作者Hseuler (蓝色狸猫)
看板creditcard
标题Re: [新闻] 盗刷新招 慎防1元消费简讯
时间Thu Jun 30 02:25:44 2022
这几位苦主出事,并不是自己蠢到把OTP告诉别人
而是诈骗集团精心伪造出一个刷卡页面(伪装成某家第三方支付)
让你刷卡後 再跑出伪造的3d验证页面
让你乖乖把OTP输入上去
这次的诈骗不是买什麽一页式购物诈骗
而是苦主们 与道道地地的芒果果农经营的粉丝团下订单
这些果农都老实做生意的 没想到诈骗集团竟然伪装成小帮手
给苦主们 "订购单" 跟伪造的第三方支付刷卡还有3d验证页面
顺序
1)诈骗集团伪装成芒果农粉丝页的小帮手,提供订购单给你
2)订购单是一个精心布置、伪造的刷卡页面(某家第三方支付)
3)你乖乖填入信用卡相关资讯後,会传一个OTP简讯给你
(金额是一元,类似许多网站的刷卡测试)
4)伪造3D验正页面,诱导你乖乖输入OTP验证码
5)你输入後,实际上是骗子把你的卡绑在某第三方支付,根据新闻报导
有一些case是绑上7-11的open钱包
6)骗子的车手集团们,开始在7-11等便利商店疯狂购买游戏点数
因为已经绑卡了,接下来不需要OTP验证码,刷到银行发现不对联络你
或是你被疯狂刷了几十万,赶快打电话向银行停卡
我所知道最惨的状况是,有人被刷掉超过蔡总统一个月的薪水....
我认识的苦主们都是短短几小时内被刷了几万块 甚至十几万台币
最贼的是,他们还会假好心跟你说 你多买几盒有优惠
然後问你一些细节 芒果要怎麽装等等 一副俨然就是芒果专业卖家的小帮手
如果你急着买一个几百块的芒果
也没特别研究这个刷卡页面是真是假
在加上这些"假小帮手"的专业与亲切感
很容易就中招被骗 何况一般人谁会想到只是买个芒果
损失顶多几百块 怎麽一下十几万台币就喷掉了
我再跟你们说接下来诈骗集团 可能更进阶版的进化玩法:
攻击一些正规网站的金流系统 狸猫换太子
让你在正规网站上 乖乖交出信用卡资讯与OTP
你的确是在正规购物网站买东西
但正规网站的信用卡付款页面被掉包 狸猫换太子
你照样收到OTP验证简讯 输入後 立刻绑卡 接下来疯狂盗刷
然後因为是绑卡 接下来就不会有任何OTP警示
短短几小时之内就把数十万搬走了
所以大家将心比心 不要看到OTP交出去就以为是受害者蠢
这个骗局恐怕会持续进化 搞不好进化後 你去你常去的某家网站购物
就是下一个是害者
我知到这次的诈骗案件中,最惨的例子是
有人被刷到超越蔡英文总统一个月的薪水
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.24.109.44 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1656527149.A.D9E.html
※ 编辑: Hseuler (114.24.109.44 台湾), 06/30/2022 02:32:56
※ 编辑: Hseuler (114.24.109.44 台湾), 06/30/2022 02:43:43
1F:推 BNYMellon: 我扫码就好 06/30 02:57
2F:推 RaiGend0519: 结论是用该平台自己的软体或APP刷最安全 06/30 03:59
3F:→ RaiGend0519: 除非跟对岸一样连Steam都能载到假的 06/30 04:00
4F:→ ppptofff: 不懂,所以是fb粉专被盗?? 06/30 04:38
不是 冒充成粉专的小帮手 有果农还以为是其他竞争果农来截单
没想到是诈骗集团
5F:推 sggs: 以前会有人把网购卡的额度调低,古早的智慧有其道理xd 06/30 06:48
6F:推 w71023: OTP 不利於持卡人 夭寿可怕 06/30 08:30
7F:推 tonyian: fb粉专不用被盗,很多喜欢装作管理员说现在做活动把你带 06/30 08:33
8F:→ tonyian: 到其他平台例如line ,然後限时活动超级便宜就会一堆人 06/30 08:33
9F:→ tonyian: 上钩了 06/30 08:33
10F:推 alloc: 虽然有点事後诸葛 但这种方式看OTP简讯内的刷卡金额不就能 06/30 08:35
11F:→ alloc: 发觉有问题了吗 06/30 08:35
你只会看到刷1元,不会有绑卡提示,很多人看了以为只是果农在做测试
12F:推 willieliu: 所以最根本的解法就是像亚马逊那样,不使用OTP,这样 06/30 08:40
13F:→ willieliu: 风险就不会转到消费者身上,而银行有专门的法务,看是 06/30 08:40
14F:→ willieliu: 要报案还是钓大鱼,都比一般个人消费者有力量。 06/30 08:40
15F:→ kkkk1234: 亚马逊有时甚至不用CSC 06/30 08:48
16F:→ hsinyuan0104: 只要确认在正规网站交易即可,该网站如何被攻击,被盗 06/30 08:55
17F:→ hsinyuan0104: 刷的责任还是在该网站 06/30 08:55
18F:推 longsre: 不懂耶,每笔otp密码不是都有限定单笔订单刷卡金额?要怎 06/30 09:10
19F:→ longsre: 麽绑定otp狂刷? 06/30 09:10
就你订ubereats或搭Uber一样 绑一次卡後
後面爱怎麽刷就怎麽刷 不会再有任何OTP 直到银行发现不对劲打电话给你
20F:推 windsson: 就跟你街口绑卡第一次试刷通过後,後面都不用再OTP阿 06/30 09:13
21F:→ windsson: 後面支付验证的是跟着手机持有者 06/30 09:14
22F:→ windsson: 那盗刷的如果是绑AP/GP之类的,就可以到处刷了 06/30 09:14
23F:→ windsson: 顺序是1.持卡人进钓鱼网站输入卡号 2.诈骗取得卡号绑定 06/30 09:16
24F:→ windsson: 3.持卡人於跳转的假OTP页面输入认证码 06/30 09:17
25F:→ windsson: 4.诈骗取得OTP认证码,输入绑定的装置 06/30 09:17
26F:→ windsson: 5.诈骗集团使用绑定的卡片到处盗刷 06/30 09:18
27F:→ windsson: 步骤3如果持卡人发现金额怪怪的(只有1元2元) 06/30 09:19
28F:→ windsson: 诈骗集团应该也会有教战手则看怎麽回应吧 06/30 09:20
没错 就是你说的顺序 被刷1元,一般人看到1元都会觉得是在测试
就如同很多正常订阅网站 一开始都会先刷一元新台币或一美金
而且即便你质疑 那些诈骗集团都想好说词了
29F:推 alloc: 你发现金额不对还给出OTP就自己蠢了啊... 06/30 09:23
30F:推 ABSURDISMM: 这种绑定通常都是AP.GP,绑好後可无限制开刷不再需要 06/30 09:44
31F:→ ABSURDISMM: 任何验证...这算诈骗不是盗刷,银行会认帐吗... 06/30 09:44
32F:→ chris0123: 首购小盒优惠1元,该笔订单限购一盒。OTP get 06/30 10:02
33F:推 rophynaa: 推解说... 06/30 10:25
34F:推 pushwow: 不是啊 ,每次新闻都不说清楚诈骗手法细节,如果是假的3D 06/30 10:28
35F:→ pushwow: 认证 那真的要小心! 06/30 10:28
36F:推 jim2100: 推解说 06/30 10:42
37F:推 willieliu: OTP名义上是为了安全,事实上就是想把风险转嫁给消费 06/30 12:32
38F:→ willieliu: 者,就像DCC名义上是为了消费者方便换算,实际上就是 06/30 12:32
39F:→ willieliu: 银行想多赚一点汇差 06/30 12:32
40F:→ willieliu: 如果OTP真的这麽安全又先进,那为什麽亚马逊、苹果等 06/30 12:34
41F:→ willieliu: 不用?他们应该不落後吧?事实上OTP的安全只是对银行安 06/30 12:34
42F:→ willieliu: 全XD 06/30 12:34
43F:→ prussian: 叫小商家学amazon自己侦测盗刷你不如叫他们直接去死死 06/30 12:46
44F:→ prussian: 何不食肉糜 06/30 12:46
45F:推 qi3qi3: 谢谢原po跟推文说明,本来还觉得是被骗的人笨... 06/30 13:06
46F:→ qi3qi3: 可以预防的就是不要点来路不明的网站 06/30 13:18
47F:→ tomsawyer: 试刷/绑卡就$1而已 推文要怎麽觉得金额不对 而且之後 06/30 13:34
48F:→ tomsawyer: 就不会再有otp简讯了 06/30 13:34
49F:推 xru03: 推说明 06/30 13:36
50F:推 winsonwu: 推说明 06/30 13:42
51F:推 Rock0930: 推说明 06/30 13:48
52F:推 alloc: 单纯买东西会试刷吗?小心谨慎点还是可以预防的 06/30 13:49
53F:→ ppptofff: 绑ap gp不是会寄简讯通知有绑?? 06/30 13:55
54F:推 away612101: 世界上这麽多三方诈骗,他们都是没对金额才被骗吗? 06/30 13:59
55F:推 shawncarter: 推说明 06/30 15:26
56F:推 rail02000: 如果诈骗集团说刷1元是试刷不会请款,可能也会相信 06/30 16:18
57F:→ rail02000: 更不用说有些银行的OTP简讯不会写上交易金额...... 06/30 16:18
58F:→ dantes1013: 有些OTP内容只有密码和效期,不会有金额或刷卡地点 06/30 16:39
59F:推 alloc: 不知道银行对於钓鱼网站 简讯内容资讯不足导致持卡人OTP 06/30 16:58
60F:→ alloc: 外泄会怎麽处理就是了 06/30 16:58
※ 编辑: Hseuler (114.24.85.250 台湾), 06/30/2022 17:22:16
61F:推 klyuch: 所以说最好不要FB购物,要的话请卖家提供购物平台上的店舖 06/30 18:24
62F:→ klyuch: 直接下单,或是直接转帐。 06/30 18:24
63F:推 nikitony2001: 所以原文是被假粉专的私讯导到钓鱼网站的吗? 06/30 18:55
64F:推 vyvian: OTP早就已经被认证为不安全机制了,只有银行业还紧抱 06/30 19:46
66F:推 prowhitej: 推,不过看回文感觉很多人不懂倒数第二段的意思 06/30 21:25
67F:推 LazyICE: 推说明 不过如果是绑定的OTP画面 那银行加注说明也没用 06/30 21:35
68F:→ LazyICE: 除非银行还能抓到是不是绑定的门号输入的网页 (光想就 06/30 21:35
69F:→ LazyICE: 觉得有难度了) 06/30 21:35
70F:推 starcat22310: 推说明 会被伪装小帮手骗也是太不小心了 不是粉专本 06/30 22:03
71F:→ starcat22310: 号的回覆 也不是在常在粉专里常发公告的帐号 不该轻 06/30 22:03
72F:→ starcat22310: 易相信 06/30 22:03
73F:→ starcat22310: 而且一般购物没有在试刷1元的吧 只有支付会试刷(讲 06/30 22:05
74F:→ starcat22310: 来提醒自己 06/30 22:05
75F:推 kkkk1234: 如果金管会要求OTP通知都要包含特约商店、交易金额、卡 06/30 22:18
76F:→ kkkk1234: 号末四码、交易时间 这些都有显示在3D验证的画面 把这 06/30 22:18
77F:→ kkkk1234: 些资讯一并告知使用者才能让使用者核对 钓鱼成功的机会 06/30 22:18
79F:→ kkkk1234: 最好还要让网银都能查到原始交易币别以及刷卡店家 06/30 22:18
80F:推 kevin82222: 就算後续刷卡不用验证 但现在银行不都有简讯或app 06/30 22:30
81F:→ kevin82222: 及时推播通知吗? 06/30 22:30
82F:→ kevin82222: 这样至少被盗刷能马上知道 不用等银行发现才处理 06/30 22:32
83F:推 tonyian: 希望金管会要求要有otp 做入网银app内的让消费者选择 06/30 22:44
84F:推 vyvian: 现在报税都能用月租型行动门号做身分认证了 06/30 22:47
85F:→ vyvian: 第三方支付业者没道理还继续用OTP这种不安全的方式做绑卡 06/30 22:47
86F:→ vyvian: 问题根源还是在绑卡方式不安全所致 06/30 22:48
87F:推 lilicoco777: 後面有一段写:「在正规网站购物,付款页面却被调包.. 07/01 00:41
88F:→ lilicoco777: .」这有发生过?那也太吓人了吧! 07/01 00:41
90F:→ Go2: 看各家银行 OTP 可否像这个导入店家名称 07/01 22:01
91F:→ peter173: 千万不要认为1元就是诈骗,诈骗也会刷正常金额。假卖家/ 07/02 08:41
92F:→ peter173: 假客服/假网页/假简讯,都会让你掉入陷阱 07/02 08:41
93F:推 wed1979: 所以我信用卡会绑定line,只要有即时刷卡讯息我都会特别 07/03 02:36
94F:→ wed1979: 开来看 07/03 02:36