永豐銀卡友遭盜刷百萬 疑因OTP傳郵件遭截取
永豐銀行春節連假期間有34名卡友遭到盜刷,金額約110萬,由於有通過3D驗證碼,苦主們一度得要自行吸收,但金管會現在表示,永豐銀的OTP除了發送手機,也同步發送電子郵件,疑似在過程被不法集團截取,目前這些盜刷款都會被列為爭議款項,民眾不需要繳付。而資安專家則表示,很可能用戶曾點過釣魚連結,信箱已經被不法集團掌握,應盡速更換卡號和信箱密碼。
受害客戶PO網說新年被盜刷,但因為有寄送驗證碼,無法成功止付,難道只能自認倒楣?對此金管會也出手, 金管會銀行局副局長童政彰說:「遭到盜刷的這個都會列為爭議款項,客戶目前是不用去繳付這個被盜刷款項。」永豐銀此次盜刷事件共計34人遭盜刷,時間集中在1月23日到29日,盜刷共76筆,金額約110萬,大多在國外網路商店買遊戲點數,在30家商店小額盜刷。
一般刷卡消費時會有3D驗證機制刷卡,客戶手機就能收到OTP簡訊驗證碼,但永豐銀行同步還會傳送到信箱,懷疑就是在這裡遭不法集團截取。金管會銀行局副局長童政彰說:「他們是研判說,因為手機大概一般民眾都機不離身,所以他們認為說,是在使用電子郵件的過程,Email被截取了。」
資安專家說:「比如你點了這個釣魚的郵件之後,就代表你同意以後用這個Email來驗證,那Email驗證一當你同意的時候,你有可能就已經被植入,或是你在Email驗證也同時被導入到另一個不是你的Email上面。」資安專家判斷,不排除曾點過釣魚連結,讓嫌犯取得信箱密碼,部分銀行信用卡為方便海外消費,會讓民眾OTP密碼簡訊跟Email都能選擇,對此永豐銀也回應,將以爭議帳款處理,民眾不需付盜刷款項,也將協助停卡換卡,要避免客戶再成為盜刷集團的肥羊。