作者HOLAHOJIAN (HOLA)
看板creditcard
标题[讨论] 信用卡被盗刷(OTP),谁的责任?
时间Thu May 30 17:22:13 2024
这件看起来是投诉到评议中心案件
有关於交易自己没看OTP内容
输入验证码後交易成功又巨婴不愿意付款的案例
各位可以参考看看
申请人怎麽说…
阿华在111年7月8日上午9点多接到以邮局名义传来须缴费56元的手机简讯,因此使用A银行核发的信用卡进行线上刷卡。过没多久阿华惊觉可能是遭到盗刷,立刻打电话给A银行要求停卡并希望能停止这笔交易,可是之後A银行仍然从阿华的帐户扣缴了这笔交易款项新台币87,290元。这笔交易的币别是土耳其币,阿华认为自己并没有消费,A银行应该履行失卡零风险的承诺,因此请求A银行返还扣缴的信用卡消费款项新台币87,290元。
银行怎麽说…
这笔信用卡交易是阿华提供信用卡资料给B商店,A银行接到B商店申请交易授权後,就寄发OTP交易认证码简讯到阿华留存在A银行的手机号码,简讯内容是「A银行卡末四码〇〇〇〇网路交易金额约TRY
50000.00元,交易认证码〇〇〇於六分钟後失效。提醒您,勿将密码交付他人以防诈骗」,阿华回传认证码给B商店後,A银行才核准授权这笔信用卡交易,并且寄发交易确认简讯给阿华。而信用卡是一种支付工具,当持卡人把卡号资料及OTP交易认证码提供给特约商店完成交易授权後,交易就完成付款委托的程序并进入汇送交易资料与拨款流程,发卡机构没有权力对於已经完成授权的交易拒绝拨付款项。阿华没有尽到保护自己信用卡安全的责任,导致发生损失,这跟A银行保障的失卡零风险无关,何况阿华并没有遗失信用卡,而是交付卡号及OTP交易认证码给其他人。因此这딊坏璈鹣痗竣ㄛOA银行的责任,而应该由阿华依照信用卡契约条款负清偿之责。
评议委员会怎麽说…
简讯内容有载明是网路交易,也有显示交易金额,虽然交易币别不是新台币,但是仍然跟阿华所认知是邮局通知缴费的56元金额有很大的差异,阿华却还是把应该自行保管的密码提供给其他人导致被盗刷,显然没有尽到妥善保管密码的责任,对於认证密码被其他人知悉使用来说,是有重大过失的。
判断理由说给您听…
一、依据阿华跟A银行双方间信用卡契约条款的约定,持卡人应该妥善保管及使用信用卡,不可以用任何方式把信用卡或卡片上的资料交付、授权其他人使用,而且持卡人对於开卡密码或其他辨识持卡人身分的方式应该予以保密,不可以告诉其他人。此外,依照交易习惯或交易的特殊性质,是用邮购、电话订购、传真、网际网路、行动装置、自动贩卖设备等其他类似方式订购商品、取得服务、代付费用而使用信用卡付款,或使用信用卡从自动化设备预借现金等情形,银行可以用密码、电话确认、收货单上的签名、邮寄凭证或其他可以辨识当事人身分及确认持卡人意思表示的ꐊ阆”茈N替,无须使用签帐单或当场签名。由此可知,持卡人依据信用卡契约条款的约定,对於用来辨识持卡人身分的网路交易验证密码负有妥善保管的义务。
二、另外,双方间的信用卡契约条款也约定,持卡人的信用卡如果有遭到其他人冒用进行前述条款所约定特殊交易的情形,持卡人应该尽速通知银行办理停卡及换卡手续,持卡人办理停卡及换卡手续之前被冒用所发生的损失,都由银行负责。但是,持卡人因为故意或重大过失,让其他人知道使用自动化设备办理预借现金或进行其他交易的交易密码,或是其他辨识持卡人身分的方式,那麽持卡人就应该负担办理停卡及换卡手续前被冒用的全部损失。
三、A银行传送的认证密码简讯内容记载:「A银行卡末四码〇〇〇〇网路交易金额约TRY
50000.00元,交易认证码〇〇〇於六分钟後失效。提醒您,勿将密码交付他人以防诈骗」,阿华也不否认有收到简讯并且把交易认证码资讯提供给其他人。虽然阿华认为自己是被诈骗才会把信用卡资讯跟简讯发送的认证密码提供给其他人而导致被盗刷,可是之所以会完成这笔信用卡交易,是因为阿华把收到的简讯OTP认证码资讯告诉其他人,才让其他人可以用阿华告知的完整信用卡卡号、有效日期、安全码、简讯OTP等,取得A银行对於这笔信用卡交易的授权,并且完成这笔网路交易。此外,网路交易的验证密码是用来确认交易人身分的重要凭据,这个密码只会有持卡人知道ꄊA依照网路信用卡消费的通常流程,由於不是面对面的交易而会有卡片遗失、不是本人持有使用的风险,所以在消费流程上,输入信用卡资讯後常设有一道验证身分的关卡,例如需要输入即时产生并且只依照持卡人约定的方式发送给持卡人的OTP交易认证密码,以确保持卡人跟刷卡人是同一人,而且必须要在几分钟短时间内输入以防止密码外流。如果在刷卡消费过程中输入了只有持卡人才会知道的OTP密码,应该视为持卡人已经有委托付款的指示。
四、依据双方间信用卡契约条款的约定,阿华负有妥善保管认证密码的责任,而且密码简讯内容有载明是网路交易,也有显示交易金额,虽然交易币别不是新台币,但是仍然跟阿华所认知是邮局通知缴费的56元金额有很大的差异,阿华却还是把应该自行保管的密码提供给其他人导致被盗刷,显然没有尽到妥善保管密码的责任,对於认证密码被其他人知悉使用来说,是有重大过失的,依据信用卡契约条款的约定,阿华应该对於这笔交易款项负清偿的责任,因此阿华不能请求A银行返还这笔信用卡交易的消费款项。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.52.131.220 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1717060936.A.273.html
2F:推 tr000064 : 当然是they 05/30 18:48
3F:推 DFIGHT : 这边理组提出疑问 土耳其币和台币1:1 OTP简讯数字 05/30 19:00
4F:→ DFIGHT : 一定会显示八万多元 他是怎麽说56元的? 05/30 19:00
5F:→ DFIGHT : 你懂意思吗? 银行发出OTP是要显示刷多少 一定会显 05/30 19:01
6F:→ DFIGHT : 示八万多 那是显示56然後刷八万多 05/30 19:01
7F:→ DFIGHT : 阿所以内容中又说银行发出简讯写五万多 阿到底是5605/30 19:03
8F:→ DFIGHT : 还是五万还是八万 明明土耳其币台币1:1 05/30 19:03
9F:→ shaoten7 : 反正今天不管显示多少阿华都会送出验证码05/30 19:09
10F:→ shaoten7 : 从来都不是金额问题 是不愿意检查..05/30 19:09
11F:推 jakkx : 五万和八万数字有问题而已。被害者收到的就加害者发05/30 19:14
12F:→ jakkx : 的简讯。问题是这边强调56元与实付金额的差异有什麽05/30 19:15
13F:→ jakkx : 特别的意义吗?如果相同结果会不一样吗?05/30 19:15
14F:推 waakye : 目前OTP都是自己犯蠢,还没看过拦截简讯的05/30 19:17
15F:推 jakkx : 尾段看起来的意思似乎是50000与56元的简讯都有收到?05/30 19:27
16F:推 cka : 目前otp都是自己给出去的,然後被害人都会说他被诈骗05/30 19:41
17F:→ cka : 那跟你直接领现金给诈骗集团也是一样意思05/30 19:41
18F:→ bbcer : OTP验证码输入页面是输入卖家平台吗?05/30 19:43
19F:→ bbcer : 那如果在网站刷卡100元,网站告知银行刷50000元05/30 19:45
20F:推 yuta02 : 4.林益…………阿没事05/30 19:46
21F:→ lionel20002 : 56就诈骗简讯随便设的数字05/30 19:47
22F:→ bbcer : 网站OTP验证页面显示100元,消费者没注意简讯写5万05/30 19:47
3d验证网页会写币别跟金额吧
跟简讯一样的,你可以去刷看看
通常都是没在看
23F:→ bbcer : 只看到OTP 验证页面上的100元就输入验证码,算谁错?05/30 19:49
24F:→ vyvian : 如果sim卡劫持,OTP发到非持卡人手机,这样算谁的?05/30 20:11
25F:→ kaltu : 用不可作为认证手段的SMS作为安全机制就有很大的问05/30 20:48
26F:→ kaltu : 题,SIM卡劫持、手机安全漏洞、拥有可以读取SMS权限05/30 20:48
27F:→ kaltu : 的App05/30 20:48
28F:→ kaltu : 太多问题了,只是银行想卸责而已05/30 20:48
29F:→ kaltu : 这个时代只要犯罪集团能搞到OTP,银行就会主动配合05/30 20:48
30F:→ kaltu : 把赃款弄到帐05/30 20:48
笑死先证明真的sim卡被劫持啦
这案件不就被害人自己输入进去的。还劫持什麽
能劫持的案例少之又少,目前只有看过获利王手机那事件,木马植入到主机板
※ 编辑: HOLAHOJIAN (27.52.131.220 台湾), 05/30/2024 20:51:50
※ 编辑: HOLAHOJIAN (27.52.131.220 台湾), 05/30/2024 20:54:10
31F:→ ivansailu : OTP验证页面也是假的,页面上显示的金额跟简讯金额 05/30 20:58
32F:→ ivansailu : 不同,朋友之前买麦当劳差点中招有截图给我看过 05/30 20:59
33F:→ drakon : 他先收到诈骗简讯说他欠费56元 所以点了上述简讯里 05/30 21:33
34F:→ drakon : 的诈骗连结去刷卡 然後没确认银行给的otp上面是500 05/30 21:33
35F:→ drakon : 00土币 就把otp码输入到诈骗网页里 05/30 21:33
36F:→ drakon : 然後银行就说 我们有传简讯给你 你自己确认後输入 05/30 21:34
37F:→ drakon : 了otp我们不赔 不过这个能争议的大概就是他没拿05/30 21:34
38F:→ drakon : 到东西吧 只能用这个去争05/30 21:34
已出货给对方很难,所以才会有保护巨婴提出即享券延後使用政策
看眼科比较实在啦
39F:推 chia23520 : 商家已经出货给诈骗集团了,所以无法用没拿到东西去05/30 22:19
40F:→ chia23520 : 争 05/30 22:19
41F:→ tomsawyer : 劫持国外有发生过 拿证件去挂失sim卡改2fa 05/30 22:44
那不叫劫持,是盗办,而且怎拿到证件的
还要去电信业者重办卡欸
乾简讯被劫持什麽事?就盗办案件而已好吗
而且是少数案件
42F:推 DFIGHT : 推文在共啥小 OTP是银行发的 要花多少钱会写上去05/30 23:07
43F:→ DFIGHT : 哪是加害者发的05/30 23:07
44F:→ DFIGHT : 就网页给啥你就信啥 然後银行给的OTP 数字是8万多 05/30 23:10
45F:→ DFIGHT : 还给密码给别人 自作孽不给活 呵呵 扯什麽OTP 当然05/30 23:10
46F:→ DFIGHT : 是被害者自己吞 不会用信用卡 就乖乖用现金05/30 23:10
※ 编辑: HOLAHOJIAN (27.52.131.220 台湾), 05/30/2024 23:22:07
47F:推 gn02316900 : 只能建议一律用现金 台湾人民部分仍然不适合用信用 05/30 23:20
48F:→ gn02316900 : 卡 05/30 23:20
50F:→ DFIGHT : 叫他自己付 自己蠢 怪不了谁 05/30 23:25
51F:推 Tattoo : 其实这种商家八成也是诈骗集团的一夥,但是跨国你 05/30 23:29
52F:→ Tattoo : 很难去查。 05/30 23:29
53F:推 DFIGHT : 被劫持 那就是警察的事情了 更不干银行的事阿 手机 05/30 23:30
54F:→ DFIGHT : 有连按五次电源按钮发送求救给五位朋友的功能 自己05/30 23:30
55F:→ DFIGHT : 设定好05/30 23:30
56F:→ cityport : 有看过国外某个银行会传简讯给你..你要回传金额才会 05/30 23:53
57F:→ cityport : 放行..这方法比OTP好太多 05/30 23:55
58F:→ cityport : 至少能识破假网站用不同金额来骗人 05/30 23:56
其实跟这方法类似吧
https://myppt.cc/KSywpn
被嘘欸
59F:→ cityport : 订单跟刷卡金额不同只能靠你回传银行来挡掉 05/30 23:58
60F:推 roy2142 : 楼上这方法好像不错耶 输入金额正确才放行 双向验证 05/31 00:02
61F:→ bbcer : #1Yl9ajsU 这篇就是OTP验证码缺点,如果平台就有问题 05/31 00:07
62F:→ bbcer : 更正,这篇不是平台有问题,而是伪装小帮手的人有问题 05/31 00:10
63F:→ bbcer : 如果正常刷卡,被人拿到卡号个资+OTP去盗刷,算谁的? 05/31 00:12
※ 编辑: HOLAHOJIAN (27.52.131.220 台湾), 05/31/2024 00:20:43
64F:→ cityport : 哪里有类似?? 那篇新闻哪里有回传金额给银行?? 05/31 00:26
65F:嘘 diogofseixas: 就钓鱼简讯,导引到输入卡号资料的网页,让你自己 05/31 00:27
66F:→ diogofseixas: 输入资讯被钓鱼,然後他们再到另一个购买网站输入一 05/31 00:27
67F:→ diogofseixas: 样资讯,再跟你问密码 05/31 00:27
68F:→ cityport : 你再把新闻看一次..用CAPTCHA这落後东西被嘘刚好 05/31 00:32
69F:推 sgxm3 : OTP进阶验证诈骗多传一个四码讯息就破解了,上面讲 05/31 07:42
70F:→ sgxm3 : 的那个回传金额感觉比较有用。 05/31 07:42
71F:推 sgxm3 : 台湾人太有钱了才会被诈骗集团努力耕耘。随便一个 05/31 07:49
72F:→ sgxm3 : 巨婴就能骗9万,菲律宾越南印尼要骗多久才有。 05/31 07:49
73F:推 DFIGHT : 61f 金管会有提出绑定app pay 需要查核手机号码 有 05/31 09:17
74F:→ DFIGHT : 规定好像是十月底前上线 不确定 05/31 09:17
75F:推 Muscleyun : 本来就是这样 自己授权的缴费 然後来客诉银行 05/31 11:06
76F:→ lizardc1 : 坏璈鹣痗竣ㄛOA 05/31 11:32
77F:→ glen246 : 我试过,诈骗网页显示的金额是假的,厉害的是信用卡 05/31 12:30
78F:→ glen246 : OTP简讯也不显示金额与币别 05/31 12:30
80F:→ glen246 : 後来信用卡公司终於学聪明了,过一阵子OTP简讯才开 05/31 12:32
81F:→ glen246 : 始有显示币别与金额 05/31 12:32
82F:→ glen246 : 然後怕你简讯没收到,mail也会寄一份 05/31 12:34
83F:→ glen246 : 这家信用卡早期OTP简讯真的完全不告诉你刷的实际金 05/31 12:41
84F:→ glen246 : 额 05/31 12:41
85F:→ glen246 : 好像去年才开始显示在OTP简讯显示预估刷卡金额 05/31 12:46
86F:推 makio : 这不是盗刷啊,这是他被诈骗上当了。完全不一样.. 05/31 12:59
87F:→ glen246 : 这种诈骗比传统盗刷还要麻烦,因为都是你本人自己 05/31 13:00
88F:→ glen246 : 输入OTP密码,以前的规则好像要你自己吸收(? 05/31 13:00
90F:→ glen246 : 如果是传统盗刷还可以列争议款补救,而这种是非盗 05/31 13:01
91F:→ glen246 : 刷行为的诈骗 05/31 13:01
92F:推 foxey : 缺乏安全知识和概念的就一堆啊 上面不就一篇乱给otp 05/31 14:08
93F:→ foxey : 还要赖给银行 到时还不是全体用户缩权益帮扛 05/31 14:08
94F:推 pukaucc : 银行:盗刷我承担,被骗你活该 05/31 14:09
95F:→ bbcer : 若骗局以假乱真骗过大多数人给OTP,不应再用OTP验证 05/31 16:38
96F:→ bbcer : 而银行要找更有效的验证方式,不然消费者会不敢用卡 05/31 16:40
97F:→ sinclaireche: 银行推广otp的行动搭配公会最近的作法 继续用不用 05/31 16:41
98F:→ sinclaireche: 负责的东西 负责收钱就好 05/31 16:41
99F:→ bbcer : cityport板友说的输入金额回传给银行端,也许可参考 05/31 16:42
100F:→ bbcer : 另外提,大树金卡片安全锁还不错,越红线就授权失败 05/31 16:47
101F:→ bbcer : 若平日限国内&实体&1000以内,盗刷就较难,也是方法 05/31 16:50
102F:推 calase : 越有效的认证方式对消费者程序越多… 05/31 17:11
103F:推 Alphaz : 一堆人把诈骗说成盗刷 是以为可以赖给银行要钱吗,,, 05/31 20:39
104F:→ kaltu : SMS设立之初就没有本身就没有作为安全认证的系统在 05/31 22:54
105F:→ kaltu : 设计,不是滥用之後出事就推给警察就没你的事耶笑死 05/31 22:54
106F:→ kaltu : 先搞清楚事情的本质,现在是台湾的银行滥用不安全通 05/31 23:23
107F:→ kaltu : 讯,结果遇到新型态犯罪翻车了,为了安全的东西反而 05/31 23:23
108F:→ kaltu : backfire变成让赃款更容易流通的角色,银行还不停用 05/31 23:23
109F:→ kaltu : ,因为卸责起来太方便的问题 05/31 23:23
110F:→ kaltu : 而不是被台湾人嘴成受害消费者巨婴 05/31 23:23
111F:→ kaltu : 去办一下其他国家的信用卡看看其他国家的银行是怎麽 05/31 23:23
112F:→ kaltu : 有责任地使用SMS OTP的好吗? 05/31 23:23
113F:→ kaltu : 根本不是像台湾的银行一样重要非重要大小金额国内外 05/31 23:24
114F:→ kaltu : 交易都跟跟广告垃圾简讯放在一起的所谓授权(卸责) 05/31 23:24
115F:→ kaltu : 除了我自己opt in的通知之外我的Chase和BoA早就已经 05/31 23:24
116F:→ kaltu : 不用SMS通知重要讯息了 05/31 23:24
117F:→ kaltu : 没错Identify theft主要是警察的事,但银行在明知有 05/31 23:24
118F:→ kaltu : ID theft的状况下依然知情故意使用不安全通讯管道作 05/31 23:24
119F:→ kaltu : 为安全认证手段是银行的gross negligence,而不是消 05/31 23:24
120F:→ kaltu : 费者巨婴 05/31 23:24
121F:→ kaltu : 只有高风险交易才应「额外」用不安全管道多一层二次 05/31 23:24
122F:→ kaltu : 确认,起到正确「提醒」消费者的作用,不是作为授权 05/31 23:24
123F:→ kaltu : 甚至还营造不是盗刷的说法,诈骗本来就是盗刷的一种 05/31 23:24
124F:→ kaltu : ,本质上就不是你本人进行交易而是诈骗集团刷的,只 05/31 23:24
125F:→ kaltu : 是透过社交工程取得受害者的动态密码而已,跟取得你 05/31 23:24
126F:→ kaltu : 的卡号和静态密码没有任何技术上的差异 05/31 23:24
127F:→ kaltu : 除了台湾人之外从来就没有把OTP神话,这东西外泄之 05/31 23:24
128F:→ kaltu : 後不管谁刷的都变成你刷的,不是盗刷的扭曲说法,开 05/31 23:24
129F:→ kaltu : 此先例这个世界上就不存在盗刷了 05/31 23:24
130F:→ kaltu : 反正用这种说法只要是社交工程攻击取得的东西,哪个 05/31 23:24
131F:→ kaltu : 不是受害者主动给出的,通通都是授权交易何来盗用一 05/31 23:24
132F:→ kaltu : 说 05/31 23:24
133F:推 aspeter : 当然是你 所以OTP不要乱点跟输入 你不点就没事 06/01 00:15
134F:嘘 yoshinobu : 某k到底在鬼扯什麽?otp金额与币别简讯都写了,持卡 06/01 01:33
135F:→ yoshinobu : 人自己同意後送出,等同同意这笔交易,不算持卡人 06/01 01:33
136F:→ yoshinobu : 的要算谁的? 06/01 01:33
137F:嘘 yoshinobu : 什麽叫作"本质上就不是你本人进行交易而是诈骗集团 06/01 01:37
138F:→ yoshinobu : 刷的"??到底在说什麽? 06/01 01:37
139F:→ bbcer : 如果OTP本身不够安全,麻烦银行改用其他验证方式 06/01 01:39
140F:→ cityport : 3D验证在美国现在完全不存在 06/01 05:16
141F:→ cityport : 美国的银行好像以前被告过然後输了..银行就全部停用 06/01 05:17
142F:→ cityport : 其中一个原因是电信商在法院作证说SMS是不安全的 06/01 05:18
143F:→ cityport : 然後银行就输了官司 06/01 05:18
144F:推 asahi98 : 其实OTP有风险,之前我记得有新闻说能够拦截别人简 06/02 07:27
145F:→ asahi98 : 讯,假装基地台发送简讯出去骗被害人。电信诈骗伪 06/02 07:27
146F:→ asahi98 : 装自己是基地台的模式发送给范围内的手机门号,看 06/02 07:27
147F:→ asahi98 : 谁中招。这样很难防 06/02 07:27
148F:推 sorawang : 每次都有人说opt可以被拦截,啊实际上拿例子又举不 06/02 15:16
149F:→ sorawang : 出来 06/02 15:16
150F:推 jakkx : 上面那个应该是记错了。是免费WIFI吧 06/02 19:14
151F:→ even0213 : 试论 卡号效期CVV +OTP同时被截取的机率是? 06/03 05:35
152F:→ even0213 : 一堆讲OTP不安全.倒是找个现实实例来看看? OTP有时 06/03 05:39
153F:→ even0213 : 效限制.安卓手机预设不安装未知应用程式.银行有3千 06/03 05:40
154F:→ even0213 : 刷卡简讯、EMAIL、推播.电支本身也有推播.多到不行 06/03 05:41
155F:→ even0213 : 的刷卡通知.然後OTP不安全? 讲个18-80都适用的安全 06/03 05:42
156F:→ even0213 : 机制.不能太麻烦的 老人会用 又要够安全的 06/03 05:42
157F:→ even0213 : 一堆优秀的死ABC 爱说国外如何优秀好棒棒 倒是举几 06/03 05:44
158F:→ even0213 : 个像台湾的银行,还得请警察到场阻止被骗汇出的CASE 06/03 05:45
159F:→ even0213 : 一堆巨婴.打着受害者旗子.净想着打造一个信用卡乌托 06/03 05:46
160F:→ even0213 : 快去一人一信金管会.实施你们心中安全又方便的机制 06/03 05:56
161F:→ asdfghjklasd: 跟56元有什麽相关,直接从简讯网址刷卡付钱才是问题 06/03 18:01