作者BNYMellon (BNYMellon)
看板creditcard
标题[讨论] 信用卡透过客服绑定AP/GP的流程
时间Sun Jul 17 00:52:50 2022
通常来说,行动支付(AP/GP)有两种验证方式:
一、简讯OTP验证码
二、致电银行客服直接开通
底下我附上一个「致电银行客服直接开通行动支付(AP/GP)」的模拟对话
仅供参考,若现阶段有银行的验证流程与底下情境相同,请尽速强化验证程序
<<前提概要>>
某ABC银行
骗子已经知道被害人的「姓名」、「电话」、「地址」、「身分证号」、「信用卡卡号」
在转接电话客服之前,骗子已经输入正确的「身分证号」
<<对话开始>>
客服:您好,欢迎致电ABC银行信用卡客服,敝姓张,代号143,很高兴为你服务
客服:你好,陈先生,请问有什麽需要为您服务的吗?
骗子:我想要绑定Google Pay,但人在海外,收不到OTP验证码
客服:好的没问题,在我们开始之前,想先与陈先生进行身份验证核对
客服:请问陈先生大名是?
骗子:陈大明
客服:请问陈先生在本行登记的手机号码是?
骗子:0900 123 456
客服:请问陈先生的生日是?
骗子:1911/10/10
客服:请问陈先生在本行留存的电子信箱是?
骗子:
[email protected]
客服:请问陈先生在本行留存的通讯地址是?
骗子:台北市中正区重庆南路一段122号
客服:请问陈先生:
名下有几张正卡/有几张附卡/有几个贷款/外币帐户余额/毕业国中小/帐户是否绑定自动扣
缴/
最近缴款余额是多少/最近刷卡金额大约多少/
骗子:1张/0张/0个/0元
-——>这里可能被骗子乱猜成功,每家银行问的问题也都不太一样
客服:感谢陈先生的资讯提供,身份验证已通过,请问要绑定Google Pay的卡号末四码是?
?
骗子:1234
客服:请问装置号码末四码是?
骗子:1234
客服:好的,陈先生,请稍等
客服:您好,陈先生,已为您绑定成功
客服:请问还有什麽需要为您协助的吗?
骗子:没有了,谢谢你
客服:陈先生您好,这里提供超优惠的「不幸福信贷」,利率1.88%起,最高可贷300万
,最长可贷7年,需要请专人致电与您说明吗?
骗子:不需要,谢谢你
客服:好的,祝你一切顺心,欢迎再次致电ABC信用卡客服中心,再见。
<<对话结束>>
- - - -
- - - -
其实整个流程最大的漏洞是:
只要骗子获取完整的个资,成功欺诈银行客服完成身分验证,之後骗子就可以更改一些设定
为了防范这种情况,建议设定「电话语音密码」,就算骗子知道个资,但「电话语音密码」
这关就能成功挡下骗子了。
目前我查到「纯信用卡户」可以设定「电话语音密码」的银行有:
外商银行:花旗、滙丰、渣打、星展
公股银行:兆丰
民营银行:富邦、联邦、中信、国泰、台新
持有有以上银行信用卡的板友,可以去设定「电话语音密码」,增加帐户安全。
其余的银行要麽没有「电话语音密码」的服务,要麽得是该行的「存款客户」才能申请
- - - - -
以上供参~
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 39.9.139.143 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1657990372.A.FD1.html
2F:→ Sheng98 : 这篇刚好补足我想知道的东西...前提是骗子掌握到持 07/17 00:56
3F:→ Sheng98 : 卡人的个资了07/17 00:56
有时候身分验证环节问的问题很容易猜的出来
4F:推 chiungsuyi : 但电话语音密码输入错误依然可以专员认证呀07/17 00:58
以滙丰来说,没有经过电话理财密码验证,找专人验证也不行
5F:推 alloc : 照原原po的说法 「没有给出OTP」 我认为事主应该有07/17 00:59
6F:→ alloc : 收到疑似绑定的简讯 但否认有泄漏 并非这篇的电话07/17 00:59
7F:→ alloc : 绑定 说猜对都太牵强了07/17 00:59
我只是举例,因为每次我在打客服做身分验证时,我都觉得那些问题很容易被蒙对
就算骗子猜错,大不了换一个受害者继续猜
所以有「电话密码」可以设定最好就去设定,增加安全
8F:→ lise1017 : 这些资讯全部都被人知道还不剪卡被骗不是刚好而已吗07/17 01:00
9F:→ alloc : 楼上我也有疑问被诈骗个资後还不停卡是为什麽...07/17 01:00
10F:→ lise1017 : 姓名 地址 身分证号属於身分证上即有资料 也属机密07/17 01:01
11F:→ lise1017 : 电话号码又是第二个和身分连结的资料属於第二机密07/17 01:02
12F:→ lise1017 : 最後一个和钱连结上的 连卡号都被人知道了07/17 01:02
13F:→ lise1017 : 这就跟你家独户透天没有邻居 然後门全部打开07/17 01:03
身分证+电话+电子邮箱很容易被外流啦
你有没有想过,骗子在寄钓鱼简讯给你之前,手上早就有你这麽多个资,只差在信用卡号等
你傻傻被骗上钩而已
像底下新闻这样
https://bit.ly/3OicCOZ
14F:推 ppptofff : 永丰也有一个什麽理财密码之类的07/17 01:04
目前查到似乎仅限存款户能申请
15F:→ lise1017 : 新台币直接摆在家里办公桌上 那被人入室偷走刚好07/17 01:04
※ 编辑: BNYMellon (39.9.139.143 台湾), 07/17/2022 01:05:06
※ 编辑: BNYMellon (39.9.139.143 台湾), 07/17/2022 01:10:40
16F:推 alloc : 就我的经验身分验证都会问与消费所需的资料无关的07/17 01:14
17F:→ alloc : 问题 像是最常问的毕业国小 最近一期帐单缴纳 或07/17 01:14
18F:→ alloc : 是消费支付方式 但我还真的刚好没国泰的信用卡 就07/17 01:14
19F:→ alloc : 不知道了07/17 01:14
20F:→ goodnu2 : 国泰也有理财密码07/17 01:16
21F:推 iyoka : 被诈骗当下不知道被诈骗才没停卡,谢谢。07/17 01:23
本文只针对银行验证流程做讨论
22F:嘘 jjcity : 小剧场太多了吧 07/17 01:28
我打过几次银行客服身分认证程序就是这样喔
23F:→ Sheng98 : 模拟对话而已...想太多?07/17 01:30
24F:→ jjcity : 如果诈骗知道这麽多个资,还要大费周章只为了搞个Ap07/17 01:31
25F:→ jjcity : ple pay而已吗?07/17 01:31
因为用AP/GP後就不用3D认证,省得要再去找被害者骗OTP验证码
26F:→ Sheng98 : 平常打客服电话, 客服那边也是会有类似的对话验证07/17 01:31
27F:→ Sheng98 : 打电话来的人的身分07/17 01:31
28F:→ jjcity : 所以模拟对话有什麽好讨论的?07/17 01:31
难不成要打我的个资出来= . =
重点是流程啊
29F:→ Sheng98 : AP/GP 绑卡不方便收简讯验证码的话, 就只剩下致电07/17 01:31
30F:→ Sheng98 : 客服07/17 01:32
31F:推 iyoka : 刚测试国泰电话语音密码失败後直接改个资确认如电07/17 01:35
32F:→ iyoka : 话号码、毕业国小 诈骗集团应该如原PO说掌握个资。07/17 01:35
※ 编辑: BNYMellon (39.9.139.143 台湾), 07/17/2022 01:36:36
33F:嘘 jjcity : 我如果知道这麽多个资,难道我不会跟客服说我忘了语07/17 01:38
34F:→ jjcity : 音密码,要重新设定,所以语音密码不也落到诈骗集团07/17 01:38
35F:→ jjcity : 手上07/17 01:38
电话语音密码忘记通常只能临柜修改(滙丰、渣打)
或是网上重设但需要OTP验证(联邦)
※ 编辑: BNYMellon (39.9.139.143 台湾), 07/17/2022 01:40:51
36F:→ iueeng : 纯信用卡户 国泰台新中信花旗都能设语音密码 不过 07/17 01:58
37F:→ iueeng : 都十几年前设定的,上次进线才发现该银行有语音密 07/17 01:58
38F:→ iueeng : 码都忘记何时设定的,还好没弄错,不过就算验证完07/17 01:58
39F:→ iueeng : 语音密码(有些是接通客服前先按),客服还是会确07/17 01:59
40F:→ iueeng : 认一些安全性问题07/17 01:59
谢谢分享,这些银行我会补在内文
※ 编辑: BNYMellon (39.9.139.143 台湾), 07/17/2022 02:02:22
41F:推 carpkuo : 我只有一间银行只有一张卡,额度还只有2万,其它都07/17 02:37
42F:→ carpkuo : 很多张。07/17 02:37
43F:推 dowbane : 还有国小念哪、帐单寄送地址方式、办过本行几张信用07/17 02:42
44F:→ dowbane : 卡。07/17 02:42
45F:嘘 ac147 : 在银行客服上过班,你这样的核身完全不正确07/17 03:37
※ 编辑: BNYMellon (39.9.139.143 台湾), 07/17/2022 04:02:55
46F:推 abin0818 : 星展也是语音密码认证 07/17 04:36
47F:推 w71023 : 应该是说 手中都有这麽多资料了 百百次试不就行了 07/17 07:14
48F:→ samnpc : 我也打过,问题没你说的那麽简单 07/17 08:28
有补了更多常见验证问题了
49F:嘘 killerbbt : 可以不要唬烂脑补吗?你那是问信用卡帐单跟调额才07/17 08:47
50F:→ killerbbt : 这麽简单07/17 08:47
51F:→ killerbbt : 我劝你这篇删掉根本误导,你根本没实际打过不要嘴07/17 08:49
52F:→ killerbbt : 还模拟对话勒,以为平常道路救援还是调额的方式可07/17 08:50
53F:→ killerbbt : 以通用喔 07/17 08:50
每家银行问的问题不一样,我之前打过的银行客服只问这些问题就给绑定了
可能银行後续流程有更改
54F:推 TCdogmeat : 绑定当事人也会收到简讯通知 不会这麽傻吧 07/17 09:14
※ 编辑: BNYMellon (39.9.139.143 台湾), 07/17/2022 09:22:25
55F:推 jaiyenyen : 前阵子,我致电银行更改OTP手机,就是问这些,还有 07/17 09:26
56F:→ jaiyenyen : 2题别的,但也是回答有或没有而已。 07/17 09:26
57F:推 alloc : 事主有收到绑定简讯 但事主不知道GP就忽略了 07/17 09:28
58F:→ tomsawyer : 推文觉得老人在诈骗王国看到奇怪的简讯是忽略还是 07/17 10:10
59F:→ tomsawyer : 在意 07/17 10:10
60F:推 LazyICE : 推模拟问的最後两段好写实~XDD 07/17 13:20
61F:推 Aixtron : 重点是绑定了,银行还有风控啊! 07/17 16:30
62F:→ Aixtron : 而且现在银行隔天都会寄刷卡明细,或line通知,所以 07/17 16:35
63F:→ Aixtron : 看银行提醒了几次,银行也是败诉了,才会简讯啥都来 07/17 16:35
64F:→ Aixtron : ! 07/17 16:35
65F:→ Aixtron : 像我信用满分,每间银行风控到,我单笔刷超过平常消 07/17 16:38
66F:→ Aixtron : 费额度的两倍,次数频繁到连续四次的,就算line有通 07/17 16:38
67F:→ Aixtron : 知,都会来电,怕我line没看到 07/17 16:38
68F:→ Aixtron : 如果被骗了,不想让人知道,结果风控录音当场播放, 07/17 16:40
69F:→ Aixtron : 连律师都会傻眼! 07/17 16:40
70F:→ Aixtron : 说实在个人资讯,没泄露才是见鬼了吧! 07/17 16:41
71F:推 Aixtron : 讲夸张一点,因这样而主张,银行铁输,那次社会事件 07/17 16:50
72F:→ Aixtron : 当事人不被肉搜,这些那一样少过? 07/17 16:50
73F:推 horusli : 联邦绑GP,风控马上电话确认 07/17 17:25
74F:推 JuiFu617 : 很多客服会问什麽国小,这个有那麽容易泄漏? 07/17 17:26
75F:推 Aixtron : 不要怀疑肉搜! 07/17 17:57
76F:推 dantes1013 : 个资都已是公开的秘密了,银行端如果只确认这些 07/17 18:28
77F:→ dantes1013 : 可能已经无法确认为本人了 07/17 18:29
78F:→ Sheng98 : 所以电话语音密码那种也只能再增加非本人使用他人 07/17 18:39
79F:→ Sheng98 : 个资的麻烦程度而已 07/17 18:39
80F:→ Sheng98 : 进而无法再做进阶核对 07/17 18:39
81F:→ bitlife : 肉搜能搜到长辈的国小其实也是厉害,有些说不定现在 07/17 19:10
82F:→ bitlife : 国小都消失了... 07/17 19:10
83F:→ Sheng98 : 我家人的国小都消失了 (东部某国小) 07/17 19:11
84F:推 smileyo0226 : 客户个资会这麽完整的泄漏,语音密码感觉也会在别的 07/17 19:20
85F:→ smileyo0226 : 地方泄漏出去。何况银行严格会有客户客诉扰民,不严 07/17 19:20
86F:→ smileyo0226 : 格也会有客户将自己的责任归咎於银行。回到案例本身 07/17 19:20
87F:→ smileyo0226 : 泄漏opt无论是客户提供後否认或简讯被拦截都不是银 07/17 19:20
88F:→ smileyo0226 : 行能控制的。 07/17 19:20
89F:→ smileyo0226 : 更正otp 07/17 19:20
90F:推 DogCavy : 国小搜得到吗 07/17 19:26
91F:→ dantes1013 : 楼上,不少人在FB上,钜细靡遗的写出各种资料经历 07/17 19:31
92F:→ dantes1013 : 某种程度,很多个人讯息都是自己泄漏出去的 07/17 19:31
93F:推 Aixtron : 国小同学会,人家tag,小学同学过世的合照,太多了 07/17 19:44
94F:→ Aixtron : ,可以说是比较不容易,但我相信卖个资的也是依等级 07/17 19:44
95F:→ Aixtron : 分价的,古人说的好,你知我知天下知! 07/17 19:44
96F:→ Aixtron : 而且很多人在FB认朋友,多认几个,您当人工智慧是塑 07/17 19:46
97F:→ Aixtron : 胶?它连您自己都不知的一面都可以发觉了! 07/17 19:46
98F:推 Aixtron : 其实最好的密码是错误的!小学说一个根本从未存在的 07/17 19:52
99F:→ Aixtron : ,猜难猜,抓好抓 07/17 19:52
100F:→ Aixtron : 可惜我知道这件事时,已经老了XD 07/17 19:53
101F:→ Aixtron : 譬如你说您拜登国小毕业,银行会说不行?就算诈骗买 07/17 19:57
102F:→ Aixtron : 到银行的个资,他说不定自己都不信XD 07/17 19:57
103F:→ Sheng98 : 银行应该没那麽闲功夫清查全台现存和过往存在的国小 07/17 19:58
104F:→ Sheng98 : 但是填写信用卡申请资料时通常还是会填写真实资讯 07/17 19:59
105F:→ Sheng98 : 免得自己写从未存在过的国小名称但一时忘记 07/17 19:59
106F:→ Sheng98 : 反而也害到自己 07/17 20:00
107F:→ Aixtron : 所以我说我老了才发觉,其实申请第一张开始就这麽做 07/17 20:09
108F:→ Aixtron : ,根本没问题,更安全! 07/17 20:09
109F:→ Aixtron : 而且银行不能要求您填正确国小! 07/17 20:09
110F:→ Aixtron : 第一张就拜登国小,最好还能忘记!但是会和您实体产 07/17 20:12
111F:→ Aixtron : 生断点,会给人工智慧的演算法带来很大的困扰,除非 07/17 20:12
112F:→ Aixtron : 您又自己把他联结起来! 07/17 20:12
113F:推 Aixtron : 而且您ABC说不定真读拜登国小,银行没那麽闲! 07/17 20:15
114F:→ Sheng98 : 只能要求自己不要下意识讲成正确的国小了 XD 07/17 20:17
115F:推 alloc : 搞得那麽累干嘛...你知道你自己填的资料必须保证没 07/17 20:17
116F:→ alloc : 问题吗? 07/17 20:17
117F:推 Aixtron : 伪造文书,是足生损害他人与公众! 07/17 20:34
118F:→ Aixtron : 填错国小,会害银行?反而是现在个资法,银行要人填 07/17 20:36
119F:→ Aixtron : 无关的国小,才有问题吧? 07/17 20:36
120F:→ Sheng98 : 填国小名称是用来电话中确认身分用的... 07/17 20:37
121F:→ Sheng98 : 不然可能还有问生肖/星座 (? 07/17 20:37
122F:推 Aixtron : 生肖星座不就和生日相关?没有多余的资讯! 07/17 20:38
123F:→ Sheng98 : 所以生日也不能乱填啊 07/17 20:40
124F:→ Sheng98 : 客服问的东西是要短时间内能回答的, 如果还要花时间 07/17 20:40
125F:→ Aixtron : 确认身份用是不是一定要有国小,这可是涉及个资法个 07/17 20:40
126F:→ Aixtron : 人资讯权的管理,可是要有相当的关联性,不是吗? 07/17 20:40
127F:→ Sheng98 : 想不就被拒绝 07/17 20:40
128F:→ Aixtron : 生日当然不行,身份证上有!我是指国小!!! 07/17 20:41
129F:→ Aixtron : 名字字号生日,这都会伪造文书,因为您有提供身份证 07/17 20:43
130F:→ Aixtron : 影本! 07/17 20:43
131F:→ Sheng98 : 用国小这个是後来才出现的资料栏位的样子, 也许以前 07/17 20:43
132F:→ Sheng98 : 有发生过电话确认通过但是还是被盗刷之类的吧 07/17 20:44
133F:→ Sheng98 : 所以多加一个国小名称, 让客服核对资料时可以判断 07/17 20:44
134F:→ Kazamatsuri : 问小学的应该当初申请时有写 07/17 20:44
135F:→ Sheng98 : 客户是否回答正确 07/17 20:44
136F:→ Sheng98 : 我有点忘了我第一张中信卡填资料的时候, 是否有填到 07/17 20:45
137F:→ Sheng98 : 国小资讯 (距今 20 年以上) 07/17 20:45
138F:→ Kazamatsuri : 客服问的应该都是当初申请时您有写的 所以如果回答 07/17 20:46
139F:→ Sheng98 : 後来的卡填资料也还是会填到毕业国小名称了 07/17 20:46
140F:→ Kazamatsuri : 错应该是您伪造文书的成分比较大吧? XD 07/17 20:46
141F:→ Aixtron : 国小就是以前法律的遗毒!我以前去开户,填资料,一 07/17 20:46
142F:→ Aixtron : 大堆有的没的,现在带双证件去,签几个名,法律在进 07/17 20:46
143F:→ Aixtron : 步,人也要进步!我觉得国小是对资安有帮助,就恶法 07/17 20:46
144F:→ Aixtron : 亦法,不是本来就是正确的! 07/17 20:46
145F:→ Sheng98 : 所以重点是一开始写非正确的国小名称就要自己记好 07/17 20:46
146F:→ Sheng98 : 免得下意识回答原本正确的国小名称就糗了 07/17 20:47
147F:→ Kazamatsuri : 那当初您也可以拒绝填写拒绝申请卡不是? 07/17 20:47
148F:→ Aixtron : 没错啊!我相信早晚不用填的! 07/17 20:48
149F:→ Sheng98 : 想到现在有些网站 (不是银行) 申请帐号时, 如果要取 07/17 20:48
150F:→ Sheng98 : 回密码还要回答自设的问题的答案 (当然也有问题问 07/17 20:49
151F:→ Sheng98 : 毕业於哪个国小), 通常都是每个人下意识直接就能回 07/17 20:49
152F:→ Sheng98 : 答的答案 07/17 20:49
153F:→ Aixtron : 您最好去上资安密码的课!我相信上完,您才会发觉您 07/17 20:51
154F:→ Aixtron : 现在的密码多不安全!真心不骗! 07/17 20:51
155F:→ alloc : 乾脆学虚拟货币的密码组好了 越来越复杂真棒 07/17 20:51
156F:→ Sheng98 : 复杂到我有些网站的密码都快改到自己背不起来了 07/17 20:52
157F:→ Sheng98 : 何况加上问题验证的 07/17 20:52
158F:推 Aixtron : 看您怎麽看待您的资讯安全!这是每个人价值选择,不 07/17 20:54
159F:→ Aixtron : 是工程问题XD 07/17 20:54
160F:→ Aixtron : 像我ptt的密码,不安全也不想改,被偷走很好,否则 07/17 20:56
161F:→ Aixtron : 每天都手痒挂在这XD 07/17 20:56
162F:推 UCCUplz : 推 07/18 01:07
163F:推 david220 : 绑完会寄简讯通知啊 07/18 10:20
164F:→ Killercat : ...密码准则还需要上课才知道喔? 07/18 11:59
166F:推 LV3000 : 渣打银行密码就强迫复杂,有很好人记不住 07/18 16:13
167F:→ LV3000 : 很多人,上面错字 07/18 16:14