※ 引述《peterkan (Peter)》之铭言:
: 这蛮诡异的.
: 对方要用3D认证盗刷应该要有以下条件,而且缺一不可:
: 1. 卡片上的相关讯息 (用实体卡可能会被盗录,也有可能是购物网站资料被骇)
正确,因为以目前的方式,只有实体卡(虚拟卡同实体卡)最容易窃取资讯,Google Pay、Apple Pay等因为包含手机资讯再进行加密,除非被植入有底层读取权限的病毒,不然难以仿冒身份。
: 2. 持卡人的手机号码、Email address. (线上购物网站资料被骇)
: 3. 骇入持卡人的手机、Email帐号. (手机、电脑被植入木马)
关于2、3点表示的应该是持卡人的手机已经被植入无法被侦测的病毒,或者电子信箱已经被破解登入,现行最容易被被User误触登入的是Google 提示(无法更改默认)以及Microsoft 无密码登入,其余的电子信箱MFA,如Yahoo是使用随机码验证。
: 基本上,知道1也无法在需要认证密码的网站盗用,还有知道2以及完成3.
正确,因为未经过3D验证的消费会被信用卡组织取消签帐,所以需要走完整个3D验证。
: 大抵而言,购物网站泄漏资料的机率最高.
认同但不完全是商店的错,就算商店服务器被入侵泄漏个人以及信用卡资料,也不能避开3D验证,所以User需要验证他的电子信箱没有异常登入以及手机没有病毒。
: 但之前也有案例持卡人设定固定的认证密码取代随机的,以致猜中认证码盗刷.
如花旗,但目前是用在转帐、变更网络银行设定上,信用卡是OTP随机码。
: 如果是随机认证密码,应该很难才是.
: 所以要养成一些好的习惯:
: 1. 网络购物网站、Email密码要用高强度的. 并且开启两段式认证.
两段式验证别称为MFA,方式有随机码app产生OTP、短信收取OTP、Google 提示、无密码登入。
: 2. 实体商店善用感应支付或电子支付,避免卡片讯息被盗录.
: 3. 留在购物网站的电话跟Email尽量不要跟留存银行的一样. 尤其是可以收到认证密码的Email.
这观念是对的,但重要的是登入密码别用同一个组合走遍天下网络,现在有密码产生器可以用在不同服务上,如卡巴斯基这种老牌的防毒厂商推出的。
: 4. 手机、电脑安装防毒软件,不要点选不明连结、安装不明APP.
不熟悉资安的User,在Windows系统上,请给他Users的权限就好,Administrantor权限请给家中较有资安观念的人管理。至于Android系统,可以透过禁止非Google Play来源的安装方式。iOS系统留给有相关经验的前辈指导。
: 5. 网络购物,尤其是不知名网站尽量用可以随时设定额度的虚拟信用卡.
这比较和盗刷没关系,因为透过银行app限制刷卡途径、单笔额度或是帐单上限,最初的目的是让持卡人管理信用卡的刷卡途径,如限制玉山Ubear卡使用实体卡消费;单笔额度或帐单上限,最初是管理附卡消费额。
所以我的建议是,要用卡时才把刷卡功能开启,但这样很麻烦,所以最好备有一张专门刷不知名网站的信用卡,这样可以每天管理、检查一张卡即可,即使停卡、挂失也不会影响平常生活使用信用卡。
最后提醒各位,Debit卡虽然已经逐渐跟上信用卡的回馈,但Debit与Credit终究有差别,Debit卡一旦过卡,就是现金被扣款了,而且没有Credit卡的90天退款保证,最长有过450天帐款才退回Debit卡。