作者HOLAHOJIAN (HOLA)
看板creditcard
標題[討論] 信用卡被盜刷(OTP),誰的責任?
時間Thu May 30 17:22:13 2024
這件看起來是投訴到評議中心案件
有關於交易自己沒看OTP內容
輸入驗證碼後交易成功又巨嬰不願意付款的案例
各位可以參考看看
申請人怎麼說…
阿華在111年7月8日上午9點多接到以郵局名義傳來須繳費56元的手機簡訊,因此使用A銀行核發的信用卡進行線上刷卡。過沒多久阿華驚覺可能是遭到盜刷,立刻打電話給A銀行要求停卡並希望能停止這筆交易,可是之後A銀行仍然從阿華的帳戶扣繳了這筆交易款項新臺幣87,290元。這筆交易的幣別是土耳其幣,阿華認為自己並沒有消費,A銀行應該履行失卡零風險的承諾,因此請求A銀行返還扣繳的信用卡消費款項新臺幣87,290元。
銀行怎麼說…
這筆信用卡交易是阿華提供信用卡資料給B商店,A銀行接到B商店申請交易授權後,就寄發OTP交易認證碼簡訊到阿華留存在A銀行的手機號碼,簡訊內容是「A銀行卡末四碼〇〇〇〇網路交易金額約TRY
50000.00元,交易認證碼〇〇〇於六分鐘後失效。提醒您,勿將密碼交付他人以防詐騙」,阿華回傳認證碼給B商店後,A銀行才核准授權這筆信用卡交易,並且寄發交易確認簡訊給阿華。而信用卡是一種支付工具,當持卡人把卡號資料及OTP交易認證碼提供給特約商店完成交易授權後,交易就完成付款委託的程序並進入彙送交易資料與撥款流程,發卡機構沒有權力對於已經完成授權的交易拒絕撥付款項。阿華沒有盡到保護自己信用卡安全的責任,導致發生損失,這跟A銀行保障的失卡零風險無關,何況阿華並沒有遺失信用卡,而是交付卡號及OTP交易認證碼給其他人。因此這딊坏璈鶼痗竣ㄛOA銀行的責任,而應該由阿華依照信用卡契約條款負清償之責。
評議委員會怎麼說…
簡訊內容有載明是網路交易,也有顯示交易金額,雖然交易幣別不是新臺幣,但是仍然跟阿華所認知是郵局通知繳費的56元金額有很大的差異,阿華卻還是把應該自行保管的密碼提供給其他人導致被盜刷,顯然沒有盡到妥善保管密碼的責任,對於認證密碼被其他人知悉使用來說,是有重大過失的。
判斷理由說給您聽…
一、依據阿華跟A銀行雙方間信用卡契約條款的約定,持卡人應該妥善保管及使用信用卡,不可以用任何方式把信用卡或卡片上的資料交付、授權其他人使用,而且持卡人對於開卡密碼或其他辨識持卡人身分的方式應該予以保密,不可以告訴其他人。此外,依照交易習慣或交易的特殊性質,是用郵購、電話訂購、傳真、網際網路、行動裝置、自動販賣設備等其他類似方式訂購商品、取得服務、代付費用而使用信用卡付款,或使用信用卡從自動化設備預借現金等情形,銀行可以用密碼、電話確認、收貨單上的簽名、郵寄憑證或其他可以辨識當事人身分及確認持卡人意思表示的ꐊ閬”茈N替,無須使用簽帳單或當場簽名。由此可知,持卡人依據信用卡契約條款的約定,對於用來辨識持卡人身分的網路交易驗證密碼負有妥善保管的義務。
二、另外,雙方間的信用卡契約條款也約定,持卡人的信用卡如果有遭到其他人冒用進行前述條款所約定特殊交易的情形,持卡人應該儘速通知銀行辦理停卡及換卡手續,持卡人辦理停卡及換卡手續之前被冒用所發生的損失,都由銀行負責。但是,持卡人因為故意或重大過失,讓其他人知道使用自動化設備辦理預借現金或進行其他交易的交易密碼,或是其他辨識持卡人身分的方式,那麼持卡人就應該負擔辦理停卡及換卡手續前被冒用的全部損失。
三、A銀行傳送的認證密碼簡訊內容記載:「A銀行卡末四碼〇〇〇〇網路交易金額約TRY
50000.00元,交易認證碼〇〇〇於六分鐘後失效。提醒您,勿將密碼交付他人以防詐騙」,阿華也不否認有收到簡訊並且把交易認證碼資訊提供給其他人。雖然阿華認為自己是被詐騙才會把信用卡資訊跟簡訊發送的認證密碼提供給其他人而導致被盜刷,可是之所以會完成這筆信用卡交易,是因為阿華把收到的簡訊OTP認證碼資訊告訴其他人,才讓其他人可以用阿華告知的完整信用卡卡號、有效日期、安全碼、簡訊OTP等,取得A銀行對於這筆信用卡交易的授權,並且完成這筆網路交易。此外,網路交易的驗證密碼是用來確認交易人身分的重要憑據,這個密碼只會有持卡人知道ꄊA依照網路信用卡消費的通常流程,由於不是面對面的交易而會有卡片遺失、不是本人持有使用的風險,所以在消費流程上,輸入信用卡資訊後常設有一道驗證身分的關卡,例如需要輸入即時產生並且只依照持卡人約定的方式發送給持卡人的OTP交易認證密碼,以確保持卡人跟刷卡人是同一人,而且必須要在幾分鐘短時間內輸入以防止密碼外流。如果在刷卡消費過程中輸入了只有持卡人才會知道的OTP密碼,應該視為持卡人已經有委託付款的指示。
四、依據雙方間信用卡契約條款的約定,阿華負有妥善保管認證密碼的責任,而且密碼簡訊內容有載明是網路交易,也有顯示交易金額,雖然交易幣別不是新臺幣,但是仍然跟阿華所認知是郵局通知繳費的56元金額有很大的差異,阿華卻還是把應該自行保管的密碼提供給其他人導致被盜刷,顯然沒有盡到妥善保管密碼的責任,對於認證密碼被其他人知悉使用來說,是有重大過失的,依據信用卡契約條款的約定,阿華應該對於這筆交易款項負清償的責任,因此阿華不能請求A銀行返還這筆信用卡交易的消費款項。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.131.220 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/creditcard/M.1717060936.A.273.html
2F:推 tr000064 : 當然是they 05/30 18:48
3F:推 DFIGHT : 這邊理組提出疑問 土耳其幣和台幣1:1 OTP簡訊數字 05/30 19:00
4F:→ DFIGHT : 一定會顯示八萬多元 他是怎麼說56元的? 05/30 19:00
5F:→ DFIGHT : 你懂意思嗎? 銀行發出OTP是要顯示刷多少 一定會顯 05/30 19:01
6F:→ DFIGHT : 示八萬多 那是顯示56然後刷八萬多 05/30 19:01
7F:→ DFIGHT : 阿所以內容中又說銀行發出簡訊寫五萬多 阿到底是5605/30 19:03
8F:→ DFIGHT : 還是五萬還是八萬 明明土耳其幣台幣1:1 05/30 19:03
9F:→ shaoten7 : 反正今天不管顯示多少阿華都會送出驗證碼05/30 19:09
10F:→ shaoten7 : 從來都不是金額問題 是不願意檢查..05/30 19:09
11F:推 jakkx : 五萬和八萬數字有問題而已。被害者收到的就加害者發05/30 19:14
12F:→ jakkx : 的簡訊。問題是這邊強調56元與實付金額的差異有什麼05/30 19:15
13F:→ jakkx : 特別的意義嗎?如果相同結果會不一樣嗎?05/30 19:15
14F:推 waakye : 目前OTP都是自己犯蠢,還沒看過攔截簡訊的05/30 19:17
15F:推 jakkx : 尾段看起來的意思似乎是50000與56元的簡訊都有收到?05/30 19:27
16F:推 cka : 目前otp都是自己給出去的,然後被害人都會說他被詐騙05/30 19:41
17F:→ cka : 那跟你直接領現金給詐騙集團也是一樣意思05/30 19:41
18F:→ bbcer : OTP驗證碼輸入頁面是輸入賣家平台嗎?05/30 19:43
19F:→ bbcer : 那如果在網站刷卡100元,網站告知銀行刷50000元05/30 19:45
20F:推 yuta02 : 4.林益…………阿沒事05/30 19:46
21F:→ lionel20002 : 56就詐騙簡訊隨便設的數字05/30 19:47
22F:→ bbcer : 網站OTP驗證頁面顯示100元,消費者沒注意簡訊寫5萬05/30 19:47
3d驗證網頁會寫幣別跟金額吧
跟簡訊一樣的,你可以去刷看看
通常都是沒在看
23F:→ bbcer : 只看到OTP 驗證頁面上的100元就輸入驗証碼,算誰錯?05/30 19:49
24F:→ vyvian : 如果sim卡劫持,OTP發到非持卡人手機,這樣算誰的?05/30 20:11
25F:→ kaltu : 用不可作為認證手段的SMS作為安全機制就有很大的問05/30 20:48
26F:→ kaltu : 題,SIM卡劫持、手機安全漏洞、擁有可以讀取SMS權限05/30 20:48
27F:→ kaltu : 的App05/30 20:48
28F:→ kaltu : 太多問題了,只是銀行想卸責而已05/30 20:48
29F:→ kaltu : 這個時代只要犯罪集團能搞到OTP,銀行就會主動配合05/30 20:48
30F:→ kaltu : 把贓款弄到帳05/30 20:48
笑死先證明真的sim卡被劫持啦
這案件不就被害人自己輸入進去的。還劫持什麼
能劫持的案例少之又少,目前只有看過獲利王手機那事件,木馬植入到主機板
※ 編輯: HOLAHOJIAN (27.52.131.220 臺灣), 05/30/2024 20:51:50
※ 編輯: HOLAHOJIAN (27.52.131.220 臺灣), 05/30/2024 20:54:10
31F:→ ivansailu : OTP驗證頁面也是假的,頁面上顯示的金額跟簡訊金額 05/30 20:58
32F:→ ivansailu : 不同,朋友之前買麥當勞差點中招有截圖給我看過 05/30 20:59
33F:→ drakon : 他先收到詐騙簡訊說他欠費56元 所以點了上述簡訊裡 05/30 21:33
34F:→ drakon : 的詐騙連結去刷卡 然後沒確認銀行給的otp上面是500 05/30 21:33
35F:→ drakon : 00土幣 就把otp碼輸入到詐騙網頁裡 05/30 21:33
36F:→ drakon : 然後銀行就說 我們有傳簡訊給你 你自己確認後輸入 05/30 21:34
37F:→ drakon : 了otp我們不賠 不過這個能爭議的大概就是他沒拿05/30 21:34
38F:→ drakon : 到東西吧 只能用這個去爭05/30 21:34
已出貨給對方很難,所以才會有保護巨嬰提出即享券延後使用政策
看眼科比較實在啦
39F:推 chia23520 : 商家已經出貨給詐騙集團了,所以無法用沒拿到東西去05/30 22:19
40F:→ chia23520 : 爭 05/30 22:19
41F:→ tomsawyer : 劫持國外有發生過 拿證件去掛失sim卡改2fa 05/30 22:44
那不叫劫持,是盜辦,而且怎拿到證件的
還要去電信業者重辦卡欸
乾簡訊被劫持什麼事?就盜辦案件而已好嗎
而且是少數案件
42F:推 DFIGHT : 推文在共啥小 OTP是銀行發的 要花多少錢會寫上去05/30 23:07
43F:→ DFIGHT : 哪是加害者發的05/30 23:07
44F:→ DFIGHT : 就網頁給啥你就信啥 然後銀行給的OTP 數字是8萬多 05/30 23:10
45F:→ DFIGHT : 還給密碼給別人 自作孽不給活 呵呵 扯什麼OTP 當然05/30 23:10
46F:→ DFIGHT : 是被害者自己吞 不會用信用卡 就乖乖用現金05/30 23:10
※ 編輯: HOLAHOJIAN (27.52.131.220 臺灣), 05/30/2024 23:22:07
47F:推 gn02316900 : 只能建議一律用現金 台灣人民部分仍然不適合用信用 05/30 23:20
48F:→ gn02316900 : 卡 05/30 23:20
50F:→ DFIGHT : 叫他自己付 自己蠢 怪不了誰 05/30 23:25
51F:推 Tattoo : 其實這種商家八成也是詐騙集團的一夥,但是跨國你 05/30 23:29
52F:→ Tattoo : 很難去查。 05/30 23:29
53F:推 DFIGHT : 被劫持 那就是警察的事情了 更不干銀行的事阿 手機 05/30 23:30
54F:→ DFIGHT : 有連按五次電源按鈕發送求救給五位朋友的功能 自己05/30 23:30
55F:→ DFIGHT : 設定好05/30 23:30
56F:→ cityport : 有看過國外某個銀行會傳簡訊給你..你要回傳金額才會 05/30 23:53
57F:→ cityport : 放行..這方法比OTP好太多 05/30 23:55
58F:→ cityport : 至少能識破假網站用不同金額來騙人 05/30 23:56
其實跟這方法類似吧
https://myppt.cc/KSywpn
被噓欸
59F:→ cityport : 訂單跟刷卡金額不同只能靠你回傳銀行來擋掉 05/30 23:58
60F:推 roy2142 : 樓上這方法好像不錯耶 輸入金額正確才放行 雙向驗證 05/31 00:02
61F:→ bbcer : #1Yl9ajsU 這篇就是OTP驗證碼缺點,如果平台就有問題 05/31 00:07
62F:→ bbcer : 更正,這篇不是平台有問題,而是偽裝小幫手的人有問題 05/31 00:10
63F:→ bbcer : 如果正常刷卡,被人拿到卡號個資+OTP去盜刷,算誰的? 05/31 00:12
※ 編輯: HOLAHOJIAN (27.52.131.220 臺灣), 05/31/2024 00:20:43
64F:→ cityport : 哪裡有類似?? 那篇新聞哪裡有回傳金額給銀行?? 05/31 00:26
65F:噓 diogofseixas: 就釣魚簡訊,導引到輸入卡號資料的網頁,讓你自己 05/31 00:27
66F:→ diogofseixas: 輸入資訊被釣魚,然後他們再到另一個購買網站輸入一 05/31 00:27
67F:→ diogofseixas: 樣資訊,再跟你問密碼 05/31 00:27
68F:→ cityport : 你再把新聞看一次..用CAPTCHA這落後東西被噓剛好 05/31 00:32
69F:推 sgxm3 : OTP進階驗證詐騙多傳一個四碼訊息就破解了,上面講 05/31 07:42
70F:→ sgxm3 : 的那個回傳金額感覺比較有用。 05/31 07:42
71F:推 sgxm3 : 台灣人太有錢了才會被詐騙集團努力耕耘。隨便一個 05/31 07:49
72F:→ sgxm3 : 巨嬰就能騙9萬,菲律賓越南印尼要騙多久才有。 05/31 07:49
73F:推 DFIGHT : 61f 金管會有提出綁定app pay 需要查核手機號碼 有 05/31 09:17
74F:→ DFIGHT : 規定好像是十月底前上線 不確定 05/31 09:17
75F:推 Muscleyun : 本來就是這樣 自己授權的繳費 然後來客訴銀行 05/31 11:06
76F:→ lizardc1 : 坏璈鶼痗竣ㄛOA 05/31 11:32
77F:→ glen246 : 我試過,詐騙網頁顯示的金額是假的,厲害的是信用卡 05/31 12:30
78F:→ glen246 : OTP簡訊也不顯示金額與幣別 05/31 12:30
80F:→ glen246 : 後來信用卡公司終於學聰明了,過一陣子OTP簡訊才開 05/31 12:32
81F:→ glen246 : 始有顯示幣別與金額 05/31 12:32
82F:→ glen246 : 然後怕你簡訊沒收到,mail也會寄一份 05/31 12:34
83F:→ glen246 : 這家信用卡早期OTP簡訊真的完全不告訴你刷的實際金 05/31 12:41
84F:→ glen246 : 額 05/31 12:41
85F:→ glen246 : 好像去年才開始顯示在OTP簡訊顯示預估刷卡金額 05/31 12:46
86F:推 makio : 這不是盜刷啊,這是他被詐騙上當了。完全不一樣.. 05/31 12:59
87F:→ glen246 : 這種詐騙比傳統盜刷還要麻煩,因為都是你本人自己 05/31 13:00
88F:→ glen246 : 輸入OTP密碼,以前的規則好像要你自己吸收(? 05/31 13:00
90F:→ glen246 : 如果是傳統盜刷還可以列爭議款補救,而這種是非盜 05/31 13:01
91F:→ glen246 : 刷行為的詐騙 05/31 13:01
92F:推 foxey : 缺乏安全知識和概念的就一堆啊 上面不就一篇亂給otp 05/31 14:08
93F:→ foxey : 還要賴給銀行 到時還不是全體用戶縮權益幫扛 05/31 14:08
94F:推 pukaucc : 銀行:盜刷我承擔,被騙你活該 05/31 14:09
95F:→ bbcer : 若騙局以假亂真騙過大多數人給OTP,不應再用OTP驗證 05/31 16:38
96F:→ bbcer : 而銀行要找更有效的驗證方式,不然消費者會不敢用卡 05/31 16:40
97F:→ sinclaireche: 銀行推廣otp的行動搭配公會最近的作法 繼續用不用 05/31 16:41
98F:→ sinclaireche: 負責的東西 負責收錢就好 05/31 16:41
99F:→ bbcer : cityport板友說的輸入金額回傳給銀行端,也許可參考 05/31 16:42
100F:→ bbcer : 另外提,大樹金卡片安全鎖還不錯,越紅線就授權失敗 05/31 16:47
101F:→ bbcer : 若平日限國內&實體&1000以內,盜刷就較難,也是方法 05/31 16:50
102F:推 calase : 越有效的認證方式對消費者程序越多… 05/31 17:11
103F:推 Alphaz : 一堆人把詐騙說成盜刷 是以為可以賴給銀行要錢嗎,,, 05/31 20:39
104F:→ kaltu : SMS設立之初就沒有本身就沒有作為安全認證的系統在 05/31 22:54
105F:→ kaltu : 設計,不是濫用之後出事就推給警察就沒你的事耶笑死 05/31 22:54
106F:→ kaltu : 先搞清楚事情的本質,現在是台灣的銀行濫用不安全通 05/31 23:23
107F:→ kaltu : 訊,結果遇到新型態犯罪翻車了,為了安全的東西反而 05/31 23:23
108F:→ kaltu : backfire變成讓贓款更容易流通的角色,銀行還不停用 05/31 23:23
109F:→ kaltu : ,因為卸責起來太方便的問題 05/31 23:23
110F:→ kaltu : 而不是被台灣人嘴成受害消費者巨嬰 05/31 23:23
111F:→ kaltu : 去辦一下其他國家的信用卡看看其他國家的銀行是怎麼 05/31 23:23
112F:→ kaltu : 有責任地使用SMS OTP的好嗎? 05/31 23:23
113F:→ kaltu : 根本不是像台灣的銀行一樣重要非重要大小金額國內外 05/31 23:24
114F:→ kaltu : 交易都跟跟廣告垃圾簡訊放在一起的所謂授權(卸責) 05/31 23:24
115F:→ kaltu : 除了我自己opt in的通知之外我的Chase和BoA早就已經 05/31 23:24
116F:→ kaltu : 不用SMS通知重要訊息了 05/31 23:24
117F:→ kaltu : 沒錯Identify theft主要是警察的事,但銀行在明知有 05/31 23:24
118F:→ kaltu : ID theft的狀況下依然知情故意使用不安全通訊管道作 05/31 23:24
119F:→ kaltu : 為安全認證手段是銀行的gross negligence,而不是消 05/31 23:24
120F:→ kaltu : 費者巨嬰 05/31 23:24
121F:→ kaltu : 只有高風險交易才應「額外」用不安全管道多一層二次 05/31 23:24
122F:→ kaltu : 確認,起到正確「提醒」消費者的作用,不是作為授權 05/31 23:24
123F:→ kaltu : 甚至還營造不是盜刷的說法,詐騙本來就是盜刷的一種 05/31 23:24
124F:→ kaltu : ,本質上就不是你本人進行交易而是詐騙集團刷的,只 05/31 23:24
125F:→ kaltu : 是透過社交工程取得受害者的動態密碼而已,跟取得你 05/31 23:24
126F:→ kaltu : 的卡號和靜態密碼沒有任何技術上的差異 05/31 23:24
127F:→ kaltu : 除了台灣人之外從來就沒有把OTP神話,這東西外洩之 05/31 23:24
128F:→ kaltu : 後不管誰刷的都變成你刷的,不是盜刷的扭曲說法,開 05/31 23:24
129F:→ kaltu : 此先例這個世界上就不存在盜刷了 05/31 23:24
130F:→ kaltu : 反正用這種說法只要是社交工程攻擊取得的東西,哪個 05/31 23:24
131F:→ kaltu : 不是受害者主動給出的,通通都是授權交易何來盜用一 05/31 23:24
132F:→ kaltu : 說 05/31 23:24
133F:推 aspeter : 當然是你 所以OTP不要亂點跟輸入 你不點就沒事 06/01 00:15
134F:噓 yoshinobu : 某k到底在鬼扯什麼?otp金額與幣別簡訊都寫了,持卡 06/01 01:33
135F:→ yoshinobu : 人自己同意後送出,等同同意這筆交易,不算持卡人 06/01 01:33
136F:→ yoshinobu : 的要算誰的? 06/01 01:33
137F:噓 yoshinobu : 什麼叫作"本質上就不是你本人進行交易而是詐騙集團 06/01 01:37
138F:→ yoshinobu : 刷的"??到底在說什麼? 06/01 01:37
139F:→ bbcer : 如果OTP本身不夠安全,麻煩銀行改用其他驗證方式 06/01 01:39
140F:→ cityport : 3D驗證在美國現在完全不存在 06/01 05:16
141F:→ cityport : 美國的銀行好像以前被告過然後輸了..銀行就全部停用 06/01 05:17
142F:→ cityport : 其中一個原因是電信商在法院作證說SMS是不安全的 06/01 05:18
143F:→ cityport : 然後銀行就輸了官司 06/01 05:18
144F:推 asahi98 : 其實OTP有風險,之前我記得有新聞說能夠攔截別人簡 06/02 07:27
145F:→ asahi98 : 訊,假裝基地台發送簡訊出去騙被害人。電信詐騙偽 06/02 07:27
146F:→ asahi98 : 裝自己是基地台的模式發送給範圍內的手機門號,看 06/02 07:27
147F:→ asahi98 : 誰中招。這樣很難防 06/02 07:27
148F:推 sorawang : 每次都有人說opt可以被攔截,啊實際上拿例子又舉不 06/02 15:16
149F:→ sorawang : 出來 06/02 15:16
150F:推 jakkx : 上面那個應該是記錯了。是免費WIFI吧 06/02 19:14
151F:→ even0213 : 試論 卡號效期CVV +OTP同時被截取的機率是? 06/03 05:35
152F:→ even0213 : 一堆講OTP不安全.倒是找個現實實例來看看? OTP有時 06/03 05:39
153F:→ even0213 : 效限制.安卓手機預設不安裝未知應用程式.銀行有3千 06/03 05:40
154F:→ even0213 : 刷卡簡訊、EMAIL、推播.電支本身也有推播.多到不行 06/03 05:41
155F:→ even0213 : 的刷卡通知.然後OTP不安全? 講個18-80都適用的安全 06/03 05:42
156F:→ even0213 : 機制.不能太麻煩的 老人會用 又要夠安全的 06/03 05:42
157F:→ even0213 : 一堆優秀的死ABC 愛說國外如何優秀好棒棒 倒是舉幾 06/03 05:44
158F:→ even0213 : 個像台灣的銀行,還得請警察到場阻止被騙匯出的CASE 06/03 05:45
159F:→ even0213 : 一堆巨嬰.打著受害者旗子.淨想著打造一個信用卡烏托 06/03 05:46
160F:→ even0213 : 快去一人一信金管會.實施你們心中安全又方便的機制 06/03 05:56
161F:→ asdfghjklasd: 跟56元有什麼相關,直接從簡訊網址刷卡付錢才是問題 06/03 18:01