Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包
我是幫苦主與幾位受害者調查與做數位鑑識此件事情的資安顧問.苦主被盜刷第一時間就
報警並聯絡我.在這次的事件中我用我的專業談談,並把一些版友友興趣的資訊上色強調:
1.苦主被盜刷的卡是滙豐銀行.
詐騙集團精心偽造某家第三方支付的刷卡頁面與3D驗證頁面,
並不是苦主傻傻把OTP直接交給詐騙集團.大家要小心假冒的第三方支付與3D驗證頁面!!
最慘的是因為是綁卡,一次OTP,後面就不需要OTP了,連續盜刷累積十九萬
2.盜刷的當下,匯豐銀行告知是7-11線上購物,但實際上並不是(差點誤導我調查方向).
我仔細調查後確認是被詐騙集團綁上小七的OPEN錢包.
3.苦主被綁卡的時候,驗證簡訊只顯示1元的刷卡OTP,並沒有像apple pay或samsung pay顯
示是"綁卡".如金管會近日指示,必須講清楚到底是"綁卡"的temporary hold,還是真的1元
的消費.光這好步做好就可以阻止不少詐騙了.實際上,這些受害者頂多同意這一筆1元消
費,但可沒有同意後面那十幾萬的盜刷.銀行不應讓消費者承擔那些十幾萬元使用者沒有授
權的盜刷.
4.7-11官方幾提供任何有用的資訊給苦主與其他受害者,例如到底是在哪家門市盜刷? 盜
刷什麼東西? 雖然盜刷當下立刻報警,案件轉至北市中山分局偵查佐那裏後,也很積極處
理,但7-11拖了一個月,有幾家門市的監視錄影器已經被洗掉了.
雖然我不是受害者,但其實讓我非常不高興,我協助受害者第一時間通知7-11 OPEN錢包客
服.事發隔天後也調出了門市,不告訴我們就算了,那麼為什麼警方發公文了,卻拖這麼久,
拖到影像被洗掉?
5.在7-11官方不願意提供有用資料的同時,倒是我當時靠另外一位受害者得到了一些關鍵
資訊,他用國泰世華銀行,反而是國泰世華銀行主動告知是在那些7-11門市刷卡.
6.為什麼詐騙集團專攻小七的open錢包而不是其他第三方支付/電子支付?吾人認為理由
有三.
其一,OPEN錢包的異常偵測機制沒在這些受害者中沒發揮作用.
其二,OPEN錢包在綁一些信用卡時,不會像samsung pay, apple pay的綁卡驗證簡訊上有明確
表示是綁卡,消費者會以為是一元消費簡訊或是刷卡測試.
其三,小七可以買到大量的gash點數洗錢,有興趣的人可以看看於余麗貞檢察長的投書.
實際上,我們資安團隊幫這些受害者們做了不少偵查與數位鑑識工作,掌握了詐騙集團的重
要數位跡證,已經交給警方,然敵暗我明,故細節不便公開詳談.然而有幾點值得改進的是:
a)驗證簡訊必須講清楚是綁卡.這點前幾日金管會已經發布因應措施.這點蠻感謝立委鍾佳
濱委員,因為我本身是技術底出身,法制的部分還是要讓專業的來,我們當時通知了不少立
委,只有鍾立委回應我們而且非常積極處理.
b)仔細追蹤後,我們發現這個詐騙集團已經囂張多時.如此嚴重的事情,7-11集團理應要找資
安團隊調查,並加強異常偵查系統.但後來同類型的詐騙手法持續發生於小七的OPEN錢包,
令人遺憾.
c)銀行與OPEN錢包的「交易異常偵測系統」要持續強化
傳統上的異常交易偵測技術可粗略分為兩類:
一、規則式偵測技術(rule-based method):建立多比盜刷/異常行為規則,即時偵測交易
/刷卡異常。一些銀行是採用此傳統的老技術.
二、依靠巨量數據,人工智慧與機器學習(big data, AI and machine learning methods)
建立異常偵測模型:利用過去刷卡與交易紀錄的巨量數據,使用時間序列、聚類、深度學
習等機器學習與AI技術,訓練出一套偵測盜刷或異常交易的模型,比上述傳統的規則式異
常偵測技術來的更為精確有效。使用單位像是玉山銀行(2019年後)、Apple Pay, Line
Pay, Google Pay。
這是非常重要的,玉山金控科技長張智星受訪時強調:「這種規則式系統,每月需要人
工調整一次規則和參數,不僅難以捕捉快速變化的盜冒行為,還會產出大量異常名單,得
耗費大量人力一一打電話確認。為改善這個問題,玉山發起一項AI專案,要用刷卡歷史資
料,訓練一套信用卡盜刷偵測模型,來判斷盜刷風險。他們想藉此減輕銀行人力負荷、提
高辨識準確度。...這套模型在2020年替玉山阻擋了上億元的損失。」
如果是依靠技術一,其實在open錢包出事後很容易建立一個異常偵測規則來阻止詐騙.如果
是依靠技術二,模型訓練的好,詐騙集團連綁卡都綁不上.
總言之:
(1)驗證OTP簡訊必須講清楚是綁卡
(2)異常偵測系統抓包到異常行為
這些做好就可以有效阻止這次的詐騙.何況,7-11的open錢包本身是以小額支付為主,他們
的異常偵測系統竟然沒阻止短短幾小時內盜刷十幾萬,實在是不可思議.
(做個比較:一些ATM上限一天上線三萬)
在調查過程中,就不得不提國泰世華銀行的機警:其中一位受害者是國泰世華銀行的卡被盜
刷.幾天後,國泰世華銀行便宣布OPEN錢包綁訂本行卡於7-11門市交易,單筆限額最高
4,999元.雖然是一個很簡單的規則式條件,但是是有效的.如圖:
https://i.imgur.com/g3wfzSt.png
最後我希望大家將心比心,畢竟就如我之前提過,這種騙局可持續進化,讓你去大網站消費
也被盜刷.一種手法是配合網頁滲透與攻擊手法,將正規網站的信用卡支付頁面狸貓換太
子,成功綁卡後,便可連續(不需要OTP驗證)盜刷消費者的信用卡.
下一篇文章,我會談談此案更核心的主題:
如何有效地驗證你是你?你如何知道來驗證你身分的人真的有效的驗證者?也就是身分驗
證與策略、FIDO聯盟識別標準、信賴等級(level of assurance)、密碼學身分識別、中間
人攻擊(man-in-the-middle attack)等等核心的問題.
實際上,不少專家前輩都曾提及,法規與歐美國家相比,有不少待改善的部分.
可惜說者諄諄,聽者藐藐,希望能藉這次苦主的案子加以推動相關法規繼續前進.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.24.85.250 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1656688438.A.2E0.html
※ 編輯: Hseuler (114.24.85.250 臺灣), 07/01/2022 23:16:16
推
07/01 23:20,
1年前
, 1F
07/01 23:20, 1F
推
07/01 23:22,
1年前
, 2F
07/01 23:22, 2F
→
07/01 23:22,
1年前
, 3F
07/01 23:22, 3F
推
07/01 23:22,
1年前
, 4F
07/01 23:22, 4F
推
07/01 23:25,
1年前
, 5F
07/01 23:25, 5F
推
07/01 23:25,
1年前
, 6F
07/01 23:25, 6F
→
07/01 23:26,
1年前
, 7F
07/01 23:26, 7F
推
07/01 23:28,
1年前
, 8F
07/01 23:28, 8F
※ 編輯: Hseuler (114.24.85.250 臺灣), 07/01/2022 23:33:24
推
07/01 23:32,
1年前
, 9F
07/01 23:32, 9F
推
07/01 23:32,
1年前
, 10F
07/01 23:32, 10F
→
07/01 23:33,
1年前
, 11F
07/01 23:33, 11F
推
07/01 23:33,
1年前
, 12F
07/01 23:33, 12F
推
07/01 23:35,
1年前
, 13F
07/01 23:35, 13F
※ 編輯: Hseuler (114.24.85.250 臺灣), 07/01/2022 23:42:17
→
07/01 23:38,
1年前
, 14F
07/01 23:38, 14F
推
07/01 23:38,
1年前
, 15F
07/01 23:38, 15F
→
07/01 23:38,
1年前
, 16F
07/01 23:38, 16F
→
07/01 23:38,
1年前
, 17F
07/01 23:38, 17F
→
07/01 23:39,
1年前
, 18F
07/01 23:39, 18F
推
07/01 23:41,
1年前
, 19F
07/01 23:41, 19F
推
07/01 23:41,
1年前
, 20F
07/01 23:41, 20F
推
07/01 23:41,
1年前
, 21F
07/01 23:41, 21F
→
07/01 23:41,
1年前
, 22F
07/01 23:41, 22F
推
07/01 23:42,
1年前
, 23F
07/01 23:42, 23F
推
07/01 23:44,
1年前
, 24F
07/01 23:44, 24F
推
07/01 23:44,
1年前
, 25F
07/01 23:44, 25F
推
07/01 23:45,
1年前
, 26F
07/01 23:45, 26F
推
07/01 23:46,
1年前
, 27F
07/01 23:46, 27F
→
07/01 23:46,
1年前
, 28F
07/01 23:46, 28F
→
07/01 23:46,
1年前
, 29F
07/01 23:46, 29F
推
07/01 23:46,
1年前
, 30F
07/01 23:46, 30F
推
07/01 23:50,
1年前
, 31F
07/01 23:50, 31F
推
07/01 23:50,
1年前
, 32F
07/01 23:50, 32F
推
07/02 00:05,
1年前
, 33F
07/02 00:05, 33F
噓
07/02 00:08,
1年前
, 34F
07/02 00:08, 34F
→
07/02 00:08,
1年前
, 35F
07/02 00:08, 35F
→
07/02 00:08,
1年前
, 36F
07/02 00:08, 36F
→
07/02 00:08,
1年前
, 37F
07/02 00:08, 37F
還有 379 則推文
→
07/03 19:54,
1年前
, 417F
07/03 19:54, 417F
→
07/03 21:38,
1年前
, 418F
07/03 21:38, 418F
推
07/03 21:57,
1年前
, 419F
07/03 21:57, 419F
推
07/03 23:48,
1年前
, 420F
07/03 23:48, 420F
推
07/04 00:35,
1年前
, 421F
07/04 00:35, 421F
推
07/04 05:13,
1年前
, 422F
07/04 05:13, 422F
推
07/04 08:25,
1年前
, 423F
07/04 08:25, 423F
→
07/04 08:27,
1年前
, 424F
07/04 08:27, 424F
推
07/04 09:49,
1年前
, 425F
07/04 09:49, 425F
推
07/04 13:41,
1年前
, 426F
07/04 13:41, 426F
推
07/04 17:43,
1年前
, 427F
07/04 17:43, 427F
推
07/04 19:25,
1年前
, 428F
07/04 19:25, 428F
推
07/04 19:32,
1年前
, 429F
07/04 19:32, 429F
推
07/05 00:34,
1年前
, 430F
07/05 00:34, 430F
推
07/05 00:47,
1年前
, 431F
07/05 00:47, 431F
→
07/05 00:47,
1年前
, 432F
07/05 00:47, 432F
→
07/05 00:47,
1年前
, 433F
07/05 00:47, 433F
推
07/05 10:24,
1年前
, 434F
07/05 10:24, 434F
推
07/05 11:09,
1年前
, 435F
07/05 11:09, 435F
→
07/05 11:09,
1年前
, 436F
07/05 11:09, 436F
推
07/05 11:33,
1年前
, 437F
07/05 11:33, 437F
→
07/05 11:33,
1年前
, 438F
07/05 11:33, 438F
→
07/05 11:33,
1年前
, 439F
07/05 11:33, 439F
→
07/05 11:33,
1年前
, 440F
07/05 11:33, 440F
推
07/05 13:15,
1年前
, 441F
07/05 13:15, 441F
→
07/05 13:31,
1年前
, 442F
07/05 13:31, 442F
→
07/05 13:32,
1年前
, 443F
07/05 13:32, 443F
→
07/05 13:32,
1年前
, 444F
07/05 13:32, 444F
→
07/05 13:33,
1年前
, 445F
07/05 13:33, 445F
→
07/05 13:33,
1年前
, 446F
07/05 13:33, 446F
推
07/05 13:34,
1年前
, 447F
07/05 13:34, 447F
→
07/05 13:34,
1年前
, 448F
07/05 13:34, 448F
推
07/05 14:50,
1年前
, 449F
07/05 14:50, 449F
→
07/05 14:51,
1年前
, 450F
07/05 14:51, 450F
推
07/05 15:27,
1年前
, 451F
07/05 15:27, 451F
→
07/05 15:35,
1年前
, 452F
07/05 15:35, 452F
推
07/05 17:43,
1年前
, 453F
07/05 17:43, 453F
推
07/05 19:36,
1年前
, 454F
07/05 19:36, 454F
推
07/06 11:23,
1年前
, 455F
07/06 11:23, 455F
推
07/07 01:49,
1年前
, 456F
07/07 01:49, 456F
討論串 (同標題文章)
以下文章回應了本文 (最舊先):
完整討論串 (本文為第 2 之 8 篇):
