Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包
※ 引述《Hseuler (藍色貍貓)》之銘言:
: 我是幫苦主與幾位受害者調查與做數位鑑識此件事情的資安顧問.苦主被盜刷第一時間就
: 報警並聯絡我.在這次的事件中我用我的專業談談,並把一些版友友興趣的資訊上色強調:
謝謝分享。
不過本人也想分享些不太一樣的看法
雖然我完全沒參與案情,看在大家都是同行的份上交流一下,莫怪
: 1.苦主被盜刷的卡是滙豐銀行.
: 詐騙集團精心偽造某家第三方支付的刷卡頁面與3D驗證頁面,
: 並不是苦主傻傻把OTP直接交給詐騙集團.大家要小心假冒的第三方支付與3D驗證頁面!!
我想這就是許多人不太同意的地方
其實受害者真的蠻可憐的,但如果要檢討整件事情的來龍去脈的話
個人建議這邊反而要講清楚些
主要不是在檢討受害者
而是要來研究犯罪集團有多狠,多麼會利用人心,然後大家多容易被騙
基本上,在FB社群媒體跟不認識的人買東西,這就有很大的風險。
接著,大家一直無法了解,我們跟團或是跟群買東西,錢要繳給誰不是很關鍵嗎?
為何會被假冒小編的有心人欺騙去假網站,這邊是很讓人覺得不可思議的地方
其實很希望看到更詳細的過程,才能讓大家趨吉避凶,以後不要再被騙
至於3D驗證,說真的這機制本來就是用來保護銀行,而不是保護消費者的
因為只有消費者知道3D驗證的OTP密碼
密密麻麻的合約條款也寫了消費者有責任要保護與善用OTP密碼
所以只要是在OTP這邊出了問題,那就是消費者自己要負責任,銀行無責
大家都是同行,您好像也有這麼提醒苦主...
我自己是能不用3D就不用,但現在很難避免,只能希望FIDO趕快好好被利用...
: 最慘的是因為是綁卡,一次OTP,後面就不需要OTP了,連續盜刷累積十九萬
: 2.盜刷的當下,匯豐銀行告知是7-11線上購物,但實際上並不是(差點誤導我調查方向).
: 我仔細調查後確認是被詐騙集團綁上小七的OPEN錢包.
說真的,這不都是統一集團的東西嗎?
我是覺得一般人分不清楚7-11線上購物跟OP錢包有甚麼差別吧?
銀行好像也沒有要誤導您吧...
: 3.苦主被綁卡的時候,驗證簡訊只顯示1元的刷卡OTP,並沒有像apple pay或samsung pay顯
: 示是"綁卡".如金管會近日指示,必須講清楚到底是"綁卡"的temporary hold,還是真的1元
: 的消費.光這好步做好就可以阻止不少詐騙了.實際上,這些受害者頂多同意這一筆1元消
: 費,但可沒有同意後面那十幾萬的盜刷.銀行不應讓消費者承擔那些十幾萬元使用者沒有授
: 權的盜刷.
其實這段話是我想回文的原因,因為個人非常不同意
您的論述是消費者"只同意這一元消費"
但其實消費者交出OTP之後交出得更多,而不單單只是這筆交易
因為你我都知道,這個一元交易不是真正的交易,目的是要確認某些事情
比如說確認綁卡,確認身分,或是確認什麼的
而銀行在發出這個OTP資訊,也會說明這個刷一元的舉動不是真的交易
而整件事情的關鍵就在於消費者自投羅網,她去了壞人做的假網站
因此消費者自己啟動了第三人攻擊Man in the middle的行為
消費者以為她是在跟銀行聯絡,
1.消費者==>銀行,消費者提供個資(信用卡電話等)給銀行
2.銀行==>消費者,消費者的手機收到銀行發出的OTP簡訊
3.消費者==>銀行,消費者回報OTP簡訊,完成交易
但其實狀況應該是
1.消費者==>假網站,消費者提供個資(信用卡電話等)給壞人
2.壞人去金融機構註冊,目前看起來是去OP錢包做個綁卡的動作,個資還是真的
3.受害人的手機收到OP錢包發的OTP資訊,以為是銀行發的,因此回報給假網站/壞人
4.壞人拿著受害者提供的OTP資訊,完成OP錢包的註冊工作,綁卡成功。
另外一種可能是,壞人做的不是去OP錢包註冊
而根本是去修改金融機構的手機號碼
過程類似,就不贅述。
因此假網站很可怕,看不清楚原始網址的短網址也很可怕,我個人很怕去點...
言歸正傳,其實消費者就是一開始就被騙了提供個資
接著再被騙第二次而提供了OTP簡訊,讓壞人可以進行某些金融操作
這一切都是因為受害者被壞人騙了
個人覺得不能解釋成"受害者只同意一元交易而沒同意其他"...
至於十幾萬的損失
外商銀行額度給得高,查詢電話也比較少,不少消費者很喜歡免受騷擾的感覺。
苦主的額度可能是二十多萬,因此被盜刷了十九萬?
不太確定HSBC的風控如何進行,也許銀行都認為是正常交易
這邊就看看後續有沒有其他報導了...
: 4.7-11官方幾提供任何有用的資訊給苦主與其他受害者,例如到底是在哪家門市盜刷? 盜
: 刷什麼東西? 雖然盜刷當下立刻報警,案件轉至北市中山分局偵查佐那裏後,也很積極處
: 理,但7-11拖了一個月,有幾家門市的監視錄影器已經被洗掉了.
: 雖然我不是受害者,但其實讓我非常不高興,我協助受害者第一時間通知7-11 OPEN錢包客
: 服.事發隔天後也調出了門市,不告訴我們就算了,那麼為什麼警方發公文了,卻拖這麼久,
: 拖到影像被洗掉?
可能要看司法調查的結果了,才知道發生了甚麼
: 5.在7-11官方不願意提供有用資料的同時,倒是我當時靠另外一位受害者得到了一些關鍵
: 資訊,他用國泰世華銀行,反而是國泰世華銀行主動告知是在那些7-11門市刷卡.
: 6.為什麼詐騙集團專攻小七的open錢包而不是其他第三方支付/電子支付?吾人認為理由
: 有三.
: 其一,OPEN錢包的異常偵測機制沒在這些受害者中沒發揮作用.
: 其二,OPEN錢包在綁一些信用卡時,不會像samsung pay, apple pay的綁卡驗證簡訊上有明確
: 表示是綁卡,消費者會以為是一元消費簡訊或是刷卡測試.
: 其三,小七可以買到大量的gash點數洗錢,有興趣的人可以看看於余麗貞檢察長的投書.
: 實際上,我們資安團隊幫這些受害者們做了不少偵查與數位鑑識工作,掌握了詐騙集團的重
: 要數位跡證,已經交給警方,然敵暗我明,故細節不便公開詳談.然而有幾點值得改進的是:
: a)驗證簡訊必須講清楚是綁卡.這點前幾日金管會已經發布因應措施.這點蠻感謝立委鍾佳
: 濱委員,因為我本身是技術底出身,法制的部分還是要讓專業的來,我們當時通知了不少立
: 委,只有鍾立委回應我們而且非常積極處理.
: b)仔細追蹤後,我們發現這個詐騙集團已經囂張多時.如此嚴重的事情,7-11集團理應要找資
: 安團隊調查,並加強異常偵查系統.但後來同類型的詐騙手法持續發生於小七的OPEN錢包,
: 令人遺憾.
: c)銀行與OPEN錢包的「交易異常偵測系統」要持續強化
OP錢包的細節不太了解,這段無法評論。
不過我對OP錢包怨念很深啦,一堆點數很難用完
然後常常還被A點數,過年時換不到蛋捲,上周換不到辣炒飯
最惡劣的是APP的申訴機制根本形同虛設
申訴個十次才回一次吧,實在是讓人無奈
也許這個案子可以讓大家看到些進步
預祝苦主團隊申訴順遂!
: 傳統上的異常交易偵測技術可粗略分為兩類:
: 一、規則式偵測技術(rule-based method):建立多比盜刷/異常行為規則,即時偵測交易
: /刷卡異常。一些銀行是採用此傳統的老技術.
: 二、依靠巨量數據,人工智慧與機器學習(big data, AI and machine learning methods)
: 建立異常偵測模型:利用過去刷卡與交易紀錄的巨量數據,使用時間序列、聚類、深度學
: 習等機器學習與AI技術,訓練出一套偵測盜刷或異常交易的模型,比上述傳統的規則式異
: 常偵測技術來的更為精確有效。使用單位像是玉山銀行(2019年後)、Apple Pay, Line
: Pay, Google Pay。
: 這是非常重要的,玉山金控科技長張智星受訪時強調:「這種規則式系統,每月需要人
: 工調整一次規則和參數,不僅難以捕捉快速變化的盜冒行為,還會產出大量異常名單,得
: 耗費大量人力一一打電話確認。為改善這個問題,玉山發起一項AI專案,要用刷卡歷史資
: 料,訓練一套信用卡盜刷偵測模型,來判斷盜刷風險。他們想藉此減輕銀行人力負荷、提
: 高辨識準確度。...這套模型在2020年替玉山阻擋了上億元的損失。」
: 如果是依靠技術一,其實在open錢包出事後很容易建立一個異常偵測規則來阻止詐騙.如果
: 是依靠技術二,模型訓練的好,詐騙集團連綁卡都綁不上.
: 總言之:
: (1)驗證OTP簡訊必須講清楚是綁卡
: (2)異常偵測系統抓包到異常行為
: 這些做好就可以有效阻止這次的詐騙.何況,7-11的open錢包本身是以小額支付為主,他們
: 的異常偵測系統竟然沒阻止短短幾小時內盜刷十幾萬,實在是不可思議.
: (做個比較:一些ATM上限一天上線三萬)
個人很討厭這個上限
這就是因為壞人太多,太多人被騙,壞人又南抓,結果當局只好做出這種規定
沒錯你們苦主是不會再被騙鉅款了,頂多被騙三萬
但需要調動資金的合法使用者,就非常非常麻煩了...
: 在調查過程中,就不得不提國泰世華銀行的機警:其中一位受害者是國泰世華銀行的卡被盜
: 刷.幾天後,國泰世華銀行便宣布OPEN錢包綁訂本行卡於7-11門市交易,單筆限額最高
: 4,999元.雖然是一個很簡單的規則式條件,但是是有效的.如圖:
: https://i.imgur.com/g3wfzSt.png
說真的,我昨天剛剛用國泰世華的CUBE iCash卡在小七繳稅五千多塊
當場直接過卡自動加值五千,
但馬上有收到風管的手機關心,確認這筆消費的性質
一來很感謝銀行風險管理做得很徹底,
再來也感謝沒有限制只能交4999否則我就被卡住了...
這其實跟上面三萬的例子一樣
阻止了苦主損失五千塊以上的可能
但是也阻撓了合法使用者的權益,阻礙了金融科技的發展。。。
: 最後我希望大家將心比心,畢竟就如我之前提過,這種騙局可持續進化,讓你去大網站消費
: 也被盜刷.一種手法是配合網頁滲透與攻擊手法,將正規網站的信用卡支付頁面狸貓換太
: 子,成功綁卡後,便可連續(不需要OTP驗證)盜刷消費者的信用卡.
: 下一篇文章,我會談談此案更核心的主題:
: 如何有效地驗證你是你?你如何知道來驗證你身分的人真的有效的驗證者?也就是身分驗
: 證與策略、FIDO聯盟識別標準、信賴等級(level of assurance)、密碼學身分識別、中間
: 人攻擊(man-in-the-middle attack)等等核心的問題.
: 實際上,不少專家前輩都曾提及,法規與歐美國家相比,有不少待改善的部分.
: 可惜說者諄諄,聽者藐藐,希望能藉這次苦主的案子加以推動相關法規繼續前進.
這回的案子,改善法規就有用嗎?
個人覺得...
好吧,我們這幾年有資安管理法跟配套子法了,資安就更進步了對吧?
我想關鍵還是在人,awareness。
同志們仍須努力,我們且前行。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.24.17.150 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1656766635.A.283.html
推
07/02 21:02,
1年前
, 1F
07/02 21:02, 1F
→
07/02 21:04,
1年前
, 2F
07/02 21:04, 2F
→
07/02 21:04,
1年前
, 3F
07/02 21:04, 3F
→
07/02 21:04,
1年前
, 4F
07/02 21:04, 4F
→
07/02 21:04,
1年前
, 5F
07/02 21:04, 5F
→
07/02 21:05,
1年前
, 6F
07/02 21:05, 6F
→
07/02 21:05,
1年前
, 7F
07/02 21:05, 7F
→
07/02 21:06,
1年前
, 8F
07/02 21:06, 8F
→
07/02 21:06,
1年前
, 9F
07/02 21:06, 9F
推
07/02 21:07,
1年前
, 10F
07/02 21:07, 10F
→
07/02 21:07,
1年前
, 11F
07/02 21:07, 11F
推
07/02 21:10,
1年前
, 12F
07/02 21:10, 12F
→
07/02 21:10,
1年前
, 13F
07/02 21:10, 13F
推
07/02 21:10,
1年前
, 14F
07/02 21:10, 14F
→
07/02 21:12,
1年前
, 15F
07/02 21:12, 15F
→
07/02 21:12,
1年前
, 16F
07/02 21:12, 16F
→
07/02 21:12,
1年前
, 17F
07/02 21:12, 17F
→
07/02 21:13,
1年前
, 18F
07/02 21:13, 18F
→
07/02 21:13,
1年前
, 19F
07/02 21:13, 19F
→
07/02 21:14,
1年前
, 20F
07/02 21:14, 20F
→
07/02 21:14,
1年前
, 21F
07/02 21:14, 21F
→
07/02 21:15,
1年前
, 22F
07/02 21:15, 22F
→
07/02 21:16,
1年前
, 23F
07/02 21:16, 23F
→
07/02 21:16,
1年前
, 24F
07/02 21:16, 24F
→
07/02 21:17,
1年前
, 25F
07/02 21:17, 25F
推
07/02 21:21,
1年前
, 26F
07/02 21:21, 26F
→
07/02 21:21,
1年前
, 27F
07/02 21:21, 27F
→
07/02 21:21,
1年前
, 28F
07/02 21:21, 28F
推
07/02 21:21,
1年前
, 29F
07/02 21:21, 29F
→
07/02 21:21,
1年前
, 30F
07/02 21:21, 30F
→
07/02 21:21,
1年前
, 31F
07/02 21:21, 31F
推
07/02 21:25,
1年前
, 32F
07/02 21:25, 32F
→
07/02 21:34,
1年前
, 33F
07/02 21:34, 33F
→
07/02 21:34,
1年前
, 34F
07/02 21:34, 34F
推
07/02 21:35,
1年前
, 35F
07/02 21:35, 35F
→
07/02 21:35,
1年前
, 36F
07/02 21:35, 36F
推
07/02 21:36,
1年前
, 37F
07/02 21:36, 37F
→
07/02 21:36,
1年前
, 38F
07/02 21:36, 38F
→
07/02 21:36,
1年前
, 39F
07/02 21:36, 39F
還有 92 則推文
推
07/03 01:37,
1年前
, 132F
07/03 01:37, 132F
噓
07/03 08:11,
1年前
, 133F
07/03 08:11, 133F
推
07/03 08:32,
1年前
, 134F
07/03 08:32, 134F
→
07/03 08:33,
1年前
, 135F
07/03 08:33, 135F
推
07/03 09:09,
1年前
, 136F
07/03 09:09, 136F
→
07/03 09:10,
1年前
, 137F
07/03 09:10, 137F
→
07/03 09:10,
1年前
, 138F
07/03 09:10, 138F
→
07/03 09:12,
1年前
, 139F
07/03 09:12, 139F
推
07/03 09:13,
1年前
, 140F
07/03 09:13, 140F
→
07/03 09:13,
1年前
, 141F
07/03 09:13, 141F
推
07/03 09:18,
1年前
, 142F
07/03 09:18, 142F
→
07/03 09:18,
1年前
, 143F
07/03 09:18, 143F
推
07/03 09:22,
1年前
, 144F
07/03 09:22, 144F
→
07/03 09:26,
1年前
, 145F
07/03 09:26, 145F
→
07/03 09:26,
1年前
, 146F
07/03 09:26, 146F
推
07/03 09:52,
1年前
, 147F
07/03 09:52, 147F
→
07/03 09:53,
1年前
, 148F
07/03 09:53, 148F
→
07/03 10:09,
1年前
, 149F
07/03 10:09, 149F
推
07/03 11:09,
1年前
, 150F
07/03 11:09, 150F
推
07/03 11:34,
1年前
, 151F
07/03 11:34, 151F
→
07/03 11:35,
1年前
, 152F
07/03 11:35, 152F
推
07/03 12:07,
1年前
, 153F
07/03 12:07, 153F
→
07/03 12:07,
1年前
, 154F
07/03 12:07, 154F
推
07/03 12:08,
1年前
, 155F
07/03 12:08, 155F
→
07/03 12:08,
1年前
, 156F
07/03 12:08, 156F
→
07/03 13:15,
1年前
, 157F
07/03 13:15, 157F
→
07/03 13:15,
1年前
, 158F
07/03 13:15, 158F
推
07/03 14:41,
1年前
, 159F
07/03 14:41, 159F
→
07/03 14:41,
1年前
, 160F
07/03 14:41, 160F
→
07/03 14:41,
1年前
, 161F
07/03 14:41, 161F
→
07/03 14:41,
1年前
, 162F
07/03 14:41, 162F
→
07/03 14:41,
1年前
, 163F
07/03 14:41, 163F
推
07/03 16:19,
1年前
, 164F
07/03 16:19, 164F
→
07/03 16:20,
1年前
, 165F
07/03 16:20, 165F
→
07/03 16:21,
1年前
, 166F
07/03 16:21, 166F
→
07/03 16:23,
1年前
, 167F
07/03 16:23, 167F
→
07/03 16:24,
1年前
, 168F
07/03 16:24, 168F
→
07/03 16:26,
1年前
, 169F
07/03 16:26, 169F
推
07/04 15:50,
1年前
, 170F
07/04 15:50, 170F
→
07/05 12:55,
1年前
, 171F
07/05 12:55, 171F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 4 之 8 篇):
