1.媒体来源
联合报
2.完整新闻标题
永丰34名卡友遭盗刷逾百万 金管会:疑因OTP密码传电子邮件遭骇
3.完整新闻内文
在年假期间1月23日到29日,有超过30位永丰银行信用卡卡友发现被盗刷,甚至能通过3D
验证码,因集中在1家银行、且在短期内密集发生,引起金管会的注意。金管会银行局今
表示,目前永丰银行初步了解,是传送给客户的电子邮件中OTP过程被不法集团截取,目
前没有收到其他银行有类似情况,而客户主张被盗刷,依照现行机制都会被列为争议款,
并厘清后续责任归属。
银行局副局长童政彰表示,目前了解,永丰银行在1月23日到29日之间出现密集被盗刷的
情况,34位客户在国外30家网络商店被盗刷、被盗刷达76笔,都是小额盗刷,总盗刷金额
约110万元左右,平均盗刷金额约1万元。
但为何集中在永丰银行、且不法盗刷集团还能通过3D验证码?童政彰表示,特店与发卡行
都有导入3D验证机制,客户刷卡会收到验证码,经过永丰银行初步分析,推测是客户被盗
刷时,客户的电子邮件中收OTP过程中有被被不法集团截取,但是实际的盗刷手法,银行
还在查证中。
童政彰指出,每家银行OTP采行的方式不同,大部分银行传送OTP是到手机,但也有部分银
行是同步传送到手机与email。因为是海外的网络商店,很难辨别是被盗刷还是客户自己
意愿购买,因此目前永丰银行采取的机制,是先暂停把OTP发送到email。
其他银行是否有类似情况发生?童政彰表示,各银行都设有监控机制,这次永丰的案件是
在短期间密集发声,永丰银在接到客户通报后,立即有启动相关监视机制,目前没有收到
其他银行有通报在短期内被密集盗刷,后续会请联卡中心密切注意。
4.心得
好奇永丰的email是怎么被骇的。于是我查了一下之前的电子帐单。
发现最基本的加密都没做,当然也没有用凭证签章。
https://imgur.com/ObU78S8
这样的资安真的不行
数位发展部的通知信,内容没有机敏资料都有做到加密与签章了。
https://imgur.com/e1inR1P
5.完整新闻连结 (或短网址)
https://udn.com/news/story/7239/6940025