[新聞] 永豐34名卡友遭盜刷逾百萬 金管會:疑因OTP密碼傳電子郵件遭駭

看板creditcard作者 (vyvian)時間1年前 (2023/02/01 05:01), 1年前編輯推噓31(321165)
留言198則, 50人參與, 1年前最新討論串1/4 (看更多)
1.媒體來源 聯合報 2.完整新聞標題 永豐34名卡友遭盜刷逾百萬 金管會:疑因OTP密碼傳電子郵件遭駭 3.完整新聞內文 在年假期間1月23日到29日,有超過30位永豐銀行信用卡卡友發現被盜刷,甚至能通過3D 驗證碼,因集中在1家銀行、且在短期內密集發生,引起金管會的注意。金管會銀行局今 表示,目前永豐銀行初步了解,是傳送給客戶的電子郵件中OTP過程被不法集團截取,目 前沒有收到其他銀行有類似情況,而客戶主張被盜刷,依照現行機制都會被列為爭議款, 並釐清後續責任歸屬。 銀行局副局長童政彰表示,目前了解,永豐銀行在1月23日到29日之間出現密集被盜刷的 情況,34位客戶在國外30家網路商店被盜刷、被盜刷達76筆,都是小額盜刷,總盜刷金額 約110萬元左右,平均盜刷金額約1萬元。 但為何集中在永豐銀行、且不法盜刷集團還能通過3D驗證碼?童政彰表示,特店與發卡行 都有導入3D驗證機制,客戶刷卡會收到驗證碼,經過永豐銀行初步分析,推測是客戶被盜 刷時,客戶的電子郵件中收OTP過程中有被被不法集團截取,但是實際的盜刷手法,銀行 還在查證中。 童政彰指出,每家銀行OTP採行的方式不同,大部分銀行傳送OTP是到手機,但也有部分銀 行是同步傳送到手機與email。因為是海外的網路商店,很難辨別是被盜刷還是客戶自己 意願購買,因此目前永豐銀行採取的機制,是先暫停把OTP發送到email。 其他銀行是否有類似情況發生?童政彰表示,各銀行都設有監控機制,這次永豐的案件是 在短期間密集發聲,永豐銀在接到客戶通報後,立即有啟動相關監視機制,目前沒有收到 其他銀行有通報在短期內被密集盜刷,後續會請聯卡中心密切注意。 4.心得 好奇永豐的email是怎麼被駭的。於是我查了一下之前的電子帳單。 發現最基本的加密都沒做,當然也沒有用憑證簽章。 https://imgur.com/ObU78S8
這樣的資安真的不行 數位發展部的通知信,內容沒有機敏資料都有做到加密與簽章了。 https://imgur.com/e1inR1P
5.完整新聞連結 (或短網址) https://udn.com/news/story/7239/6940025 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.76.128.77 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1675198870.A.872.html ※ 編輯: vyvian (42.76.128.77 臺灣), 02/01/2023 05:01:38

02/01 06:05, 1年前 , 1F
高調然後記者幫忙追,這發展是好的,只是金管會...
02/01 06:05, 1F

02/01 06:05, 1年前 , 2F
要真的會做事啊,永豐要不要全面檢討並強化資安啊
02/01 06:05, 2F

02/01 06:27, 1年前 , 3F
看了一下..好多家都沒有耶..邦邦發卡量更大的說
02/01 06:27, 3F

02/01 06:33, 1年前 , 4F
再往前翻幾年..只有花旗全部加密..前3大都沒有
02/01 06:33, 4F

02/01 06:34, 1年前 , 5F
不過大部分時間..永豐的繳款入帳通知都有加密
02/01 06:34, 5F

02/01 06:36, 1年前 , 6F
不認為是email加密不加密的關係..盜刷是針對永豐
02/01 06:36, 6F

02/01 06:38, 1年前 , 7F
盜刷者信用卡基本資料都有..而且還知道都是永豐的卡
02/01 06:38, 7F

02/01 06:49, 1年前 , 8F
台新、國泰也有email方式
02/01 06:49, 8F

02/01 07:15, 1年前 , 9F
想想現在開始還是先暫時停止刷永豐好了
02/01 07:15, 9F

02/01 07:20, 1年前 , 10F
我覺得不是email的問題
02/01 07:20, 10F

02/01 07:20, 1年前 , 11F
*不單只是email的問題
02/01 07:20, 11F

02/01 07:21, 1年前 , 12F
永豐問題很大
02/01 07:21, 12F

02/01 07:38, 1年前 , 13F
理論上通報被盜刷集中某一家銀行,最可能的原因不外
02/01 07:38, 13F

02/01 07:39, 1年前 , 14F
乎2種,1:這些持卡人其實是同一集團的人頭 2:銀行的
02/01 07:39, 14F

02/01 07:40, 1年前 , 15F
發送OTP流程中有環節出了問題. 通常3D驗證碼被攔截,
02/01 07:40, 15F

02/01 07:41, 1年前 , 16F
有種比較容易發生的可能是中了木馬,但這不太容易集
02/01 07:41, 16F

02/01 07:41, 1年前 , 17F
中在同一銀行
02/01 07:41, 17F

02/01 07:43, 1年前 , 18F
另一種相對微小的可能原因就大條了,銀行的相關資訊
02/01 07:43, 18F

02/01 07:44, 1年前 , 19F
系統(網站,網銀,行動銀app,信用卡app)本身就帶木馬,
02/01 07:44, 19F

02/01 07:44, 1年前 , 20F
不過這個可能性很小,因為駭客投資大,目前看來獲利小
02/01 07:44, 20F

02/01 07:44, 1年前 , 21F
如果直接駭Mail或OTP伺服器 再怎麼加密都沒用
02/01 07:44, 21F

02/01 07:45, 1年前 , 22F
不太合理. 像X大的客戶被盜買港股,那個至少獲利大多
02/01 07:45, 22F

02/01 07:45, 1年前 , 23F
02/01 07:45, 23F

02/01 07:49, 1年前 , 24F
直接駭Mail或OTP伺服器算是比較大工程,通常要就要幹
02/01 07:49, 24F

02/01 07:49, 1年前 , 25F
大票比較合理,因為想要細水長流積少成多,很快就會變
02/01 07:49, 25F

02/01 07:50, 1年前 , 26F
成通報人數大增串聯發聲上新聞. 我比較傾向是環節中
02/01 07:50, 26F

02/01 07:50, 1年前 , 27F
某處的某個內部小人物以為可以細水長流偷偷賺,比較
02/01 07:50, 27F

02/01 07:51, 1年前 , 28F
能解釋金額不大,通報人數目前也沒有爆炸. 從專業集
02/01 07:51, 28F

02/01 07:52, 1年前 , 29F
團也是要考慮時間及人力成本去思考,這人數和金額不
02/01 07:52, 29F

02/01 07:53, 1年前 , 30F
是很高. 專業駭客和電話詐騙型態不同,後者電話由電
02/01 07:53, 30F

02/01 07:54, 1年前 , 31F
腦自動撥,工作人員多數是不需技能免洗低成本,可以累
02/01 07:54, 31F

02/01 07:55, 1年前 , 32F
積小錢積少成多,這種電腦駭客,不太可能用長期賺小錢
02/01 07:55, 32F

02/01 07:56, 1年前 , 33F
的方式. 之前有次ATM吐鈔,那個就一次就要撈大的,真
02/01 07:56, 33F

02/01 07:57, 1年前 , 34F
人還要坐飛機人來,領了趕快跑. 越容易被察覺,就要一
02/01 07:57, 34F

02/01 07:57, 1年前 , 35F
次幹大票金額對駭客集團才划算
02/01 07:57, 35F

02/01 07:59, 1年前 , 36F
都推給客戶就好啦 這種情況應該檢討銀行發送過程是
02/01 07:59, 36F

02/01 07:59, 1年前 , 37F
否有瑕疵吧 不然34個客人信箱都有問題就你永豐最倒
02/01 07:59, 37F

02/01 07:59, 1年前 , 38F
楣被盜刷?
02/01 07:59, 38F

02/01 08:01, 1年前 , 39F
我建議金管會要求銀行提供由手機行動銀行app或信用
02/01 08:01, 39F
還有 119 則推文
02/01 11:00, 1年前 , 159F
如果有銀行堅持要自行開發client端,也是可以考慮入
02/01 11:00, 159F

02/01 11:00, 1年前 , 160F
網站方案,使用者只要先下載統一入口app,遇到該家銀
02/01 11:00, 160F

02/01 11:01, 1年前 , 161F
行卡就會提示先下載特定app,直接幫客戶跳store下載
02/01 11:01, 161F

02/01 11:01, 1年前 , 162F
02/01 11:01, 162F

02/01 11:01, 1年前 , 163F
更正上面漏字及錯誤,應該是入口app方案
02/01 11:01, 163F

02/01 11:12, 1年前 , 164F
筆記ing~~~
02/01 11:12, 164F

02/01 11:13, 1年前 , 165F
永豐不是小銀行耶~~超大!!
02/01 11:13, 165F

02/01 11:28, 1年前 , 166F
我的小銀行又外包沒有針對任何一家,我的意思是台灣
02/01 11:28, 166F

02/01 11:28, 1年前 , 167F
的銀行都是小銀行... XD
02/01 11:28, 167F

02/01 11:29, 1年前 , 168F
光看人數就是小銀行,而你的駭客敵人有世界交流協會
02/01 11:29, 168F

02/01 11:29, 1年前 , 169F
要當他合理的對手至少也要發卡組織,G家,M家,A家才合
02/01 11:29, 169F

02/01 11:30, 1年前 , 170F
理,這樣說其實不過分
02/01 11:30, 170F

02/01 11:57, 1年前 , 171F
重新定義小額
02/01 11:57, 171F

02/01 12:00, 1年前 , 172F
如果金管會確定是email問題的話 那大概就是客戶信箱
02/01 12:00, 172F

02/01 12:01, 1年前 , 173F
cookie被盜了 只能說不要亂點釣魚網站或下載來路不
02/01 12:01, 173F

02/01 12:01, 1年前 , 174F
明的軟體
02/01 12:01, 174F

02/01 12:02, 1年前 , 175F
不過會被盜特定一家的情況 也代表永豐有資料外洩了
02/01 12:02, 175F

02/01 12:09, 1年前 , 176F
其實有一些app或手機也有風險...我之前用悠xx的ap
02/01 12:09, 176F

02/01 12:09, 1年前 , 177F
p綁定交通卡,想說可以即時餘額多少,結果某天
02/01 12:09, 177F

02/01 12:09, 1年前 , 178F
我的帳號就被登出...登不進去自己的帳號,app還
02/01 12:09, 178F

02/01 12:09, 1年前 , 179F
會連到附近陌生人的聯名信用卡,上面赤裸的展現陌生
02/01 12:09, 179F

02/01 12:10, 1年前 , 180F
人的卡號==,我覺得超噁。後來和app的客服跟工程師
02/01 12:10, 180F

02/01 12:10, 1年前 , 181F
溝通更新app後才回歸正常...
02/01 12:10, 181F

02/01 12:25, 1年前 , 182F
永豐資安沒人?
02/01 12:25, 182F

02/01 13:13, 1年前 , 183F
永豐的資訊系統就是小銀行阿,真以為銀行只看交易
02/01 13:13, 183F

02/01 13:13, 1年前 , 184F
額比大小的嗎?
02/01 13:13, 184F

02/01 14:05, 1年前 , 185F
扯欸 這真的是金融機構?
02/01 14:05, 185F

02/01 17:38, 1年前 , 186F
人頭個鬼,我就是這次春節被盜刷的1/34啊==
02/01 17:38, 186F

02/01 18:28, 1年前 , 187F
手上的永豐只有很久沒用的保倍卡,之前就轉到pi卡扣
02/01 18:28, 187F

02/01 18:28, 1年前 , 188F
繳了,這次趁機直接打客服剪卡,連慰留都懶XD
02/01 18:28, 188F

02/01 18:55, 1年前 , 189F
新聞裡,銀行端的說法,是"客戶"的信箱被駭
02/01 18:55, 189F

02/01 18:55, 1年前 , 190F
持續否認銀行端的責任
02/01 18:55, 190F

02/01 18:56, 1年前 , 191F
這個說法根本不能解釋"集中一家"的情況
02/01 18:56, 191F

02/01 18:56, 1年前 , 192F
猜銀行端被駭的可能性比較高
02/01 18:56, 192F

02/02 01:24, 1年前 , 193F
好巧喔就剛好都永豐客戶被駭
02/02 01:24, 193F

02/02 09:51, 1年前 , 194F
就銀行端認證機制被駭這麼簡單
02/02 09:51, 194F

02/02 14:18, 1年前 , 195F
跟irent應該無關,他信用卡資訊都是加密保護的,聲
02/02 14:18, 195F

02/02 14:18, 1年前 , 196F
明有說到
02/02 14:18, 196F

02/02 19:52, 1年前 , 197F
明碼傳輸... 這太扯了 跟裸奔一樣
02/02 19:52, 197F

02/03 16:57, 1年前 , 198F
還好已剪卡
02/03 16:57, 198F
文章代碼(AID): #1ZsO6MXo (creditcard)
討論串 (同標題文章)
文章代碼(AID): #1ZsO6MXo (creditcard)