顯示廣告
隱藏 ✕
※ 本文為 Knuckles 轉寄自 ptt.cc 更新時間: 2023-02-08 02:06:03
看板 creditcard
作者 vyvian (vyvian)
標題 [新聞] 永豐34名卡友遭盜刷逾百萬 金管會:疑因O
時間 Wed Feb  1 05:01:05 2023



1.媒體來源

聯合報


2.完整新聞標題

永豐34名卡友遭盜刷逾百萬 金管會:疑因OTP密碼傳電子郵件遭駭

3.完整新聞內文

在年假期間1月23日到29日,有超過30位永豐銀行信用卡卡友發現被盜刷,甚至能通過3D
驗證碼,因集中在1家銀行、且在短期內密集發生,引起金管會的注意。金管會銀行局今
表示,目前永豐銀行初步了解,是傳送給客戶的電子郵件中OTP過程被不法集團截取,目
前沒有收到其他銀行有類似情況,而客戶主張被盜刷,依照現行機制都會被列為爭議款,
並釐清後續責任歸屬。


銀行局副局長童政彰表示,目前了解,永豐銀行在1月23日到29日之間出現密集被盜刷的
情況,34位客戶在國外30家網路商店被盜刷、被盜刷達76筆,都是小額盜刷,總盜刷金額
約110萬元左右,平均盜刷金額約1萬元。


但為何集中在永豐銀行、且不法盜刷集團還能通過3D驗證碼?童政彰表示,特店與發卡行
都有導入3D驗證機制,客戶刷卡會收到驗證碼,經過永豐銀行初步分析,推測是客戶被盜
刷時,客戶的電子郵件中收OTP過程中有被被不法集團截取,但是實際的盜刷手法,銀行
還在查證中。


童政彰指出,每家銀行OTP採行的方式不同,大部分銀行傳送OTP是到手機,但也有部分銀
行是同步傳送到手機與email。因為是海外的網路商店,很難辨別是被盜刷還是客戶自己
意願購買,因此目前永豐銀行採取的機制,是先暫停把OTP發送到email。


其他銀行是否有類似情況發生?童政彰表示,各銀行都設有監控機制,這次永豐的案件是
在短期間密集發聲,永豐銀在接到客戶通報後,立即有啟動相關監視機制,目前沒有收到
其他銀行有通報在短期內被密集盜刷,後續會請聯卡中心密切注意。



4.心得

好奇永豐的email是怎麼被駭的。於是我查了一下之前的電子帳單。

發現最基本的加密都沒做,當然也沒有用憑證簽章。

https://imgur.com/ObU78S8
[圖]

這樣的資安真的不行


數位發展部的通知信,內容沒有機敏資料都有做到加密與簽章了。

https://imgur.com/e1inR1P
[圖]


5.完整新聞連結 (或短網址)

https://udn.com/news/story/7239/6940025

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.76.128.77 (臺灣)
※ 作者: vyvian 2023-02-01 05:01:05
※ 文章代碼(AID): #1ZsO6MXo (creditcard)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1675198870.A.872.html
※ 編輯: vyvian (42.76.128.77 臺灣), 02/01/2023 05:01:38
barkids     : 高調然後記者幫忙追,這發展是好的,只是金管會...1F 02/01 06:05
barkids     : 要真的會做事啊,永豐要不要全面檢討並強化資安啊
cityport    : 看了一下..好多家都沒有耶..邦邦發卡量更大的說3F 02/01 06:27
cityport    : 再往前翻幾年..只有花旗全部加密..前3大都沒有
cityport    : 不過大部分時間..永豐的繳款入帳通知都有加密
cityport    : 不認為是email加密不加密的關係..盜刷是針對永豐
cityport    : 盜刷者信用卡基本資料都有..而且還知道都是永豐的卡
a7294       : 台新、國泰也有email方式8F 02/01 06:49
fairbankslin: 想想現在開始還是先暫時停止刷永豐好了9F 02/01 07:15
peter98     : 我覺得不是email的問題10F 02/01 07:20
peter98     : *不單只是email的問題
jmt1259     : 永豐問題很大12F 02/01 07:21
bitlife     : 理論上通報被盜刷集中某一家銀行,最可能的原因不外13F 02/01 07:38
bitlife     : 乎2種,1:這些持卡人其實是同一集團的人頭 2:銀行的
bitlife     : 發送OTP流程中有環節出了問題. 通常3D驗證碼被攔截,
bitlife     : 有種比較容易發生的可能是中了木馬,但這不太容易集
bitlife     : 中在同一銀行
bitlife     : 另一種相對微小的可能原因就大條了,銀行的相關資訊
bitlife     : 系統(網站,網銀,行動銀app,信用卡app)本身就帶木馬,
bitlife     : 不過這個可能性很小,因為駭客投資大,目前看來獲利小
xkp74580    : 如果直接駭Mail或OTP伺服器 再怎麼加密都沒用21F 02/01 07:44
bitlife     : 不太合理. 像X大的客戶被盜買港股,那個至少獲利大多22F 02/01 07:45
bitlife     : 了
bitlife     : 直接駭Mail或OTP伺服器算是比較大工程,通常要就要幹
bitlife     : 大票比較合理,因為想要細水長流積少成多,很快就會變
bitlife     : 成通報人數大增串聯發聲上新聞. 我比較傾向是環節中
bitlife     : 某處的某個內部小人物以為可以細水長流偷偷賺,比較
bitlife     : 能解釋金額不大,通報人數目前也沒有爆炸. 從專業集
bitlife     : 團也是要考慮時間及人力成本去思考,這人數和金額不
bitlife     : 是很高. 專業駭客和電話詐騙型態不同,後者電話由電
bitlife     : 腦自動撥,工作人員多數是不需技能免洗低成本,可以累
bitlife     : 積小錢積少成多,這種電腦駭客,不太可能用長期賺小錢
bitlife     : 的方式. 之前有次ATM吐鈔,那個就一次就要撈大的,真
bitlife     : 人還要坐飛機人來,領了趕快跑. 越容易被察覺,就要一
bitlife     : 次幹大票金額對駭客集團才划算
p1587       : 都推給客戶就好啦 這種情況應該檢討銀行發送過程是36F 02/01 07:59
p1587       : 否有瑕疵吧 不然34個客人信箱都有問題就你永豐最倒
p1587       : 楣被盜刷?
bitlife     : 我建議金管會要求銀行提供由手機行動銀行app或信用39F 02/01 08:01
bitlife     : 卡app的即時簽核消費功能,由消費者直接在手機上確認
bitlife     : 特約商店及金額,至少讓消費者有可選的選項,改用這方
bitlife     : 式取代OTP. 經過先前銀行端的行動app盜轉通報事件,
bitlife     : 現在的銀行手機app除錯過後比較OK,安全性來說,我認
bitlife     : 為是比OTP高多了,改用這種方式對消費者比OTP來說,安
bitlife     : 全性高很多
bitlife     : 我在 #1ZrXOCq2 這篇有提,不過我是開工日才來逛卡板
bitlife     : 才讀到,時效比較晚,看到的人應該相對較少,所以本篇
bitlife     : 重提一次,希望相關銀行資訊從業人員或記者看到反應
bitlife     : 一下
Re: [討論] 被盜刷金額這麼高,金管會有看見嗎? - 看板 creditcard - 批踢踢實業坊
bignoob (有我嫩嗎) 再高調就會變成以下情形 各家銀行被金管要求減少盜刷金額 那風控就開始瘋狂管制高額刷卡交易 沒OTP 超過幾萬的一律進線客服,核身後才能短時間放行 然後信用卡板又出現某某銀行為什麼這麼難刷的文章
wattswatts 
wattswatts  : 只想用line通知省成本的銀行表示。。連信用卡app沒50F 02/01 08:12
wattswatts  : 有的銀行?
bitlife     : 金管會也不用強制銀行,只要規定型化契約中只能規定52F 02/01 08:15
bemaz       : 銀行都推給持卡者,但被盜刷已經知道已經知道“卡53F 02/01 08:16
bemaz       : 號規則”還能知道被盜的email去裡面郵件裡面抓密碼
bemaz       : ,如果不是一開始源頭就出問題,如何透過一大堆卡
bemaz       : 片對應聯絡郵件信箱還能猜出信箱密碼 去裡面挖opt
bemaz       : 密碼?倒回來如果持卡者郵件出問題,為何而且受害
bemaz       : 都是單一銀行,持卡者可能同時其他銀行卡片一樣有
bemaz       : 發opt郵件機制,為何同一時間只有同一家銀行卡出事
bemaz       : ,銀行端比較有可能有漏洞沒發覺吧?
bitlife     : 由經嚴密程序綁定專用有憑證簽核之交易才不可否認,61F 02/01 08:16
bitlife     : 讓不可否認回歸有憑證介入才能主張,這樣就夠了.證券
bitlife     : 和網路ATM N年前就這樣做了
wattswatts 
wattswatts  : 全面線上網站使用 Apay Spay Gpay(gmail被盜自己看64F 02/01 08:19
wattswatts  : 著辦) 比較實際
bitlife     : 在X大客戶被盜買港股事件前,沒有聽過客戶否認下單交66F 02/01 08:19
bitlife     : 易,而當大量客戶短時間內都否認交易,X大一看也知道
bitlife     : 這個大包不在客戶,就馬上轉為X竹和X大互吵一陣,很快
brokeback   : 這些客戶的email剛好都用哪家的呢?怎麼這麼剛好都69F 02/01 08:21
brokeback   : 是永豐卡友?
bitlife     : 就推測出原因,然後就有了全台灣大量證券客戶被要求71F 02/01 08:21
bitlife     : 更改密碼的事件
wattswatts 
wattswatts  : 盜刷常客Agoxx xlook  都啟用Apay 看成效如何不就73F 02/01 08:22
wattswatts  : 知道了
brokeback   : 答案呼之欲出75F 02/01 08:22
willieliu   : 看到OTP就要推Amazon這種不用OTP的商家 保障消費者76F 02/01 08:25
bitlife     : 感覺ptt真的有AI  XD,跟推的內容我個人感覺有AI的味77F 02/01 08:25
bitlife     : 道... Orz
bitlife     : 我所謂AI有分機器AI和真人(虛擬)AI,至於是哪種還真
bitlife     : 不容易判斷,並不是機器AI真的能過圖靈測試,而是有可
bitlife     : 能人類降級成類機器的反應 XD
bitlife     : 以上題外話,希望真的有相關真人看到反應一下意見
diqoedin    : 永豐發信被攔截的感覺比較高 客戶會剛好用同家mail83F 02/01 08:32
yiersan     : 用戶問題比較大84F 02/01 08:39
ackes       : 要看是不是下面irent那個問題吧  之前聯邦也一波85F 02/01 08:40
ackes       : 怕是被慢慢收割
yiersan     : 若是銀行問題 怎麼才34位87F 02/01 08:43
geniusw     : 我國泰 hsbc 台新星展有 中信土銀沒88F 02/01 08:43
jimmy0525   : 我覺得不如找有相關的金融立委去監督可能還比較有89F 02/01 08:56
jimmy0525   : 用 就像之前修改信用卡定型化契約意思一樣 比較會
jimmy0525   : 有實質的動作
Athanasius  : 看了去檢查自己的信用卡對帳單,發現...92F 02/01 09:07
ckkaze      : 給高調推,銀行內部要不要查查,發MAIL的系統有沒93F 02/01 09:09
Athanasius  : 加密的有:玉山/台新    未加密的有:富邦/兆豐94F 02/01 09:09
ckkaze      : 有異常人員連入,發送LOG有沒有外洩風險..95F 02/01 09:10
Athanasius  : 如果真的是原po所說的,信件傳送過程未加密96F 02/01 09:11
Athanasius  : 這篇應該高調,另外其他未加密銀行的卡友也注意一下
peterkan    : 電腦被駭,可是怎麼知道卡號、安全碼?98F 02/01 09:12
chinaeatshit: 玉山發過好幾張神卡  同樣也是傳mail跟手機  卻沒99F 02/01 09:20
chinaeatshit: 人在意
mike0608    : 我看了一下 很多家都沒有加密101F 02/01 09:23
Enota       : 我看富邦OTP的有加密耶 還是不同封??102F 02/01 09:24
Enota       : https://i.imgur.com/DVrdXoi.png
Enota       : 電子帳單的部份 沒有加密,但帳單本身PDF有加密
Enota       : https://i.imgur.com/jlUV1tc.png
[圖]
 
[圖]
Athanasius  : 抱歉,我是看電子帳單的部分,OTP信件我都砍了106F 02/01 09:34
Athanasius  : 之後會確認
vyvian      : 如果金管會認為是email傳送OTP出問題,應該要有證據108F 02/01 09:39
vyvian      : 華南的OTP郵電通知也是沒加密 卻只有永豐出事?
vyvian      : https://imgur.com/3ggGCqs
[圖]
StupidArt   : 我沒同步email,但還是被盜刷111F 02/01 09:51
bitlife     : 我前面說集中一家有兩種可能,正常邏輯上來說,全是人112F 02/01 09:53
bitlife     : 頭的機會也是很低,原因是一般消費者有意謊報(自刷假
bitlife     : 裝成被盜),通常是個人行為,集體的人頭基本上腦袋正
bitlife     : 常不至於去自己曝光自家的集體盜刷行為. 不過以上是
QQ5566      : 講Ai 直接回文呀116F 02/01 09:56
bitlife     : 正常人腦,當然是無法不能排除一群人集體智商低下,只117F 02/01 09:56
bitlife     : 是機率很低
bitlife     : 提AI的好像只有我,我不是針對在我發該AI推之後的推
bitlife     : 文,也說過是題外話,可以忽略了
ornv        : 才34而已嗎121F 02/01 10:26
gn00273680  : 其實不管是email或簡訊OTP都有被攔截風險,但這風險122F 02/01 10:36
mnhyuiop    : 有OTP機制錢還能被拿走,未來就直接轉走我戶頭的錢123F 02/01 10:37
gn00273680  : 銀行接受,所以才有監管機制!改成用產生認證碼方式124F 02/01 10:38
gn00273680  : 當然也可以~問題是一家銀行就一個嗎?那也太麻煩了
bitlife     : 應該是每發卡機構一個,但是發卡機管金管會管不太到,126F 02/01 10:40
bitlife     : 比較可行是幾大家去聯合發卡機構,最後形成像台灣行
bitlife     : 動支付那樣,一個聯合推出的app可以同時使用多家銀行
Ken52039    : 傳email超北七,每次都想說有簡訊就好,結果還要去129F 02/01 10:41
Ken52039    : 刪mail,煩死
bitlife     : 傳email是簡訊有收訊死角,人在國外或行動通訊死角還131F 02/01 10:42
bitlife     : 能靠email網路消費刷卡
bitlife     : 行動通訊死角當然要靠wifi收訊,補充解釋一下
gn00273680  : 聯合推出共用那是更不可行,一死=全死134F 02/01 10:44
mnhyuiop    : 當你在國外旅行時,就感謝有傳EMAIL的銀行有多好135F 02/01 10:44
sebu        : 發簡訊有簡訊費的成本,發mail沒有XD136F 02/01 10:44
gn00273680  : email, 簡訊一般是可以選擇的137F 02/01 10:44
PopeVic     : 竟然有銀行未加密寄送驗證碼的郵件,真的是驚呆了138F 02/01 10:45
PopeVic     : …
bitlife     : 這倒不一定,app可以根據卡是哪家銀行,直接與該銀行140F 02/01 10:45
bitlife     : 交換資訊,而不是只靠一個單一主資料中心. 只剩app本
bitlife     : 身是否有安全漏洞的問題,不過這問題本質和Windows,
bitlife     : android,iOS有漏洞類似,就是少數寡占軟體本來就要特
bitlife     : 別重視資安
baby79080000: 發了一篇在樓上,有沒有可能綁定irent145F 02/01 10:50
bitlife     : 我有回覆,是有可能,但是要符合不少條件.主要是email146F 02/01 10:51
jillmax     : 不知道可否OTP動態密碼+自設固定密碼xxxxxxoooo這147F 02/01 10:52
jillmax     : 樣增加安全性
bitlife     : 收了木馬後中毒,然後其他家銀行也有受害者.另外未用149F 02/01 10:52
bitlife     : irent者也能找出合理解釋(以上針對被OTP盜刷)
bitlife     : 事實上資安已經像實體戰爭武器操作者一樣技術要求越
bitlife     : 來越高,統一app其實某種程度不是壞事,這表示所有銀
bitlife     : 行聯合關注分析檢視一個app的安全性,而不是各家力量
bitlife     : 分散各搞各的. 駭客集團的武力值基本上超過銀行資訊
bitlife     : 中心的一般非資安工程師,像OS或瀏覽器漏洞,谷歌微軟
gn00273680  : 可以OTP+自設密碼~那個密碼不能跟其他的重複...156F 02/01 10:58
bitlife     : 蘋果這些大咖都不能完全避免,小家銀行又外包,成本高157F 02/01 10:58
bitlife     : 滯礙難行不提,戰鬥力先輸一半
bitlife     : 如果有銀行堅持要自行開發client端,也是可以考慮入
bitlife     : 網站方案,使用者只要先下載統一入口app,遇到該家銀
bitlife     : 行卡就會提示先下載特定app,直接幫客戶跳store下載
bitlife     : 頁
bitlife     : 更正上面漏字及錯誤,應該是入口app方案
pippen2002  : 筆記ing~~~164F 02/01 11:12
pippen2002  : 永豐不是小銀行耶~~超大!!
bitlife     : 我的小銀行又外包沒有針對任何一家,我的意思是台灣166F 02/01 11:28
bitlife     : 的銀行都是小銀行... XD
bitlife     : 光看人數就是小銀行,而你的駭客敵人有世界交流協會
bitlife     : 要當他合理的對手至少也要發卡組織,G家,M家,A家才合
bitlife     : 理,這樣說其實不過分
mooto       : 重新定義小額171F 02/01 11:57
marlonlai   : 如果金管會確定是email問題的話 那大概就是客戶信箱172F 02/01 12:00
marlonlai   : cookie被盜了 只能說不要亂點釣魚網站或下載來路不
marlonlai   : 明的軟體
marlonlai   : 不過會被盜特定一家的情況 也代表永豐有資料外洩了
doubtess    : 其實有一些app或手機也有風險...我之前用悠xx的ap176F 02/01 12:09
doubtess    : p綁定交通卡,想說可以即時餘額多少,結果某天
doubtess    : 我的帳號就被登出...登不進去自己的帳號,app還
doubtess    : 會連到附近陌生人的聯名信用卡,上面赤裸的展現陌生
doubtess    : 人的卡號==,我覺得超噁。後來和app的客服跟工程師
doubtess    : 溝通更新app後才回歸正常...
bring777    : 永豐資安沒人?182F 02/01 12:25
tonyian     : 永豐的資訊系統就是小銀行阿,真以為銀行只看交易183F 02/01 13:13
tonyian     : 額比大小的嗎?
ysy2003     : 扯欸 這真的是金融機構?185F 02/01 14:05
bst788      : 人頭個鬼,我就是這次春節被盜刷的1/34啊==186F 02/01 17:38
IOUIOUIOU   : 手上的永豐只有很久沒用的保倍卡,之前就轉到pi卡扣187F 02/01 18:28
IOUIOUIOU   : 繳了,這次趁機直接打客服剪卡,連慰留都懶XD
dantes1013  : 新聞裡,銀行端的說法,是"客戶"的信箱被駭189F 02/01 18:55
dantes1013  : 持續否認銀行端的責任
dantes1013  : 這個說法根本不能解釋"集中一家"的情況
dantes1013  : 猜銀行端被駭的可能性比較高
sooler      : 好巧喔就剛好都永豐客戶被駭193F 02/02 01:24
leoz69927   : 就銀行端認證機制被駭這麼簡單194F 02/02 09:51
zoe11288338 : 跟irent應該無關,他信用卡資訊都是加密保護的,聲195F 02/02 14:18
zoe11288338 : 明有說到
meowlike    : 明碼傳輸... 這太扯了 跟裸奔一樣197F 02/02 19:52
onlypurple  : 還好已剪卡198F 02/03 16:57

--
※ 看板: creditcard 文章推薦值: 0 目前人氣: 0 累積人氣: 27 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇