作者lf2net4589 (Ray)
看板creditcard
标题Re: [问题] 我被以3D验证码通过的方式盗刷了
时间Fri Jan 27 20:51:44 2023
※ 引述《peterkan (Peter)》之铭言:
: 这蛮诡异的.
: 对方要用3D认证盗刷应该要有以下条件,而且缺一不可:
: 1. 卡片上的相关讯息 (用实体卡可能会被盗录,也有可能是购物网站资料被骇)
正确,因为以目前的方式,只有实体卡(虚拟卡同实体卡)最容易窃取资讯,Google Pay、Apple Pay等因为包含手机资讯再进行加密,除非被植入有底层读取权限的病毒,不然难以仿冒身份。
: 2. 持卡人的手机号码、Email address. (线上购物网站资料被骇)
: 3. 骇入持卡人的手机、Email帐号. (手机、电脑被植入木马)
关於2、3点表示的应该是持卡人的手机已经被植入无法被侦测的病毒,或者电子信箱已经被破解登入,现行最容易被被User误触登入的是Google 提示(无法更改预设)以及Microsoft 无密码登入,其余的电子信箱MFA,如Yahoo是使用随机码验证。
: 基本上,知道1也无法在需要认证密码的网站盗用,还有知道2以及完成3.
正确,因为未经过3D验证的消费会被信用卡组织取消签帐,所以需要走完整个3D验证。
: 大抵而言,购物网站泄漏资料的机率最高.
认同但不完全是商店的错,就算商店伺服器被入侵泄漏个人以及信用卡资料,也不能避开3D验证,所以User需要验证他的电子信箱没有异常登入以及手机没有病毒。
: 但之前也有案例持卡人设定固定的认证密码取代随机的,以致猜中认证码盗刷.
如花旗,但目前是用在转帐、变更网路银行设定上,信用卡是OTP随机码。
: 如果是随机认证密码,应该很难才是.
: 所以要养成一些好的习惯:
: 1. 网路购物网站、Email密码要用高强度的. 并且开启两段式认证.
两段式验证别称为MFA,方式有随机码app产生OTP、简讯收取OTP、Google 提示、无密码登入。
: 2. 实体商店善用感应支付或电子支付,避免卡片讯息被盗录.
: 3. 留在购物网站的电话跟Email尽量不要跟留存银行的一样. 尤其是可以收到认证密码的Email.
这观念是对的,但重要的是登入密码别用同一个组合走遍天下网路,现在有密码产生器可以用在不同服务上,如卡巴斯基这种老牌的防毒厂商推出的。
: 4. 手机、电脑安装防毒软体,不要点选不明连结、安装不明APP.
不熟悉资安的User,在Windows系统上,请给他Users的权限就好,Administrantor权限请给家中较有资安观念的人管理。至於Android系统,可以透过禁止非Google Play来源的安装方式。iOS系统留给有相关经验的前辈指导。
: 5. 网路购物,尤其是不知名网站尽量用可以随时设定额度的虚拟信用卡.
这比较和盗刷没关系,因为透过银行app限制刷卡途径、单笔额度或是帐单上限,最初的目的是让持卡人管理信用卡的刷卡途径,如限制玉山Ubear卡使用实体卡消费;单笔额度或帐单上限,最初是管理附卡消费额。
所以我的建议是,要用卡时才把刷卡功能开启,但这样很麻烦,所以最好备有一张专门刷不知名网站的信用卡,这样可以每天管理、检查一张卡即可,即使停卡、挂失也不会影响平常生活使用信用卡。
最後提醒各位,Debit卡虽然已经逐渐跟上信用卡的回馈,但Debit与Credit终究有差别,Debit卡一旦过卡,就是现金被扣款了,而且没有Credit卡的90天退款保证,最长有过450天帐款才退回Debit卡。
-----
Sent from JPTT on my Asus ASUS_AI2201_F.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.236.188.100 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1674823906.A.844.html
1F:推 jay121133 : 不过我之前的习惯就是有可以关就关闭刷卡功能 01/27 20:56
2F:→ jay121133 : 结果国泰的回馈 回馈不进信用卡 变成进到KOKO 01/27 20:57
3F:推 imkiwiwi : 卡巴斯基俄国防毒 你确定? 01/27 20:58
不用卡巴比特诺顿,难道你要用趋势3A吗?
4F:→ jay121133 : 然後我去电国泰客服 客服还质问我为甚麽要关 = = 01/27 20:58
5F:推 rstpiopxo : 所以直接帮帐户的 东西 各位要三思啊 钱扣了 银行端 01/27 20:58
6F:→ rstpiopxo : 一定是爱理不理的 01/27 20:58
7F:→ rstpiopxo : 绑 01/27 20:58
8F:推 gottsuan : 3D机制的话 特店根本不会有卡片资料 也不是特店验 01/27 21:04
9F:→ gottsuan : 证密码 交易验证是被国际组织转到发卡行的ACS执行 01/27 21:04
10F:→ gottsuan : 的 所以没有特店泄漏的问题 01/27 21:04
有些会提供储存信用卡资料,但也就仅止於个人与信用卡资讯
11F:→ eXcFerGodSt : 1. 2FA跟MFA不一样 01/27 21:45
1.2FA提供的验证方式,MFA都有,就验证方式并没有不同。
2.不管是实体卡还是虚拟卡,都有卡号过期日验证码,哪里不同?你现在过卡还用磁条吗?
12F:→ eXcFerGodSt : 2. 实体卡跟虚拟卡不一样,前者有磁条资料後者没有 01/27 21:45
13F:→ kkkk1234 : 还有一种破解MFA的方式是偷cookies 01/27 22:15
14F:→ kkkk1234 : 2FA->两种 MFA->两种以上 01/27 22:16
对,通常留给黑客越少成功登入的方式最好,但是大部分的群众不是资安人员,最好的方式是伺服器提供MFA,使用者从中多选一设为身份验证
※ 编辑: lf2net4589 (36.236.188.100 台湾), 01/27/2023 22:27:50
※ 编辑: lf2net4589 (36.236.188.100 台湾), 01/27/2023 22:31:07
※ 编辑: lf2net4589 (36.236.188.100 台湾), 01/27/2023 22:34:13
※ 编辑: lf2net4589 (36.236.188.100 台湾), 01/27/2023 22:35:33
15F:→ eXcFerGodSt : 2FA是MFA的子集,维基跟微软都有解释你可以去看看, 01/27 23:12
16F:→ eXcFerGodSt : 如果你跟他们的意见不一样的话那你是对的 01/27 23:12
17F:→ eXcFerGodSt : 加油站或餐厅店员把卡拿去侧录,跟你过卡用不用磁 01/27 23:14
18F:→ eXcFerGodSt : 条没有关系,虚拟卡不会被侧录 01/27 23:14
19F:→ eXcFerGodSt : 另,Passwordless 是用来取代 MFA 的,甚至不是MFA 01/27 23:22
20F:→ eXcFerGodSt : 的子集 01/27 23:22
21F:推 vestinland : 比较好奇哪些银行的debit卡可以关闭或减少刷卡额度 01/27 23:53
22F:→ vestinland : 的,不然被盗刷真的麻烦 01/27 23:53
23F:推 gottsuan : 2fa-two factor authentication; mfa-multi facto 01/27 23:58
24F:→ gottsuan : r authentication; 2fa是mfa的一种 01/27 23:58
25F:→ gottsuan : passwordless基本上是用其他验证方法来取代密码 例 01/28 00:00
26F:→ gottsuan : 如生物特徵 图形等 只有一个 factor; 通常会搭配d 01/28 00:00
27F:→ gottsuan : evice token组合成2fa 01/28 00:00
28F:推 gottsuan : 或mfa 几个factor只是定义 一般说法验证的因子有3 01/28 00:08
29F:→ gottsuan : 个 你知道的(如密码) 你拥有的(如载具) 和你个人的 01/28 00:08
30F:→ gottsuan : (如指纹) 01/28 00:08
31F:→ jack168168tw: 中信debit可以在app关,永丰要打客服 01/28 01:35
32F:推 cka : 永丰打客服没用..他坚持要我装大咖APP才能关 01/28 02:05
33F:→ rz759 : 大咖app的google商店评论好有趣,好多不明英文名的 01/28 02:14
34F:→ rz759 : 帐号在洗5星好评(虽然内容不敷衍,但还是超明显... 01/28 02:14
35F:→ rz759 : ) 01/28 02:14
37F:→ rz759 : 大户app下面也是一片这种,其他银行app评论没看到 01/28 02:21
38F:→ rz759 : ,难怪永丰app平均分数都比较高? 01/28 02:21
39F:→ james4141989: 之前Richart也有怪帐号洗评论,最近没有了 01/28 06:07
41F:→ wattswatts : 绑咕狗信箱的GPay算了吧 01/28 10:48
42F:→ filet : 趋势云端完全没输卡巴好吗?还活在十年前? 01/29 14:03
没输卡巴还会第三方机构评监输比特卡巴?趋势就是没有连线的情况下跟垃圾一样,这也要护航?
43F:推 jmt1259 : 有些银行可以生成一次性的虚拟卡,可以用来在觉得 01/29 18:44
44F:→ jmt1259 : 不安全的网站消费 01/29 18:44
※ 编辑: lf2net4589 (36.236.206.16 台湾), 01/29/2023 22:46:15
45F:嘘 filet : 你先问问你啥情况不连线要怕病毒吧,神逻辑 01/31 00:08
46F:→ filet : 木马不连线能干嘛?现在没人在做那种会坏你电脑的病 01/31 00:09
47F:→ filet : 毒。比防毒还不比连网,真的笑死 01/31 00:09
48F:→ lf2net4589 : 你以不联内外网为前提,撇除外部储存装置连结到本地 01/31 17:47
49F:→ lf2net4589 : 端,是没机会中任何恶意程式没错,那你这台装置能干 01/31 17:47
50F:→ lf2net4589 : 嘛? 01/31 17:47
51F:→ lf2net4589 : 如果你觉得至少要连线到内网,那你这台装置出现恶意 01/31 17:50
52F:→ lf2net4589 : 程式你难道不断网进行清除动作,而是连外网提供恶意 01/31 17:50
53F:→ lf2net4589 : 程式上传数据吗?你不要跟我说直接重灌,很多中小企 01/31 17:50
54F:→ lf2net4589 : 业根本没有备援,你直接重灌会被业主掐死 01/31 17:50
55F:嘘 scratch01 : 嘘卡巴 02/01 01:26