楼主:
isaacc (小元宅爸)
2022-07-02 20:57:13※ 引述《Hseuler (蓝色貍猫)》之铭言:
: 我是帮苦主与几位受害者调查与做数位鉴识此件事情的资安顾问.苦主被盗刷第一时间就
: 报警并联络我.在这次的事件中我用我的专业谈谈,并把一些版友友兴趣的资讯上色强调:
谢谢分享。
不过本人也想分享些不太一样的看法
虽然我完全没参与案情,看在大家都是同行的份上交流一下,莫怪
: 1.苦主被盗刷的卡是汇丰银行.
: 诈骗集团精心伪造某家第三方支付的刷卡页面与3D验证页面,
: 并不是苦主傻傻把OTP直接交给诈骗集团.大家要小心假冒的第三方支付与3D验证页面!!
我想这就是许多人不太同意的地方
其实受害者真的蛮可怜的,但如果要检讨整件事情的来龙去脉的话
个人建议这边反而要讲清楚些
主要不是在检讨受害者
而是要来研究犯罪集团有多狠,多么会利用人心,然后大家多容易被骗
基本上,在FB社群媒体跟不认识的人买东西,这就有很大的风险。
接着,大家一直无法了解,我们跟团或是跟群买东西,钱要缴给谁不是很关键吗?
为何会被假冒小编的有心人欺骗去假网站,这边是很让人觉得不可思议的地方
其实很希望看到更详细的过程,才能让大家趋吉避凶,以后不要再被骗
至于3D验证,说真的这机制本来就是用来保护银行,而不是保护消费者的
因为只有消费者知道3D验证的OTP密码
密密麻麻的合约条款也写了消费者有责任要保护与善用OTP密码
所以只要是在OTP这边出了问题,那就是消费者自己要负责任,银行无责
大家都是同行,您好像也有这么提醒苦主...
我自己是能不用3D就不用,但现在很难避免,只能希望FIDO赶快好好被利用...
: 最惨的是因为是绑卡,一次OTP,后面就不需要OTP了,连续盗刷累积十九万
: 2.盗刷的当下,汇丰银行告知是7-11线上购物,但实际上并不是(差点误导我调查方向).
: 我仔细调查后确认是被诈骗集团绑上小七的OPEN钱包.
说真的,这不都是统一集团的东西吗?
我是觉得一般人分不清楚7-11线上购物跟OP钱包有什么差别吧?
银行好像也没有要误导您吧...
: 3.苦主被绑卡的时候,验证短信只显示1元的刷卡OTP,并没有像apple pay或samsung pay显
: 示是"绑卡".如金管会近日指示,必须讲清楚到底是"绑卡"的temporary hold,还是真的1元
: 的消费.光这好步做好就可以阻止不少诈骗了.实际上,这些受害者顶多同意这一笔1元消
: 费,但可没有同意后面那十几万的盗刷.银行不应让消费者承担那些十几万元使用者没有授
: 权的盗刷.
其实这段话是我想回文的原因,因为个人非常不同意
您的论述是消费者"只同意这一元消费"
但其实消费者交出OTP之后交出得更多,而不单单只是这笔交易
因为你我都知道,这个一元交易不是真正的交易,目的是要确认某些事情
比如说确认绑卡,确认身分,或是确认什么的
而银行在发出这个OTP资讯,也会说明这个刷一元的举动不是真的交易
而整件事情的关键就在于消费者自投罗网,她去了坏人做的假网站
因此消费者自己启动了第三人攻击Man in the middle的行为
消费者以为她是在跟银行联络,
1.消费者==>银行,消费者提供个资(信用卡电话等)给银行
2.银行==>消费者,消费者的手机收到银行发出的OTP短信
3.消费者==>银行,消费者回报OTP短信,完成交易
但其实状况应该是
1.消费者==>假网站,消费者提供个资(信用卡电话等)给坏人
2.坏人去金融机构注册,目前看起来是去OP钱包做个绑卡的动作,个资还是真的
3.受害人的手机收到OP钱包发的OTP资讯,以为是银行发的,因此回报给假网站/坏人
4.坏人拿着受害者提供的OTP资讯,完成OP钱包的注册工作,绑卡成功。
另外一种可能是,坏人做的不是去OP钱包注册
而根本是去修改金融机构的手机号码
过程类似,就不赘述。
因此假网站很可怕,看不清楚原始网址的短网址也很可怕,我个人很怕去点...
言归正传,其实消费者就是一开始就被骗了提供个资
接着再被骗第二次而提供了OTP短信,让坏人可以进行某些金融操作
这一切都是因为受害者被坏人骗了
个人觉得不能解释成"受害者只同意一元交易而没同意其他"...
至于十几万的损失
外商银行额度给得高,查询电话也比较少,不少消费者很喜欢免受骚扰的感觉。
苦主的额度可能是二十多万,因此被盗刷了十九万?
不太确定HSBC的风控如何进行,也许银行都认为是正常交易
这边就看看后续有没有其他报导了...
: 4.7-11官方几提供任何有用的资讯给苦主与其他受害者,例如到底是在哪家门市盗刷? 盗
: 刷什么东西? 虽然盗刷当下立刻报警,案件转至北市中山分局侦查佐那里后,也很积极处
: 理,但7-11拖了一个月,有几家门市的监视录影器已经被洗掉了.
: 虽然我不是受害者,但其实让我非常不高兴,我协助受害者第一时间通知7-11 OPEN钱包客
: 服.事发隔天后也调出了门市,不告诉我们就算了,那么为什么警方发公文了,却拖这么久,
: 拖到影像被洗掉?
可能要看司法调查的结果了,才知道发生了什么
: 5.在7-11官方不愿意提供有用资料的同时,倒是我当时靠另外一位受害者得到了一些关键
: 资讯,他用国泰世华银行,反而是国泰世华银行主动告知是在那些7-11门市刷卡.
: 6.为什么诈骗集团专攻小七的open钱包而不是其他第三方支付/电子支付?吾人认为理由
: 有三.
: 其一,OPEN钱包的异常侦测机制没在这些受害者中没发挥作用.
: 其二,OPEN钱包在绑一些信用卡时,不会像samsung pay, apple pay的绑卡验证短信上有明确
: 表示是绑卡,消费者会以为是一元消费短信或是刷卡测试.
: 其三,小七可以买到大量的gash点数洗钱,有兴趣的人可以看看于余丽贞检察长的投书.
: 实际上,我们资安团队帮这些受害者们做了不少侦查与数位鉴识工作,掌握了诈骗集团的重
: 要数位迹证,已经交给警方,然敌暗我明,故细节不便公开详谈.然而有几点值得改进的是:
: a)验证短信必须讲清楚是绑卡.这点前几日金管会已经发布因应措施.这点蛮感谢立委钟佳
: 滨委员,因为我本身是技术底出身,法制的部分还是要让专业的来,我们当时通知了不少立
: 委,只有钟立委回应我们而且非常积极处理.
: b)仔细追踪后,我们发现这个诈骗集团已经嚣张多时.如此严重的事情,7-11集团理应要找资
: 安团队调查,并加强异常侦查系统.但后来同类型的诈骗手法持续发生于小七的OPEN钱包,
: 令人遗憾.
: c)银行与OPEN钱包的“交易异常侦测系统”要持续强化
OP钱包的细节不太了解,这段无法评论。
不过我对OP钱包怨念很深啦,一堆点数很难用完
然后常常还被A点数,过年时换不到蛋卷,上周换不到辣炒饭
最恶劣的是APP的申诉机制根本形同虚设
申诉个十次才回一次吧,实在是让人无奈
也许这个案子可以让大家看到些进步
预祝苦主团队申诉顺遂!
: 传统上的异常交易侦测技术可粗略分为两类:
: 一、规则式侦测技术(rule-based method):建立多比盗刷/异常行为规则,即时侦测交易
: /刷卡异常。一些银行是采用此传统的老技术.
: 二、依靠巨量数据,人工智能与机器学习(big data, AI and machine learning methods)
: 建立异常侦测模型:利用过去刷卡与交易纪录的巨量数据,使用时间序列、聚类、深度学
: 习等机器学习与AI技术,训练出一套侦测盗刷或异常交易的模型,比上述传统的规则式异
: 常侦测技术来的更为精确有效。使用单位像是玉山银行(2019年后)、Apple Pay, Line
: Pay, Google Pay。
: 这是非常重要的,玉山金控科技长张智星受访时强调:“这种规则式系统,每月需要人
: 工调整一次规则和参数,不仅难以捕捉快速变化的盗冒行为,还会产出大量异常名单,得
: 耗费大量人力一一打电话确认。为改善这个问题,玉山发起一项AI专案,要用刷卡历史资
: 料,训练一套信用卡盗刷侦测模型,来判断盗刷风险。他们想借此减轻银行人力负荷、提
: 高辨识准确度。...这套模型在2020年替玉山阻挡了上亿元的损失。”
: 如果是依靠技术一,其实在open钱包出事后很容易建立一个异常侦测规则来阻止诈骗.如果
: 是依靠技术二,模型训练的好,诈骗集团连绑卡都绑不上.
: 总言之:
: (1)验证OTP短信必须讲清楚是绑卡
: (2)异常侦测系统抓包到异常行为
: 这些做好就可以有效阻止这次的诈骗.何况,7-11的open钱包本身是以小额支付为主,他们
: 的异常侦测系统竟然没阻止短短几小时内盗刷十几万,实在是不可思议.
: (做个比较:一些ATM上限一天上线三万)
个人很讨厌这个上限
这就是因为坏人太多,太多人被骗,坏人又南抓,结果当局只好做出这种规定
没错你们苦主是不会再被骗钜款了,顶多被骗三万
但需要调动资金的合法使用者,就非常非常麻烦了...
: 在调查过程中,就不得不提国泰世华银行的机警:其中一位受害者是国泰世华银行的卡被盗
: 刷.几天后,国泰世华银行便宣布OPEN钱包绑订本行卡于7-11门市交易,单笔限额最高
: 4,999元.虽然是一个很简单的规则式条件,但是是有效的.如图:
: https://i.imgur.com/g3wfzSt.png
说真的,我昨天刚刚用国泰世华的CUBE iCash卡在小七缴税五千多块
当场直接过卡自动加值五千,
但马上有收到风管的手机关心,确认这笔消费的性质
一来很感谢银行风险管理做得很彻底,
再来也感谢没有限制只能交4999否则我就被卡住了...
这其实跟上面三万的例子一样
阻止了苦主损失五千块以上的可能
但是也阻挠了合法使用者的权益,阻碍了金融科技的发展。。。
: 最后我希望大家将心比心,毕竟就如我之前提过,这种骗局可持续进化,让你去大网站消费
: 也被盗刷.一种手法是配合网页渗透与攻击手法,将正规网站的信用卡支付页面狸猫换太
: 子,成功绑卡后,便可连续(不需要OTP验证)盗刷消费者的信用卡.
: 下一篇文章,我会谈谈此案更核心的主题:
: 如何有效地验证你是你?你如何知道来验证你身分的人真的有效的验证者?也就是身分验
: 证与策略、FIDO联盟识别标准、信赖等级(level of assurance)、密码学身分识别、中间
: 人攻击(man-in-the-middle attack)等等核心的问题.
: 实际上,不少专家前辈都曾提及,法规与欧美国家相比,有不少待改善的部分.
: 可惜说者谆谆,听者藐藐,希望能藉这次苦主的案子加以推动相关法规继续前进.
这回的案子,改善法规就有用吗?
个人觉得...
好吧,我们这几年有资安管理法跟配套子法了,资安就更进步了对吧?
我想关键还是在人,awareness。
同志们仍须努力,我们且前行。
作者:
tbrs (小小光芒迷)
2022-07-02 21:04:00我真的看了这消息后提醒我 用科技要小心 万一有时失察被骗盗刷怎么办 真的只能自己吞钱吗 我真的会因此破产 虽然我一张额度只有三万块
作者:
temu2015 (TEMU2015)
2022-07-02 21:04:00icash自动加值超过3000不是要出签单签名吗OP钱包绑定被说成711线上购物我觉得应该是看授权名称推论的吧
作者:
tbrs (小小光芒迷)
2022-07-02 21:06:00而且我的思想是 这次能用otp绑一圆骗 难保下次更进化 这次就算我不上当 下次进化到上当怎么办
作者: TCdogmeat (台中狗肉) 2022-07-02 21:07:00
推这篇 使用者自己也要担心怕上当 就不要用 只用现金也能活得很好如果银行马上就把你这笔交易列争议款 难保之后会不会有共谋的行为吧
作者:
tbrs (小小光芒迷)
2022-07-02 21:10:00我是穷到只有负债啦 不怕统一讨货款平常总图些油头小利 不到千分之五的点数回馈 因小失大 赔了在外的名誉
从苦主案例我们可以学习到如何在不小心被诈骗时,最大程度减少自己损失,但在不能检讨受害者的氛围就自己去领悟
作者:
tbrs (小小光芒迷)
2022-07-02 21:14:00反正统一要讨也讨不到 但名誉受损被欠债关监狱真的很起毛坏因为没人想检讨坏人违法者呀 根本抓不到在这个世道中 过最爽的总是违法者 比如违反杀人法规 抢劫法规 等等背了一条欠钱不还这多不名誉呀
作者: senso ( ) 2022-07-02 21:21:00
越安全越不方便,越方便越不安全就是因为三宝太多,太多人摔死,结果当局只好强制戴安全帽没错头不会摔烂了,顶多手脚摔断
作者:
tonyian (巨水瓶)
2022-07-02 21:21:00你其中说到的为了少数人的误用,导致正常使用者成本赔上去,这是我一开始最痛恨且生气的事情,没错
作者: TCdogmeat (台中狗肉) 2022-07-02 21:25:00
正因为抓不到 才只能要求自己
711的OP钱包交易的名称之前记得是"统一超商APP购物"现在名称是"统一超商OP钱包"
作者: labo 2022-07-02 21:35:00
同意这篇论点 限额的部分会让有真正需求的合法使用者寸步难行
你有没有想过如果今天不是有人假冒小编来拐被害者,而是诈骗集团已经有办法骇客到你之前有使用过的网站去窜改网页内容,而在你要输入结帐资讯时的连结被调换成假的,你当下又没察觉到,那这时候OTP不就骗走了?然后马上就被绑定在认证不完善的第三方支付去狂刷大笔金额,这样到底是谁比较倒霉?店家倒霉还是消费者倒霉还是银行倒霉?也许不会有这么夸张的事,但是资安本来就是有成本在,大家愿意付出多少去维护使用上的安全?我觉得这是科技犯案,应要有手段制度来避免之后可能会演变成类似解分期帐这种老掉牙的诈骗手法
有苦主的案例 我反而希望信用卡绑定支付时 让我决定授权的额度 不然一般超商消费很难破万 平常顶多1~200块~
作者:
tbrs (小小光芒迷)
2022-07-02 21:40:00也许大的骗法就是我当心的
作者: labo 2022-07-02 21:40:00
在隐私跟安全需要有所取舍
作者:
tbrs (小小光芒迷)
2022-07-02 21:41:00两百就很多了
作者: labo 2022-07-02 21:41:00
电子支付有实名认证且需要联征,但也因此交出更多的资料直接限制大额消费只会造成有需求的使用者不便
作者:
tbrs (小小光芒迷)
2022-07-02 21:43:00被诈骗盗刷还无要无紧的商家 我会很担心 债都我背
作者: labo 2022-07-02 21:43:00
建立更有效的风控机制才能有更好的预防效果
要自己决定授权的额度绑VISA金融卡就好了,户头就放你要消费的钱
作者: yuys (向阳) 2022-07-02 21:44:00
好奇想问 现在还有刷卡消费要试刷1元?
作者:
tbrs (小小光芒迷)
2022-07-02 21:44:00难道是有大额需求的人更容易被耍更多钱 因为它们交易额度大
作者:
vyvian (vyvian)
2022-07-02 21:45:00也不只有OPEN钱包有这个问题 台新pay,Fami Pay, Line Pay这些都一样
作者:
tbrs (小小光芒迷)
2022-07-02 21:45:00我是赖银行只能办金融快点卡 所以才不得不用金融卡 不然实体店面我更爱用信用卡延后付款
作者: labo 2022-07-02 21:45:00
乐购虾皮也是第三方支付
作者:
LV3000 (ㄟ漏3000)
2022-07-02 21:45:00法规一定有漏洞,一定会被利用,不是自己懂就觉得每个人都要懂,也许你不会在网上盗刷被骗,但不代表你不会被骗,我没被骗过,但我我敢说以后不会被骗,你检讨被害人这种态度,我认为也是台湾诈骗泛滥的原因之一
作者:
tbrs (小小光芒迷)
2022-07-02 21:46:00反正银行户头一堆负债也没差
作者:
LV3000 (ㄟ漏3000)
2022-07-02 21:46:00抱歉上面错字,是:我不敢说我以后不会被骗
作者:
tbrs (小小光芒迷)
2022-07-02 21:47:00两三万的信用额度对我来说就很好用我自己赖银行卡的交易额度设三百圆单次
作者: labo 2022-07-02 21:47:00
现行有更安全的电子支付能够使用,但使用者不一定会想要提供实名认证需要的资讯
作者:
tbrs (小小光芒迷)
2022-07-02 21:48:00单日两千圆爱金配用自己的钱 还田一堆资料 上次办了快疯掉 又多出一组密码 既然不能刷爱金联名卡我就懒得用了
作者: labo 2022-07-02 21:50:00
电子支付(icash pay)需要的个资是法规要求其他电子支付业者也需要同样的个资
大额有需要的可以自行调整 像电信代收可以开关/设额度信用卡银行之后也要能提供卡片绑定的查询/取消等功能
作者: labo 2022-07-02 21:52:00
目前绑定第三方支付并不容易做到B大的想法,业者太多
作者:
tbrs (小小光芒迷)
2022-07-02 21:52:00对标全家哪个 大家名字都取太复杂了全盈配 全家钱包 赖佩钱包 法米配 法米储值等等
作者: labo 2022-07-02 21:53:00
只有业者直接合作的银行才有办法
作者: labo 2022-07-02 21:54:00
还会牵涉到其他国外的第三方支付业者
不然一堆五花八门的支付 为了优惠而绑 久了没用就忘了
作者:
tbrs (小小光芒迷)
2022-07-02 21:55:00全家钱包好像是用自己的前 上次用国泰卡存了一百进去
作者: labo 2022-07-02 21:55:00
同意B大的想法也是未来可以发展的方向但是可能会发展成限定发卡行的状况
作者:
now99 (陈在天)
2022-07-02 22:04:00信用卡用卡号能授权机制不改,用FIDO也一样啦银行对外内交易自己弄一套信用授权机制才能解决
不是很理解maybe2004提到的case 所以你是想表达平常使用的网站被骇了 然后在网站刷卡时的OTP就会被骗去绑卡?但我不是很懂这个过程 OTP上附带的金额跟网页上的不会一样吧?
作者:
pushwow (能舒鼻)
2022-07-02 22:40:00受害者真的很可怜被骗钱,但是因为这样对过程描述少、结论是open的锅这样不就是在带风向?关键真的在于消费者自投罗网!
作者:
tbrs (小小光芒迷)
2022-07-02 22:49:00锅看得出来是大家的锅我看他描述的风向是这样诈骗者乱骗 消费者对人信任度太高没有把人们当坏人看待以致于铸成大错 银行把控失误 商家爽赚钱
作者:
pushwow (能舒鼻)
2022-07-02 22:53:00maybe2004 老掉牙的诈骗还是有人被骗,请问如何解?XD
作者:
tbrs (小小光芒迷)
2022-07-02 22:53:00结论 此铁锅由诈骗者 消费者 金融业者 商家 一起扛结论 得利者 诈骗盗刷者跟游戏商家 损失者 很可能会是消费者 金融业者则平平
作者:
medama ( )
2022-07-02 23:06:00一般人怎么可能分不清楚7-11线上购物跟OP钱包
作者: prowhitej 2022-07-02 23:21:00
那个页面确实只有写一元,也确实没有其他资讯,“一般人”应该不会知道“这是绑卡”甚至不知道“绑卡的后果”,法令在欧美确实有用,至于台湾请参考各立委自行想像。然后那叫中间人攻击,认同中间人攻击还有很多空间可利用,但攻击跟防守方本来就不对等,消极就是破洞补洞
说到底,能用购物平台APP或他们自家软件买东西就用吧APP还有Google&Apple审核上架这道墙很难攻破也就免除了假网页的风险不然就算不是在FB买东西假设在虾皮好惹下单后卖家跟你说这商品要下架同样的商品刚上架价格是原来的八折然后给个shopeesshop.tw之类的网址要买家退单重订,点进去就中奖了,几乎一模一样的页面
作者:
kkkk1234 (k_k_k_k)
2022-07-02 23:36:00电子支付比第三方支付验证更严谨 结果额度也一样更严谨
作者:
LY87322 (APPLEMILK)
2022-07-03 00:14:003D验证是商店保护自己上的,不是银行保护自己要求的。 同行?!
作者:
gottsuan (ごっつぁんです)
2022-07-03 00:33:00推楼上 真的是同行吗? 3D是将特店责任移转到持卡人不是银行传统到期日方式刷卡 责任归属到特店上
作者:
bullce (布尔切)
2022-07-03 08:11:00一次OTP就能认证是持卡人 应强制第三方支付做身分认证
作者:
DFIGHT (低調好人)
2022-07-03 08:32:00边缘人缴税......哭阿你都有客服小姐姊 为啥我没有
诈骗刑罚太轻,相关人员、店家也没诱因积极处理,是否破案,对公务员、店家、银行都没差,反正都消费者买单而且诈骗一次刷越多钱,点数商家、统一、店家赚越多被骗人数、金额,对他们都只是数字而已,放到口袋的才是真的。点数可以换现金,都没人要求那边也要实名认证加洗钱防制
作者:
sggs (请到consumer爬文)
2022-07-03 09:22:00消费者自降额度才比较能应付之后更进化的诈骗
诈欺跟抢夺刑度差不多,诈欺再加重,就守在ATM前用抢的比较快,还不用动脑
作者: TCdogmeat (台中狗肉) 2022-07-03 09:52:00
点数实名制不错 这招感觉比OTP强化有用多了再加未满十八岁需要法定代理人同意才能买点数
作者:
dkfs789 (我有妹妹)
2022-07-03 11:09:00实名制最容易个资外泄惹
会弄到个资外泄那就是没那能力,就不要做那个事找来的都是猴子当然只会什么都不会就个资外泄
作者:
nalthax (书虫一枚)
2022-07-03 12:07:00看了只觉得7-11系列的电子消费机制很差,最好不要用。去博客来买个厂商出货的东西,隔天就接到诈骗电话
作者: sirius5190 (投降输一半) 2022-07-03 12:08:00
资安不改善,大家退回去用现金才是对金融科技的打击吧....
金融保险洗钱防制要求那么硬,结果点数卡这边完全摆烂看不懂
作者:
mike0608 (Mike Wu)
2022-07-03 14:41:003D验证本来就是保护银行 不是保护消费者 这个好久以前板上就讨论过了 在没有3D验证的时代 只要盗刷就是列争议款剩下的银行要自己去查 有3D验证之后条款几乎都把责任转嫁消费者 银行双手一摆不想处理 除非你跟他打诉讼 要不然就是要消费者吞
作者:
gottsuan (ごっつぁんです)
2022-07-03 16:19:003D是将盗刷的责任由特店移转到持卡人以前的时代 银行是要特店吞盗刷特店的损失持卡人看不到不表示就没有交易要不要3D是特店决定版上一堆我没损失就好 别人损失无所谓的自私的人不懂机制的假同行
作者: mio8390 (台北的日子) 2022-07-04 15:50:00
推FIDO