1.媒體來源
聯合報
2.完整新聞標題
永豐34名卡友遭盜刷逾百萬 金管會:疑因OTP密碼傳電子郵件遭駭
3.完整新聞內文
在年假期間1月23日到29日,有超過30位永豐銀行信用卡卡友發現被盜刷,甚至能通過3D
驗證碼,因集中在1家銀行、且在短期內密集發生,引起金管會的注意。金管會銀行局今
表示,目前永豐銀行初步了解,是傳送給客戶的電子郵件中OTP過程被不法集團截取,目
前沒有收到其他銀行有類似情況,而客戶主張被盜刷,依照現行機制都會被列為爭議款,
並釐清後續責任歸屬。
銀行局副局長童政彰表示,目前了解,永豐銀行在1月23日到29日之間出現密集被盜刷的
情況,34位客戶在國外30家網路商店被盜刷、被盜刷達76筆,都是小額盜刷,總盜刷金額
約110萬元左右,平均盜刷金額約1萬元。
但為何集中在永豐銀行、且不法盜刷集團還能通過3D驗證碼?童政彰表示,特店與發卡行
都有導入3D驗證機制,客戶刷卡會收到驗證碼,經過永豐銀行初步分析,推測是客戶被盜
刷時,客戶的電子郵件中收OTP過程中有被被不法集團截取,但是實際的盜刷手法,銀行
還在查證中。
童政彰指出,每家銀行OTP採行的方式不同,大部分銀行傳送OTP是到手機,但也有部分銀
行是同步傳送到手機與email。因為是海外的網路商店,很難辨別是被盜刷還是客戶自己
意願購買,因此目前永豐銀行採取的機制,是先暫停把OTP發送到email。
其他銀行是否有類似情況發生?童政彰表示,各銀行都設有監控機制,這次永豐的案件是
在短期間密集發聲,永豐銀在接到客戶通報後,立即有啟動相關監視機制,目前沒有收到
其他銀行有通報在短期內被密集盜刷,後續會請聯卡中心密切注意。
4.心得
好奇永豐的email是怎麼被駭的。於是我查了一下之前的電子帳單。
發現最基本的加密都沒做,當然也沒有用憑證簽章。
https://imgur.com/ObU78S8
這樣的資安真的不行
數位發展部的通知信,內容沒有機敏資料都有做到加密與簽章了。
https://imgur.com/e1inR1P
5.完整新聞連結 (或短網址)
https://udn.com/news/story/7239/6940025