1inR1P
5.完整新聞連結 (或短網址)
https://udn.com/news/story/7239/6940025
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.76.128.77 (臺灣)
※ 作者: vyvian 2023-02-01 05:01:05
※ 文章代碼(AID): #1ZsO6MXo (creditcard)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1675198870.A.872.html
※ 編輯: vyvian (42.76.128.77 臺灣), 02/01/2023 05:01:38
推 barkids: 高調然後記者幫忙追,這發展是好的,只是金管會...要真的會做事啊,永豐要不要全面檢討並強化資安啊1F 02/01 06:05
→ cityport: 看了一下..好多家都沒有耶..邦邦發卡量更大的說
再往前翻幾年..只有花旗全部加密..前3大都沒有
不過大部分時間..永豐的繳款入帳通知都有加密
不認為是email加密不加密的關係..盜刷是針對永豐
盜刷者信用卡基本資料都有..而且還知道都是永豐的卡3F 02/01 06:27
→ a7294: 台新、國泰也有email方式8F 02/01 06:49
→ peter98: 我覺得不是email的問題
*不單只是email的問題10F 02/01 07:20
→ bitlife: 理論上通報被盜刷集中某一家銀行,最可能的原因不外乎2種,1:這些持卡人其實是同一集團的人頭 2:銀行的發送OTP流程中有環節出了問題. 通常3D驗證碼被攔截,有種比較容易發生的可能是中了木馬,但這不太容易集中在同一銀行
另一種相對微小的可能原因就大條了,銀行的相關資訊系統(網站,網銀,行動銀app,信用卡app)本身就帶木馬,不過這個可能性很小,因為駭客投資大,目前看來獲利小13F 02/01 07:38
→ xkp74580: 如果直接駭Mail或OTP伺服器 再怎麼加密都沒用21F 02/01 07:44
→ bitlife: 不太合理. 像X大的客戶被盜買港股,那個至少獲利大多了
直接駭Mail或OTP伺服器算是比較大工程,通常要就要幹大票比較合理,因為想要細水長流積少成多,很快就會變成通報人數大增串聯發聲上新聞. 我比較傾向是環節中某處的某個內部小人物以為可以細水長流偷偷賺,比較能解釋金額不大,通報人數目前也沒有爆炸. 從專業集團也是要考慮時間及人力成本去思考,這人數和金額不是很高. 專業駭客和電話詐騙型態不同,後者電話由電腦自動撥,工作人員多數是不需技能免洗低成本,可以累積小錢積少成多,這種電腦駭客,不太可能用長期賺小錢的方式. 之前有次ATM吐鈔,那個就一次就要撈大的,真人還要坐飛機人來,領了趕快跑. 越容易被察覺,就要一次幹大票金額對駭客集團才划算22F 02/01 07:45
噓 p1587: 都推給客戶就好啦 這種情況應該檢討銀行發送過程是否有瑕疵吧 不然34個客人信箱都有問題就你永豐最倒楣被盜刷?36F 02/01 07:59
→ bitlife: 我建議金管會要求銀行提供由手機行動銀行app或信用卡app的即時簽核消費功能,由消費者直接在手機上確認特約商店及金額,至少讓消費者有可選的選項,改用這方式取代OTP. 經過先前銀行端的行動app盜轉通報事件,現在的銀行手機app除錯過後比較OK,安全性來說,我認為是比OTP高多了,改用這種方式對消費者比OTP來說,安全性高很多
我在 #1ZrXOCq2 這篇有提,不過我是開工日才來逛卡板才讀到,時效比較晚,看到的人應該相對較少,所以本篇重提一次,希望相關銀行資訊從業人員或記者看到反應一下39F 02/01 08:01
→ bitlife: 金管會也不用強制銀行,只要規定型化契約中只能規定52F 02/01 08:15
→ bemaz: 銀行都推給持卡者,但被盜刷已經知道已經知道“卡號規則”還能知道被盜的email去裡面郵件裡面抓密碼,如果不是一開始源頭就出問題,如何透過一大堆卡片對應聯絡郵件信箱還能猜出信箱密碼 去裡面挖opt密碼?倒回來如果持卡者郵件出問題,為何而且受害都是單一銀行,持卡者可能同時其他銀行卡片一樣有發opt郵件機制,為何同一時間只有同一家銀行卡出事,銀行端比較有可能有漏洞沒發覺吧?53F 02/01 08:16
→ bitlife: 由經嚴密程序綁定專用有憑證簽核之交易才不可否認,讓不可否認回歸有憑證介入才能主張,這樣就夠了.證券和網路ATM N年前就這樣做了61F 02/01 08:16
→ bitlife: 在X大客戶被盜買港股事件前,沒有聽過客戶否認下單交易,而當大量客戶短時間內都否認交易,X大一看也知道這個大包不在客戶,就馬上轉為X竹和X大互吵一陣,很快66F 02/01 08:19
推 brokeback: 這些客戶的email剛好都用哪家的呢?怎麼這麼剛好都是永豐卡友?69F 02/01 08:21
→ bitlife: 就推測出原因,然後就有了全台灣大量證券客戶被要求更改密碼的事件71F 02/01 08:21
推 willieliu: 看到OTP就要推Amazon這種不用OTP的商家 保障消費者76F 02/01 08:25
→ bitlife: 感覺ptt真的有AI XD,跟推的內容我個人感覺有AI的味道... Orz
我所謂AI有分機器AI和真人(虛擬)AI,至於是哪種還真不容易判斷,並不是機器AI真的能過圖靈測試,而是有可能人類降級成類機器的反應 XD
以上題外話,希望真的有相關真人看到反應一下意見77F 02/01 08:25
推 diqoedin: 永豐發信被攔截的感覺比較高 客戶會剛好用同家mail83F 02/01 08:32
→ ackes: 要看是不是下面irent那個問題吧 之前聯邦也一波
怕是被慢慢收割85F 02/01 08:40
→ yiersan: 若是銀行問題 怎麼才34位87F 02/01 08:43
推 geniusw: 我國泰 hsbc 台新星展有 中信土銀沒88F 02/01 08:43
→ jimmy0525: 我覺得不如找有相關的金融立委去監督可能還比較有用 就像之前修改信用卡定型化契約意思一樣 比較會有實質的動作89F 02/01 08:56
推 ckkaze: 給高調推,銀行內部要不要查查,發MAIL的系統有沒93F 02/01 09:09
→ Athanasius: 加密的有:玉山/台新 未加密的有:富邦/兆豐94F 02/01 09:09
→ ckkaze: 有異常人員連入,發送LOG有沒有外洩風險..95F 02/01 09:10
→ Athanasius: 如果真的是原po所說的,信件傳送過程未加密
這篇應該高調,另外其他未加密銀行的卡友也注意一下96F 02/01 09:11
→ peterkan: 電腦被駭,可是怎麼知道卡號、安全碼?98F 02/01 09:12
推 mike0608: 我看了一下 很多家都沒有加密101F 02/01 09:23
推 Athanasius: 抱歉,我是看電子帳單的部分,OTP信件我都砍了
之後會確認106F 02/01 09:34
推 StupidArt: 我沒同步email,但還是被盜刷111F 02/01 09:51
→ bitlife: 我前面說集中一家有兩種可能,正常邏輯上來說,全是人頭的機會也是很低,原因是一般消費者有意謊報(自刷假裝成被盜),通常是個人行為,集體的人頭基本上腦袋正常不至於去自己曝光自家的集體盜刷行為. 不過以上是112F 02/01 09:53
推 QQ5566: 講Ai 直接回文呀116F 02/01 09:56
→ bitlife: 正常人腦,當然是無法不能排除一群人集體智商低下,只是機率很低
提AI的好像只有我,我不是針對在我發該AI推之後的推文,也說過是題外話,可以忽略了117F 02/01 09:56
→ ornv: 才34而已嗎121F 02/01 10:26
→ gn00273680: 其實不管是email或簡訊OTP都有被攔截風險,但這風險122F 02/01 10:36
→ mnhyuiop: 有OTP機制錢還能被拿走,未來就直接轉走我戶頭的錢123F 02/01 10:37
→ gn00273680: 銀行接受,所以才有監管機制!改成用產生認證碼方式當然也可以~問題是一家銀行就一個嗎?那也太麻煩了124F 02/01 10:38
→ bitlife: 應該是每發卡機構一個,但是發卡機管金管會管不太到,比較可行是幾大家去聯合發卡機構,最後形成像台灣行動支付那樣,一個聯合推出的app可以同時使用多家銀行126F 02/01 10:40
→ Ken52039: 傳email超北七,每次都想說有簡訊就好,結果還要去刪mail,煩死129F 02/01 10:41
→ bitlife: 傳email是簡訊有收訊死角,人在國外或行動通訊死角還能靠email網路消費刷卡
行動通訊死角當然要靠wifi收訊,補充解釋一下131F 02/01 10:42
→ mnhyuiop: 當你在國外旅行時,就感謝有傳EMAIL的銀行有多好135F 02/01 10:44
推 sebu: 發簡訊有簡訊費的成本,發mail沒有XD136F 02/01 10:44
推 PopeVic: 竟然有銀行未加密寄送驗證碼的郵件,真的是驚呆了…138F 02/01 10:45
→ bitlife: 這倒不一定,app可以根據卡是哪家銀行,直接與該銀行交換資訊,而不是只靠一個單一主資料中心. 只剩app本身是否有安全漏洞的問題,不過這問題本質和Windows,android,iOS有漏洞類似,就是少數寡占軟體本來就要特別重視資安140F 02/01 10:45
→ bitlife: 我有回覆,是有可能,但是要符合不少條件.主要是email146F 02/01 10:51
推 jillmax: 不知道可否OTP動態密碼+自設固定密碼xxxxxxoooo這樣增加安全性147F 02/01 10:52
→ bitlife: 收了木馬後中毒,然後其他家銀行也有受害者.另外未用irent者也能找出合理解釋(以上針對被OTP盜刷)
事實上資安已經像實體戰爭武器操作者一樣技術要求越來越高,統一app其實某種程度不是壞事,這表示所有銀行聯合關注分析檢視一個app的安全性,而不是各家力量分散各搞各的. 駭客集團的武力值基本上超過銀行資訊中心的一般非資安工程師,像OS或瀏覽器漏洞,谷歌微軟149F 02/01 10:52
→ gn00273680: 可以OTP+自設密碼~那個密碼不能跟其他的重複...156F 02/01 10:58
→ bitlife: 蘋果這些大咖都不能完全避免,小家銀行又外包,成本高滯礙難行不提,戰鬥力先輸一半
如果有銀行堅持要自行開發client端,也是可以考慮入網站方案,使用者只要先下載統一入口app,遇到該家銀行卡就會提示先下載特定app,直接幫客戶跳store下載頁
更正上面漏字及錯誤,應該是入口app方案157F 02/01 10:58
→ pippen2002: 筆記ing~~~
永豐不是小銀行耶~~超大!!164F 02/01 11:12
→ bitlife: 我的小銀行又外包沒有針對任何一家,我的意思是台灣的銀行都是小銀行... XD
光看人數就是小銀行,而你的駭客敵人有世界交流協會要當他合理的對手至少也要發卡組織,G家,M家,A家才合理,這樣說其實不過分166F 02/01 11:28
推 mooto: 重新定義小額171F 02/01 11:57
→ marlonlai: 如果金管會確定是email問題的話 那大概就是客戶信箱cookie被盜了 只能說不要亂點釣魚網站或下載來路不明的軟體
不過會被盜特定一家的情況 也代表永豐有資料外洩了172F 02/01 12:00
推 doubtess: 其實有一些app或手機也有風險...我之前用悠xx的app綁定交通卡,想說可以即時餘額多少,結果某天
我的帳號就被登出...登不進去自己的帳號,app還
會連到附近陌生人的聯名信用卡,上面赤裸的展現陌生人的卡號==,我覺得超噁。後來和app的客服跟工程師溝通更新app後才回歸正常...176F 02/01 12:09
推 tonyian: 永豐的資訊系統就是小銀行阿,真以為銀行只看交易額比大小的嗎?183F 02/01 13:13
推 ysy2003: 扯欸 這真的是金融機構?185F 02/01 14:05
→ bst788: 人頭個鬼,我就是這次春節被盜刷的1/34啊==186F 02/01 17:38
推 IOUIOUIOU: 手上的永豐只有很久沒用的保倍卡,之前就轉到pi卡扣繳了,這次趁機直接打客服剪卡,連慰留都懶XD187F 02/01 18:28
→ dantes1013: 新聞裡,銀行端的說法,是"客戶"的信箱被駭
持續否認銀行端的責任
這個說法根本不能解釋"集中一家"的情況
猜銀行端被駭的可能性比較高189F 02/01 18:55
推 sooler: 好巧喔就剛好都永豐客戶被駭193F 02/02 01:24
推 zoe11288338: 跟irent應該無關,他信用卡資訊都是加密保護的,聲明有說到195F 02/02 14:18
推 meowlike: 明碼傳輸... 這太扯了 跟裸奔一樣197F 02/02 19:52
--