1.媒體來源
聯合報
2.完整新聞標題
永豐34名卡友遭盜刷逾百萬 金管會:疑因OTP密碼傳電子郵件遭駭
3.完整新聞內文
在年假期間1月23日到29日,有超過30位永豐銀行信用卡卡友發現被盜刷,甚至能通過3D
驗證碼,因集中在1家銀行、且在短期內密集發生,引起金管會的注意。金管會銀行局今
表示,目前永豐銀行初步了解,是傳送給客戶的電子郵件中OTP過程被不法集團截取,目
前沒有收到其他銀行有類似情況,而客戶主張被盜刷,依照現行機制都會被列為爭議款,
並釐清後續責任歸屬。
銀行局副局長童政彰表示,目前了解,永豐銀行在1月23日到29日之間出現密集被盜刷的
情況,34位客戶在國外30家網路商店被盜刷、被盜刷達76筆,都是小額盜刷,總盜刷金額
約110萬元左右,平均盜刷金額約1萬元。
但為何集中在永豐銀行、且不法盜刷集團還能通過3D驗證碼?童政彰表示,特店與發卡行
都有導入3D驗證機制,客戶刷卡會收到驗證碼,經過永豐銀行初步分析,推測是客戶被盜
刷時,客戶的電子郵件中收OTP過程中有被被不法集團截取,但是實際的盜刷手法,銀行
還在查證中。
童政彰指出,每家銀行OTP採行的方式不同,大部分銀行傳送OTP是到手機,但也有部分銀
行是同步傳送到手機與email。因為是海外的網路商店,很難辨別是被盜刷還是客戶自己
意願購買,因此目前永豐銀行採取的機制,是先暫停把OTP發送到email。
其他銀行是否有類似情況發生?童政彰表示,各銀行都設有監控機制,這次永豐的案件是
在短期間密集發聲,永豐銀在接到客戶通報後,立即有啟動相關監視機制,目前沒有收到
其他銀行有通報在短期內被密集盜刷,後續會請聯卡中心密切注意。
4.心得
好奇永豐的email是怎麼被駭的。於是我查了一下之前的電子帳單。
發現最基本的加密都沒做,當然也沒有用憑證簽章。
https://imgur.com/ObU78S8這樣的資安真的不行
數位發展部的通知信,內容沒有機敏資料都有做到加密與簽章了。
https://imgur.com/e1inR1P5.完整新聞連結 (或短網址)
https://udn.com/news/story/7239/6940025--
barkids1樓高調然後記者幫忙追,這發展是好的,只是金管會... 02/01 06:05
→ barkids2樓要真的會做事啊,永豐要不要全面檢討並強化資安啊 02/01 06:05
→ cityport3樓看了一下..好多家都沒有耶..邦邦發卡量更大的說 02/01 06:27
→ cityport4樓再往前翻幾年..只有花旗全部加密..前3大都沒有 02/01 06:33
→ cityport5樓不過大部分時間..永豐的繳款入帳通知都有加密 02/01 06:34
→ cityport6樓不認為是email加密不加密的關係..盜刷是針對永豐 02/01 06:36
→ cityport7樓盜刷者信用卡基本資料都有..而且還知道都是永豐的卡 02/01 06:38
→ a72948樓台新、國泰也有email方式 02/01 06:49
fairbankslin9樓想想現在開始還是先暫時停止刷永豐好了 02/01 07:15
→ peter9810樓我覺得不是email的問題 02/01 07:20
→ peter9811樓*不單只是email的問題 02/01 07:20
jmt125912樓永豐問題很大 02/01 07:21
→ bitlife13樓理論上通報被盜刷集中某一家銀行,最可能的原因不外 02/01 07:38
→ bitlife14樓乎2種,1:這些持卡人其實是同一集團的人頭 2:銀行的 02/01 07:39
→ bitlife15樓發送OTP流程中有環節出了問題. 通常3D驗證碼被攔截, 02/01 07:40
→ bitlife16樓有種比較容易發生的可能是中了木馬,但這不太容易集 02/01 07:41
→ bitlife17樓中在同一銀行 02/01 07:41
→ bitlife18樓另一種相對微小的可能原因就大條了,銀行的相關資訊 02/01 07:43
→ bitlife19樓系統(網站,網銀,行動銀app,信用卡app)本身就帶木馬, 02/01 07:44
→ bitlife20樓不過這個可能性很小,因為駭客投資大,目前看來獲利小 02/01 07:44
→ xkp7458021樓如果直接駭Mail或OTP伺服器 再怎麼加密都沒用 02/01 07:44
→ bitlife22樓不太合理. 像X大的客戶被盜買港股,那個至少獲利大多 02/01 07:45
→ bitlife23樓了 02/01 07:45
→ bitlife24樓直接駭Mail或OTP伺服器算是比較大工程,通常要就要幹 02/01 07:49
→ bitlife25樓大票比較合理,因為想要細水長流積少成多,很快就會變 02/01 07:49
→ bitlife26樓成通報人數大增串聯發聲上新聞. 我比較傾向是環節中 02/01 07:50
→ bitlife27樓某處的某個內部小人物以為可以細水長流偷偷賺,比較 02/01 07:50
→ bitlife28樓能解釋金額不大,通報人數目前也沒有爆炸. 從專業集 02/01 07:51
→ bitlife29樓團也是要考慮時間及人力成本去思考,這人數和金額不 02/01 07:52
→ bitlife30樓是很高. 專業駭客和電話詐騙型態不同,後者電話由電 02/01 07:53
