首先感谢当事人和处理的资安专家分享细节，
让大家可以在学到经验，或许可以避免发生类似惨剧。

金管会从来都没有积极在做事~

你还是没搞懂 这次事件是钓鱼网页 虽然事主警觉性不足 但也不是蠢到直接给出OTP 倒是很好奇假的3D认证网页是做的多像真的

楼上 我看新闻的画面 应该是透过脸书讯息给的这6月中有上新闻 刚看到几个截图 估计是诈骗集团诓他失败了 重发一次啥的之类阿 抱歉 更正上面的脸书那句 这边我误会了画面上只有显示FB的对话纪录和网页的部分 没写怎么给的

不要在脸书买东西 不要给出信用卡和OTP

看新闻好像是说对帐要卡号跟检查码 老招了

是说在脸书买芒果 却刷信用卡 算常见吗？我会觉得给出信用卡资讯很危险就是了

只用eSE 行动支付比实体刷卡更安全，其他为了高优惠的绑第三方支付冒风险 还是算了 脸书敢买东西的也是。。。

其实要跟最源头做交易，想要跳过各种中间商平台运营之类的本来就是要风险自负，你省下的钱就是你要自己处理的成本（包含一旦出事没有人可以赖的成本），今天如果使用者跟果农透过虾皮或是其他之类的中介，目前问题根本不会发生了，所以自己在FB（或是line/ptt聊天平台）交易，就自己想清楚要承担啥事吧你跟出货者都不想被抽一手就要准备好，有问题时要自行扛了

跟果农买水果就用老方法 先汇款后寄货，不然就用货到付款 刷信用卡 有这么先进的果农。。。

而且果农还会先刷一元…

直接把验证网址放在 OTP 里,只是方便诈骗集团原本还要说服被害人验证码给他验证,现在直接按就好

前几篇有人贴截图了 只能说…

Line Pay现在有限制了 帐号手机号码要跟信用卡相同才能绑定

钱包能绑别人的卡不是系统漏洞但却是设计缺陷，因为实际应用根本没有就是没考虑到才能让诈骗集团拿来运用你说到底是什么情境需要绑别人的卡信用破产的人要用吗？本身就做错事受点惩罚乖乖付现金也合理未满18要用吗？应该是使用金融卡或是请家长办附卡你就算直接拿爸爸妈妈的卡去消费，广义上也是算盗刷

刚刚也去看了截图，真的是...

钓鱼网站真的很难分辨

所以这意思是想订只能刷上限多少了吧 不然被诈骗的人永远会被诈骗

Ultramarine 那只有部分银行有这限制, 其他银行没限制

此案钓鱼网站真的很好分辨

截图是这个? https://i.imgur.com/sTVucLj.jpg完全不精美啊 首先域名不是.com.tw就很奇怪连去forms.app首页 发现是提供类似google表单的服务跟刷卡支付完全不相关最重要的填otp地方 截图没有..

那是此案网站可能做得不太像，我刚好是网页专长工程师，我可以完全仿照一模一样的刷卡页面，对于资讯方面甚至连电脑手机都不太擅长的人士来说，要被骗轻而易举，这真的很危险而且银行跟金管会又无法保障消费者，就只能自求多福，跟开启刷卡即时通知，让损失不要太惨重

他买的地方根本就不安全吧

不是什么都是银行跟金管会的锅吧XD那那些汇款给将军的老妇人也是要怪银行吗??网页一模一样又如何 阿就是不要点啊根据那个画面 最厉害的是他已经转帐出去 还又再给一次卡号汇款对帐为何要给到信用卡卡号@@?

为啥这事不是宣导不要在没有保障的地方 (脸书) 买东西不要乱给出信用卡资讯和OTP 而是要怪OPEN钱包让人刷这么多 是因为不管怎么宣导还是会有人贪小便宜被骗之类的吗(我是说新闻内容)

不能检讨被害者,会被围剿

可能是把错都推给银行 比较有可能变成争议款?

汇款完成还另外把卡号及OTP给对方，这真的不能检讨害者吗？好奇这要用什么机制来保护？让所有人都很难使用的大绝吗？安全保障和使用方便之间到底该如何权衡呢？

对耶 汇款完还要填信用卡要验证什么 不过被害人有1秒犹豫就是了

目前这种钓鱼网站是可以伪装成任何购物网站的，可以架一个购物网站，再假装有串金流，那你就会觉得一切合理，然后卡号就输入了，再接着一个假的验证码字段，OTP也很自然的被自动填入了。应该要严格控管刷卡页面只能串接蓝新/绿界这一类的，不能自行串接银行端，这样可以大大增加辨识度

只上正规购物拍卖平台(经由我的最爱或APP) 脸书纯面交用

严谨跟方便是互斥事件

私讯/短信内连结不点最好 要你填敏感资料再三确认域名是否钓鱼 我唯一无脑填的只有.gov.tw

不是 会乱输入卡号的 我看就不要给信用卡

被害者永远是对的,政府没把犯罪者清零,就是政府的锅

但这种被骗过的，可能以后遇到就怕了

一开始也都没有消费通知让他察觉挡刷吗？

第三方支付管理本来就比较松 当然也可以说比较自由啦 所以这也是为什么第三方支付交易量达到一定程度政府会要求申请成电支 让管理比较严格

真正3d验证 http://i.imgur.com/hGbvEbC.png注意一下域名 .com.tw我发现诈骗的很少用.com.tw去钓鱼 不知道为啥XDD

诈骗集团还不够先进，如果诈骗集团有一位it大臣那可能被骗的就不只这些人了XDD

.com(.tw)要有公司相关证明才能申请 费用也较贵

只是因为他用信用卡支付才能怪银行怪金管会会被骗的人用现金一样会被骗

资安专家都说是精美,还不够先进?

重点是在脸书被诈骗，不是什么银行跟金管会的错好吗

不懂这些的人真的很多，你我身边都有，有时候将心比心，自己不会遇到，不代表你身边的人也一样聪明，只能不断提醒跟宣导

他自己的文章都有说一样的事也是有人很机警没被骗不可能因为有人用菜刀砍人就叫五金很不卖菜刀

反正目前来说就是遇到了就要自己吞，诈骗集团未必抓得到，钱也讨不回来，只能自己多多留意

不过其实我记得信用卡条款中有 信用卡支付如果遇到诈骗反而有保障 如果确认是诈骗银行可以不出款给商家 而且还可以回报诈骗商家终止合作的样子 全世界好像都是这样处理的 我记得国际组织有这样宣传说信用卡消费的安全 不过到台湾的银行就…变样了…

有的3D验证网页做的很阳春.....

脸书卖东西几乎都是诈骗，然后随便一个人说她是小编就相信

但这次不是诈骗商家，是被绑定第三方支付

.com.tw 不用公司证明，任何人都可以申请

重点申请是实名制

好 但要给的资料应该还是会比较多 倒不如取得较容易

不用一直强调脸书卖家是诈骗，钓鱼网站是可以任何形式的，google到的购物网站，广告很凶的购物网站，还有Youtube拍片的购物网站，任何都可能是钓鱼窃取资料的管道，FB只是这次案例的一小部分

在我看来，诈骗的坏人最坏，被骗的人最笨，然后在那边说一堆怪金管会怪银行怪小七~推给别人最容易了那个是第三方支付，不是电支

说认网址的 就等你被unicode domain 钓鱼

还真的没有，.com.tw 目前跟一般的gTLD一样，没有额外要求的东西

说汇丰跟他说是7-11线上购物，其实银行在特店还没请款前本来就没有比你清楚

不过台湾的 TLD 普遍都没有 Whois Privacy 就是了

重点是.com.tw要申请，目前钓鱼网站还是用免费网址甚至第三方服务就产生出来的假网站

诈骗只能宣导一般人，希望一般人不要被骗那些跟限制卖菜刀87%像的建议都是无用处的台湾人就是自由在人人一张嘴，没有比较高明

如果他真的去有名的购物网站被诈骗我会真的想知道怎被骗的啦 在FB买东西还给信用卡这一般人都知道危险了

OPEN钱包申请不是要手机吗？手机被拿来诈骗随便都抓的到人吧 门号拥有者要负责啊

目前主流的浏览器皆已对IDN homograph (unicode domain) 做防御，会转成 Punycode

告下去就对了 就算第三方支付也不可能找不到人 台湾的支付工具除了现金其他根本不可能完全匿名 要不要查而已

时间有点错过,第一时间没找法律专家,而是找资安专家

楼主的建议超实用！推

请问Ken52大，我顺了一下这种钓鱼网站逻辑，假设一切都看不出破绽，但最关键的OTP上的金额资讯，要怎么兜起来?像是我网购1万的东西，我预期这种方式顶多能够骗到我1万但如果是绑卡这种1元OTP，这边这个破绽，诈骗方应该没办法让银行发来的OTP是用1万元来绑卡吧

对，讯息金额一定是错的，这边可以把自动填入功能关闭，以防安全，先确实完整读完短信再输入OTP

感谢分享

短信的完整性我也觉得有权益要做到完善，如果绑定op钱包里面有提到相关资讯，也许就会被察觉到，有些验证码短信真的都太简短太随便了

短信的部分，我的认知是看银行端是否要改进吧，现在看起来，每一家信用卡回传的格式都不大一样

刷卡有优惠 然后被反杀的概念

看了这么多，还是觉得要是愚妇承认他是被骗，再来要求更改otp的显示以及open钱包的改善。或许......最重要的诈骗过程细节都不讲......唉....轻描淡写...不过这也是损失19万的作为，情有可原如果购物的流程真的是如前几篇的贴图....那真的该强化的是网络购物的知识宣导

在原PO说的案例中有人是国泰世华卡被绑后盗刷，问题是OPEN钱包绑国泰世华卡的短信会写"申请APP安全绑卡"，结果受骗者还是把OTP码填到网页里，只能说不看的写什么都没用啦

不管啦都是银行跟APP的错

就跟ATM转帐诈骗一样怎么宣导都没用 太多就只能设定上限了觉得认网址网页等等对一些人还是太难了 在安全的平台购物比较实际

会被自愿诈骗的 什么机制都无法防啦不管什么机制 本人的同意都一定可以过 被骗同意对机制而言 还是本人同意

原po跟原po的朋友社经地位 学历 应该都不低...才会..

同28楼hsinyuan的疑问，如果使用验证网址，风险不是更高吗？诈骗集团填卡号、受害者收到短信，结果按一下就验证成功。

楼主指的是按了验证网址以后会连到需要验证码的服务或网站，届时就会被发现了，而非单纯提供OTP密码

那又要多一道确认验证网址中网站真假

3D验证应该都是在收单行或是NCCC的网站进行，所以是点进连结后前往原购物网站，输入验证码的网页？“还是”输入验证码的网页

3D验证的页面是“发卡行”提供或是公用服务商例如联信提供收单行根本不知道持卡人是谁

[情报] OPEN钱包绑定 汇丰卡消费享10%刷卡金~https://bit.ly/3IaHzDn

网站做得假也是会有人被骗啊，这个防不了

看截图的网站...应该常网购的人都不会中招...

今天买了一下美亚，美亚绑卡跟本没有认证，也不用后三码，请问这样各位你们还坚持一定要做吗？世界最大的线上购物网站都没做~不懂因单一事件又限制一堆，这样真的好吗？

那是因为他是亚马逊，在台湾也是有特例的，只有大型购物网站有储存卡号的功能，一般小网站你每次买每次都要手动输入一次，或者用的是蓝新/绿界这种金流平台，也才会有储存卡号的功能，同理，不代表要下放到其他资安做的很差的烂购物网站，随便被盗个帐号你就哭了这个案例其实凸显AP/GP这种虚拟卡号的重要性跟便利性，不要随便手动输入卡号，减少被侧录盗刷的任何可能性

说到底，脸书+小农+信用卡，这根本是个案好嘛...

还有汇款后被私人脸书密 直接给予个资XD

说实话 网址在短信也有可能被骗点下去认证

但是绿界，蓝新不是就诈骗集团专用~亚马逊算特例?

绿界蓝新好惨 做个第三方支付也被抹成诈骗专用一些直播主、政治献金捐款、慈善团体都用绿界蓝新阿动画疯的信用卡扣款，原先是中华支付，后来也改蓝新

绑卡认证又不是保障消费者 是商家为了确保拿得到钱当然不是必要的 Amazon不认证就是他够大 没在怕的

一堆诈骗集团都用，哪有抹黑

我看到所谓资安专家让统一限制OPEN钱包只能刷4999就火大了你知道上面是可以买唉凤这种东西的吗...去康是美买健康食品 超过5000拿回馈也是很容易的

真的要诈骗~4999*无限笔，而国泰要超过15笔才会短信再通知~如果金额不一样还不会通知

可怜哪 自打嘴巴 说绿界蓝新诈骗专用 举出正常使用的例

所以真的搞4999也是对诈骗集团无用，多此一举

子就说有诈骗在用 所以不是抹黑

股市+Line，虚拟币诈骗，都是用这几家~少见多怪

那你怎不说FB跟LINE也是诈骗专用

原原Po就是在fb被诈骗

限制4999真的不知道在干嘛？昨天要用op钱包缴汽燃费，结果刷不过，才知道单笔消费不能超过4999元@@，这样op钱包缴费功能等于废了

盗刷点数..加个限制应该就好了吧?毕竟一般人点数应该不会连续购买1万点以上吧?

不可能限制点数,卖点数可赚钱,缴费赚不到钱

真的专业的钓鱼网站会用上混淆字符 光看网址你很难分出真假

原文好像没说到信用卡银行有没有消费通知 这点觉得怪但有说到其他有人刷一笔25000就挡了

好像是2万五通知吧～

19万那个案例 看新闻是说第8笔也就是累积19万时有通知她但不确定是哪一种通知就是了

可以我记得依照汇丰的规则，要嘛全部通知，要嘛全部没通知，除非她自己设定刷超过一定金额通知国泰是连续固定金额超过几笔就通知，汇丰可以设定1元就通知~

是这样…想说我之前刷汇丰卡只要有消费就通知

汇丰可在官网设定用email和门号短信通知刷卡 实体卡刷卡的通知限3千以上,网络,app,国外交易则不限额https://i.imgur.com/hMvcPuL.png除非要刷汇丰特定美食优惠 才刷实体卡 其他用AP/GP虚拟卡号刷卡取代 才有即时刷卡纪录

你额度好高~好羡慕

我好奇当一个人都把自己所有资料都给诈骗者的时候 还有什么方式可以去防止？还是只能投诉媒体骂银行？

停卡而已吧～

信用卡不限额刷卡通知很重要，只是不是每家银行都这么做，除非政府要求银行啦https://youtu.be/SAjzDWviQao第三方支付本来法规就不严谨，使用者贪最大优惠，风险大不是还好而已有的卡能app锁卡即时阻止盗刷 几家有这功能的

不过芒果好大颗

串接绿界或蓝星感觉就不是很好，为什么不直接用Paypal呢？汇丰早期是可以设定不限金额发送消费通知，但后来好像取消了

因为paypal诈骗会锁帐户，一毛钱都出不来，绿x那个是第三方，透过虚拟帐号收钱，调查玩，钱已经出去

所以绿界蓝新会成为诈骗代名词，商家串接那些平台看到就会让人觉得有高机率与诈骗有关，原本想结帐然后变成不想买了Open钱包不能说完全没有任何责任，短时间内连续大笔金额的消费都没跳警示暂停帐户支付权限也是有问题LinePay对于类似状况会直接锁帐户要求客户与客服联系进行解锁程序难怪诈骗集团会选择统一的Pay而不是绑LinePay，因为风控差太多了帮补punycode的说明https://i.imgur.com/4pp6XhY.jpg

短时间内连续大笔金额的消费要跳警示暂停帐户支付权限,那些所得税拆单大户要开始头大台湾总是喜欢牺牲大多数人的自由,去防止少数人无知的行为

判断要不要锁帐户的参数很多，缴费通常较难以被用为诈骗的变现或销帐管道，因为太容易查了消费类别=储值卡等，同时触发某些条件，就可以判断为需要人工审核之帐户了，统一钱包的生态圈就那样小，但他们根本不在意有没有可能被作为诈骗的跳板阿

容不容易查不是重点,都敢临柜买点数

干脆先来讨论一下法律有没有必要保护笨蛋好了

讲得很简单,要看超商愿不愿去做这种无利润的事

还有系统提醒或防呆有没有必要好了

一定会保护笨蛋,笨蛋最好操弄,所有人都需要但笨蛋可悲在被人达成某种目的后,就被舍弃

在另一篇新闻看到银行有依规定发消费短信 但可能事主没察觉

大家预期都是先绑自己的卡吧，自己的卡能绑就不会再去试别人的卡了果农有的有建立自己的购物网站啊之前诈骗一堆退休老人受害，然后剥皮游戏点数妹一堆阿宅工程师受害，购物诈骗是该通路爱用者受害，这些诈骗都有针对特定客群来设计的，问题也不是笨蛋而已，而是对某次购物通路的信任延伸的太广太泛滥，加上有的时候安全防护变成禁锢，有的嫌麻烦干脆跳过而且有的银行根本不提供即时通知的服务，也不太提醒客户有这些事情，出事了怕揹责任就说是客户的责任，但是跳去其他银行，有的就做得很好

不提供即时通知是银行本钱粗,只要不是自己过失造成的盗刷都是银行买单,有通知反而会怪你没及时停卡

不同意楼上的论点，短信通知非完备法定告知程序，有寄短信不代表完备疑似发生盗刷之通知亦即即使有寄短信消费者不读不回，责任仍然在信用卡公司身上对于善良持卡人而言，银行的任何打扰都是愈少愈好

最近办了华南的卡，每天都会有消费统整一个月30天就收到了31封电子信还不知道要去哪里关，烦死人了…

推文讲的点收不到验证码来确认真伪这招不错

国泰Open钱包设4999门槛，若之后小7又出5千元的福袋卡，岂不是叫人用别家银行买

反正我是不会买福袋 顶多买老干妈

很想看验证画面的钓鱼版本，到底是多像，现在的验证大多数发卡银行自己做，诈骗集团到底要多有心，才能根据每间银行都做一个验证画面

不需要像啊 你会记得每个银行的验证画面吗? 只要放个银行logo就可以骗到人了

我的open钱包怎么只能绑本人卡otp除了认证码还会有明码（四个英文），有些人都不对明码你刷了钓鱼网站怪谁啊

OPEN钱包要怎么验证是不是本人卡？你有给统一超商统一集团身份证吗？

op钱包是第三方支付 没有实名认证 无法验证是否为本人看推文可以知道 很多人对这些机制都一知半解的 难怪诈骗可以骗到人