OTP盜刷猖獗 金管會揭露常見3大犯案手法
金管會表示,目前信用卡的詐騙案件,詐騙集團多是以各種方式騙取民衆的信用卡卡號及OTP等交易資訊,再進行盜刷,或綁定在Apple Pay、Google Pay、Samsung Pay上進行盜刷交易。
金管會羅列出最常見的三大手法。第一,詐騙集團僞裝成社羣媒體上賣家粉絲專頁的小編,以向買家確認訂購資訊爲由,透過釣魚網頁騙取買家交易資訊;第二,以超優惠或限時搶購的「一頁式廣告」,誤導民衆購買廣告頁面上的假商品,並在進入假付款頁面後輸入交易資訊;第三,通知尚未繳納相關費用即將產生違約金、補稅,或公共事業費用繳款通知,或點數將過期的釣魚簡訊,使民衆誤信而點選簡訊上的連結網址,輸入交易資訊。
民衆如果誤信假網頁或釣魚簡訊,而不慎輸入信用卡卡號、效期等卡片相關資訊,金管會指出,由於OTP是進行信用卡網路交易,或綁定信用卡的過程中,確認持卡人身分的重要認證方式,持卡人在交易時,須輸入OTP,並經發卡機構授權後,才能得以完成交易,因此OTP對網路交易安全至關重要。
金管會提醒,民衆在網路上進行交易時,要注意兩大重點,一是仔細閱讀OTP驗證簡訊內容,消費者要仔細覈對簡訊內所寫的內容,與所進行交易的資訊,包含幣別、消費金額、目的,是否相符,如果不符,請不要將OTP輸入網頁,可以通知髮卡銀行協助瞭解;二是綁卡訊息,如果民衆沒有要進行或意圖綁定信用卡,卻收到髮卡銀行發送綁定完成的簡訊通知,應趕緊聯絡髮卡銀行了解原因及信用卡使用情況。
近期爲了防堵網路OTP盜刷,金管會已啓動三大措施。第一是調降交易門檻,信用卡網路交易即時通知門檻從5,000元調降至3,000元,髮卡銀行也可以風險考量,而採交易金額更低的通知門檻。
第二,強化OTP驗證簡訊內容。髮卡銀行傳送的OTP驗證簡訊,當中要寫明「目的」,如果是消費交易驗證,要包含刷卡消費金額,如果是綁定卡片驗證,簡訊內容要載明「綁定信用卡驗證」等文字。另金管會已要求所有髮卡銀行,第2季前OTP驗證簡訊的消費金額,幣別從英文代碼,一律改以中文顯示交易幣別。
第三,強化三大行動支付綁卡身份驗證。三大行動支付爲Apple Pay、Google Pay或Samsung Pay,金管會要求,申請人在綁定時,三大行動支付要提供手機門號資訊給髮卡銀行,髮卡銀行要確認與申請人留存在髮卡銀行的手機號碼一致,才能進行後續發送OTP驗證簡訊等身分驗證程序,以完成綁定。
金管會也要求髮卡銀行,持卡人完成綁定後,要即時以簡訊或電子郵件等方式,提醒持卡人已有行動裝置綁定其信用卡,該行動裝置已具行動信用卡的感應支付功能,並加入防詐警語。
金管會強調,民衆要慎防各式假消息、釣魚簡訊、一頁式廣告等詐騙,不要輕易點選來路不明的簡訊或網頁廣告所附連結網址,以保護信用卡卡號、OTP等個資安全,也務必仔細閱讀OTP驗證簡訊內容,確認與進行交易的幣別、消費金額及目的相符後,再進行交易或綁定。