我是幫苦主與幾位受害者調查與做數位鑑識此件事情的資安顧問.苦主被盜刷第一時間就
報警並聯絡我.在這次的事件中我用我的專業談談,並把一些版友友興趣的資訊上色強調:
1.苦主被盜刷的卡是滙豐銀行.
詐騙集團精心偽造某家第三方支付的刷卡頁面與3D驗證頁面,
並不是苦主傻傻把OTP直接交給詐騙集團.大家要小心假冒的第三方支付與3D驗證頁面!!
最慘的是因為是綁卡,一次OTP,後面就不需要OTP了,連續盜刷累積十九萬
2.盜刷的當下,匯豐銀行告知是7-11線上購物,但實際上並不是(差點誤導我調查方向).
我仔細調查後確認是被詐騙集團綁上小七的OPEN錢包.
3.苦主被綁卡的時候,驗證簡訊只顯示1元的刷卡OTP,並沒有像apple pay或samsung pay顯
示是"綁卡".如金管會近日指示,必須講清楚到底是"綁卡"的temporary hold,還是真的1元
的消費.光這好步做好就可以阻止不少詐騙了.實際上,這些受害者頂多同意這一筆1元消
費,但可沒有同意後面那十幾萬的盜刷.銀行不應讓消費者承擔那些十幾萬元使用者沒有授
權的盜刷.
4.7-11官方幾提供任何有用的資訊給苦主與其他受害者,例如到底是在哪家門市盜刷? 盜
刷什麼東西? 雖然盜刷當下立刻報警,案件轉至北市中山分局偵查佐那裏後,也很積極處
理,但7-11拖了一個月,有幾家門市的監視錄影器已經被洗掉了.
雖然我不是受害者,但其實讓我非常不高興,我協助受害者第一時間通知7-11 OPEN錢包客
服.事發隔天後也調出了門市,不告訴我們就算了,那麼為什麼警方發公文了,卻拖這麼久,
拖到影像被洗掉?
5.在7-11官方不願意提供有用資料的同時,倒是我當時靠另外一位受害者得到了一些關鍵
資訊,他用國泰世華銀行,反而是國泰世華銀行主動告知是在那些7-11門市刷卡.
6.為什麼詐騙集團專攻小七的open錢包而不是其他第三方支付/電子支付?吾人認為理由
有三.
其一,OPEN錢包的異常偵測機制沒在這些受害者中沒發揮作用.
其二,OPEN錢包在綁一些信用卡時,不會像samsung pay, apple pay的綁卡驗證簡訊上有明確
表示是綁卡,消費者會以為是一元消費簡訊或是刷卡測試.
其三,小七可以買到大量的gash點數洗錢,有興趣的人可以看看於余麗貞檢察長的投書.
實際上,我們資安團隊幫這些受害者們做了不少偵查與數位鑑識工作,掌握了詐騙集團的重
要數位跡證,已經交給警方,然敵暗我明,故細節不便公開詳談.然而有幾點值得改進的是:
a)驗證簡訊必須講清楚是綁卡.這點前幾日金管會已經發布因應措施.這點蠻感謝立委鍾佳
濱委員,因為我本身是技術底出身,法制的部分還是要讓專業的來,我們當時通知了不少立
委,只有鍾立委回應我們而且非常積極處理.
b)仔細追蹤後,我們發現這個詐騙集團已經囂張多時.如此嚴重的事情,7-11集團理應要找資
安團隊調查,並加強異常偵查系統.但後來同類型的詐騙手法持續發生於小七的OPEN錢包,
令人遺憾.
c)銀行與OPEN錢包的「交易異常偵測系統」要持續強化
傳統上的異常交易偵測技術可粗略分為兩類:
一、規則式偵測技術(rule-based method):建立多比盜刷/異常行為規則,即時偵測交易
/刷卡異常。一些銀行是採用此傳統的老技術.
二、依靠巨量數據,人工智慧與機器學習(big data, AI and machine learning methods)
建立異常偵測模型:利用過去刷卡與交易紀錄的巨量數據,使用時間序列、聚類、深度學
習等機器學習與AI技術,訓練出一套偵測盜刷或異常交易的模型,比上述傳統的規則式異
常偵測技術來的更為精確有效。使用單位像是玉山銀行(2019年後)、Apple Pay, Line
Pay, Google Pay。
這是非常重要的,玉山金控科技長張智星受訪時強調:「這種規則式系統,每月需要人
工調整一次規則和參數,不僅難以捕捉快速變化的盜冒行為,還會產出大量異常名單,得
耗費大量人力一一打電話確認。為改善這個問題,玉山發起一項AI專案,要用刷卡歷史資
料,訓練一套信用卡盜刷偵測模型,來判斷盜刷風險。他們想藉此減輕銀行人力負荷、提
高辨識準確度。...這套模型在2020年替玉山阻擋了上億元的損失。」
如果是依靠技術一,其實在open錢包出事後很容易建立一個異常偵測規則來阻止詐騙.如果
是依靠技術二,模型訓練的好,詐騙集團連綁卡都綁不上.
總言之:
(1)驗證OTP簡訊必須講清楚是綁卡
(2)異常偵測系統抓包到異常行為
這些做好就可以有效阻止這次的詐騙.何況,7-11的open錢包本身是以小額支付為主,他們
的異常偵測系統竟然沒阻止短短幾小時內盜刷十幾萬,實在是不可思議.
(做個比較:一些ATM上限一天上線三萬)
在調查過程中,就不得不提國泰世華銀行的機警:其中一位受害者是國泰世華銀行的卡被盜
刷.幾天後,國泰世華銀行便宣布OPEN錢包綁訂本行卡於7-11門市交易,單筆限額最高
4,999元.雖然是一個很簡單的規則式條件,但是是有效的.如圖:
https://i.imgur.com/g3wfzSt.png
最後我希望大家將心比心,畢竟就如我之前提過,這種騙局可持續進化,讓你去大網站消費
也被盜刷.一種手法是配合網頁滲透與攻擊手法,將正規網站的信用卡支付頁面狸貓換太
子,成功綁卡後,便可連續(不需要OTP驗證)盜刷消費者的信用卡.
下一篇文章,我會談談此案更核心的主題:
如何有效地驗證你是你?你如何知道來驗證你身分的人真的有效的驗證者?也就是身分驗
證與策略、FIDO聯盟識別標準、信賴等級(level of assurance)、密碼學身分識別、中間
人攻擊(man-in-the-middle attack)等等核心的問題.
實際上,不少專家前輩都曾提及,法規與歐美國家相比,有不少待改善的部分.
可惜說者諄諄,聽者藐藐,希望能藉這次苦主的案子加以推動相關法規繼續前進.
--