近年來,政府和企業已經將雙重認證視為數位發展的關鍵基礎設施。因其出色的便利性和保密性,使其成為取代傳統使用者名稱和密碼的最佳選擇。 透過動態產生的一次性密碼(OTP),不斷更新的特性,它能夠確保帳戶的存取安全,有效地解決了帳戶密碼被盜用的風險。
然而,儘管雙因素認證提供了更高的安全性,但盜刷問題仍然存在。 駭客和惡意用戶仍然可能透過社交工程(Social Engineering)攻擊或其他方式獲取用戶的認證訊息,並試圖入侵帳戶。 針對盜刷問題,原先民眾若誤用 OTP 機制造成盜刷,是無法被列入爭議款項的,而金管會於 2024 年 3 月發表的聲明使其有了轉機,快來跟著馬克了解這件與我們都息息相關的新情報吧!
OTP是什麼
一次性密碼(One-Time Password,簡稱 OTP),又稱動態密碼或單次有效密碼,顧名思義是在數位裝置上只能使用一次的密碼,是運用動態密碼產生器、晶片金融卡或以其他方式運用 OTP 原理,產生的限定一次使用之密碼。最常見的使用情境是進行網路消費或網路轉帳時,為了驗證是否由持卡人本人發起此次交易活動而由持卡人於交易時再輸入「網路刷卡簡訊 OTP 密碼」以進行認證,以此增強資訊安全。
而 OTP 的產生方式,主要是以時間差做為伺服器與密碼產生器的同步條件。在需要登錄的時候,就利用密碼產生器產生動態密碼, OTP 一般分為計次使用以及計時使用兩種,計次使用的 OTP 產出後,可在不限時間內使用;計時使用的 OTP 則可設定密碼有效時間,從 30 秒到兩分鐘不等,而 OTP 在進行認證之後即廢棄不用,下次認證必須使用新的密碼,比起一般的密碼系統,可能容易被猜到與持卡者有關連性的密碼,OTP 密碼隨機亂數產生,且只使用一次,即使被駭客攔截也無法應用到下一次的登入。是為了減少在未經授權的情況下被存取有限制資訊(ex,個資、信用卡資訊)的風險。
取得途徑
目前最常見的是以簡訊傳送 OTP,其他還有行動載具、獨立載具或紙本檔案傳送等形式。
文字簡訊:由於文字簡訊是很容易能接觸到的技術,也因此最常用來傳遞動態密碼;然而,對於中間人攻擊的抗性較低,也是此種方式較容易產生安全性問題。
紙本檔案:在某些國家的線上銀行系統會採用預印的方式提供一次性密碼。
行動載具:對於有成本考量但希望取得較高安全性的公司,會規劃使用在行動載具上安裝行動應用程式產生動態密碼。
獨立載具:為了追求更高的安全性,使用者也能使用較高成本的方式——獨立載具,將產生動態密碼所需的金鑰存放於載具內,避免被中間人攻擊或因為行動載具的系統漏洞而被取得金鑰。但由於獨立載具內建電池模組,因此會有壽命和回收的問題;或是使用由外部供電的載具,經由類比鍵盤輸入的方式存取金鑰,但是此種載具和電腦有實體接觸,因此沒有與獨立載具相同的安全性。
詐騙手段與盜刷情境
2022 年曾發生在 FB 社群平台上有「假小編」搶在賣家之前私訊消費者,騙取買家信用卡個資,再以第三方支付手法盜刷。事件經過是被害民眾是在果農的臉書訂購芒果被詐騙集團盯上,這些不法分子搶在賣家之前私訊民眾索取信用卡號,並謊稱說為了認證會寄一組 OTP 密碼到被害人的手機,再請被害人提供 OTP 密碼,嫌犯取得 OTP 動態密碼後立即以第三方支付連結信用卡帳戶盜刷,一口氣盜刷 8 次,如此手法防不勝防,還有哪些詐騙 OTP 密碼的手法呢?
金管會 2022 年曾揭露利用果農粉絲專頁的詐騙流程圖
圖片來源:金管會
假網頁騙取 OTP 盜刷
網路購物興起也帶動詐騙手段的升級,OTP 詐騙也推陳出新,其中使用假網頁騙取信用卡一次性密碼(OTP)的盜刷,是相當常見新型詐騙手法,這些虛假網站通常被設計成與合法機構或服務提供者非常相似,去欺騙用戶輸入他們的個人資訊、帳戶資訊或支付資訊。消費者往往未能分辨真假而在無意間將 OTP 密碼交予詐騙團體,因此產生大額損失,以下列舉幾個常見的情境:
社群網站上的購物連結: FB 上有許多廣告會推送一些產品給用戶,通常會於廣告中或留言處附上外網購物連結,而這些網站很有可能是詐騙集團架設的假網站,很多盜刷事件就是由於用戶點了購物連結,然後就直接在此連結上填寫個資後就刷卡,也同時把 OTP 輸入。
簡訊內的網站連結:去年很多 e-Tag 的盜刷案,經查才發現詐騙集團會假冒 e-Tag 發送未繳費的通知簡訊,簡訊中還附上連結,引導民眾到釣魚網站頁面或是下載假的 APP,進而騙取個資、卡號與 OTP 密碼,並且馬上盜刷。
點數到期通知:某些官方網站的會員會收到冒稱是該網站的優惠或點數到期通知,並於簡訊末附上外網連結,使用者因此被導入詐騙集團架設的假網站,誤以為是官方網站並於其中進行網路消費,因此將卡號或 OTP 等資訊洩漏給詐騙集團。近期還發生民眾看到麥當勞餐券限時優惠,立刻刷卡搶優惠,輸入卡號、信用卡安全碼及 OTP 密碼,結果竟是詐騙,原本只想花 100 元買麥當勞優惠餐券,卻變成被盜刷 10 萬元買名牌包。
OTP 密碼遭攔截盜刷
近年來,駭客不只竊取網路服務的帳號密碼,也開始竊取 OTP 密碼。就像去年就曾發生有多位銀行用戶在社群媒體上聲稱遭到盜刷的事件,並且這些盜刷行為都通過了 3D Secure 認證,引發了媒體的廣泛報導和金融監管機構的關注 。 這很可能是透過電子郵件管道取得 OTP 碼所導致的。
信用卡 3D 驗證
為國際信用卡組織(Visa、 MasterCard、JCB..等)、發卡銀行及收單銀行共同推行的網路安全認證服務,用來防範持卡人於線上支付時被盜刷。3D 驗證區分為兩種驗證模式,一是靜態密碼驗證,持卡人需向發卡行申請,二是現在更普遍的動態密碼驗證,透過申辦信用卡時留存的手機號碼發送。持卡人在網路上使用信用卡消費時,該系統頁面將自動顯示「信用卡 3D 驗證」的視窗,屆時需輸入自發卡行發出的認證密碼才能完成付款。3D 認證是為了確保交易是持卡人本人操作而增加的保護措施,若信用卡被第三者盜取,也會因為無法得知該用戶的 3D 驗證密碼,進而可能發生交易失敗的情形。
但如用戶未能妥善保存密碼仍會有被盜刷的風險,且銀行會認定只有持卡人才知道 3D 密碼,故一旦交易完成,責任將歸屬於持卡人,損失款項通常會由持卡人自行承擔。
被攔截的電子郵件
銀行在引入 3D Secure 認證機制後,部份的銀行設定在刷卡時會同時將 OTP 驗證代碼發送至持卡人的手機和電子郵件信箱,而不是只使用短信方式發送。 如此則發送的驗證代碼郵件有可能會被不法分子竊取,因此他們能夠通過 3D Secure 認證,盜刷用戶的信用卡。而後許多銀行也調整策略,選擇停止電子郵件發送 3D 驗證碼,依此預防措施降低網路交易的風險。
社交工具詐騙
詐騙團夥也可能利用社交工具(例如電話、電子郵件、簡訊、LINE 等通訊軟體)或以不同名義(債務整合、詐騙話術)騙取用戶的信用卡號資料,也會誘使用戶配合指示代收或提供動態驗證密碼(OTP)予他人,後續以密碼完成冒用交易。
過去銀行的處理方法
在過去,針對一次性盜刷的 OTP 外洩,無法列為信用卡爭議款。銀行業者說明,依照國際發卡組織的規定,只要銀行提供 OTP 密碼,且在交易時卡號與該 OTP 密碼相符,就確認交易,這是國際共通規定,銀行不能提前止付。雖然受害民眾向銀行主張要列「爭議款」,欲申請盜刷款項被列為爭議款,也並不代表就可以免付此筆費用,主要因為要向國際卡組織申請爭議款項,通常會有 45 天的調查期,機構才能核查確定是否確實為盜刷;而當時的規定是,只要認定是卡友將卡號或 OTP 密碼提供給他人,即不屬於爭議款。在上述情境中普遍會被國際發卡組織認定「是卡友自己提供 OTP 給他人」,因此不同意列入爭議款。而消費者認為,卡號與 OTP 驗證碼是被不肖歹徒騙走,而非自己外洩。所以這樣的處置方式也引起許多人民的討論聲浪。
爭議款:信用卡持卡人購買商品或服務後,如果發生特定情況,可向發卡銀行提出有爭議的帳款處理請求。 這個機制由信用卡國際組織(例如VISA、MASTERCARD、JCB等)設定,根據一定的條件和時間限制,可以撤銷有爭議的信用卡交易並將款項退還給持卡人。 持卡人必須遵守信用卡國際組織制定的規則和條件,否則在追溯期間未提出申請可能會被拒絕。
特定情況:
商店重覆請款
非本人或未授權的交易
已辦理退貨或取消交易,但未收到商店退款
未取得商品或服務
實際消費金額與請款金額或幣別不符
消費已用其他方式付清(改付現金或改刷其他張信用卡),帳單上仍有請款紀錄
符合各信用卡組織作業規定之特殊情形,如收到商品時發現損毀或與原商品描述不符
金管會定調原則
據統計,很多盜刷交易都是境外交易,牽涉到境外收單銀行、境外的特約商店,複雜也難管理,一直是金管會的一大難題,過去金管會就曾與銀行、國際發卡組織研商防堵機制,金管會第一步先要求各銀行須將持卡人的信用卡綁定行動支付資料,比對留存在行內的手機號碼,若相同才能准予綁卡,這項規定讓盜刷的風險下降。而現在民眾使用行動支付綁定成功,銀行也要發送簡訊或電子郵件通知持卡人,同時銀行內部針對高風險的海外店家,列入「黑名單」進行控管,一旦出現短時間密集性的國際行動支付交易就會阻擋,減少 OTP 外洩的盜刷可能性。
自 2023 年 12 月,金管會也與國際卡組織、銀行業者針對 OTP 的詐騙防治進行開會討論,而於 2024 年 3 月公布其定調的三大方向,金管會表示許多情境對消費者並不公平,而這次的三大作法希望能減少 OTP 詐騙發生的風險。
一,盡力協助顧客申訴
金管會要求銀行要站在客戶的立場,盡力協助持卡人申請爭議款,並且過往還是有申訴成功的案例,秉持負責與誠信的態度,銀行應積極回應持卡人的申訴請求,協助民眾爭取被盜刷時能止付的權利,確保這條求助渠道的暢通。
二,OTP簡訊資訊需清晰
OTP 的簡訊中會寫明該筆交易金額、幣別。但有一種詐騙手法是金額數值相同,但是詐騙集團刷其他幣別,例如持卡人購買100新台幣的商品,詐騙集團刷100美元,就這樣消費者會在沒有識別清楚時,被盜刷高額商品。所以金管會要求銀行在傳送 OTP 的簡訊資訊要清楚,包含傳送目的、金額、幣別等要素,幣別須以中文標示,也要求發卡行需宣導,請民眾需注意OTP訊息內容,民眾看清楚後再輸入。
三,符合持卡人日常交易模式
過去常見 OTP 遭盜的情況,大多是不肖人士已經拿到卡號與 OTP 後,轉頭就綁定行動支付 APP,且多半會先小額試刷,確定能通過後,就會在短時間內密集交易,通常選在半夜進行。所以針對詐騙集團的這項行為,金管會表示因應每位持卡人都有不同的行為模式,銀行應觀察持卡人的交易是否符合平常的行為模式,若出現異常,就不應傳送 OTP 簡訊,或是不要再授權,請卡友與銀行聯繫,進一步判斷是不是盜刷案件。
金管會的態度與未來方向
金管會目前已定調三大原則,積極解決(OTP)遭盜刷的爭議,將於第二季正式上路,未來若再有卡友遭遇詐騙和盜刷也不再申訴無門,金管會也表示已發函至銀行公會,要求針對發卡行在一次性密碼驗證的交易,須強化現行信用卡在交易授權監控的風險管理,其中特別是最常見的可疑交易態樣要放入警示系統的監控參數,並且要求在 2024 年 03 月底之前完成相關的系統調整。金管會也要國銀在一次性密碼的使用者身分驗證進行強化,包括收單的信用卡身分驗證如何更有效進行;信用卡阻詐成功的定義,包括讓盜刷的情況「刷不過」之外,增加對爭議款項催討的成功率等;在刷卡身分驗證上透過雙向簡訊強化驗證。
以上金管會的措施無不展現其在 OTP 風險管理與詐騙防治的決心,金管會訂定的監管原則以大方向為主,落實仍須金融產業內的業者共同努力,官方的態度也成為銀行業者的風向標,目前各大銀行除了加強宣導力度外,也推出相應措施,例如兆豐銀行、華南銀行提供此類案件的持卡人分期 0 利率還款方案,降低持卡人還款壓力;數間公股銀行也陸續推出升級國際支付防範盜刷機制,會在被綁定在國際支付時,自動檢核持卡人綁定手機門號是否與持卡人原手機門號一致,不一致則需要致電客服始可完成綁定作業,以此預防詐騙集團竊取信用卡資訊後綁在國際支付、進行消費;也有銀行推出免 OTP 的金融 FIDO 認證,綁定人臉與紙文認證,破除 OTP 被盜用的可能性。
消費者守則
至此我們看到了 OTP 盜刷事件的猖獗與金融機構做出的努力,而回到消費者,我們能如何降低被詐騙及盜刷的風險呢?首先回顧常見的盜取 OTP 情境,常見的是臉書購物連結、簡訊中的連結,以及假頁面中要求輸入 OTP 密碼的情況。這些情境中都有由詐騙集團建設的虛假網頁,所以民眾在網路購物前若能確認網頁的真假則可以避免個資洩漏的危險,有幾種判斷方式:
一,網站與網址
首先可以從網址中判斷其是不是官方網站,一般網址識別可以看網址結尾,政府單位是gov.tw、教育單位是edu.tw、企業是com.tw,而詐騙網站由於可能會經常被舉報,因此不會花太多錢買一個網址,由亂數產生的網址就很可能是虛假網站,但隨著詐騙手法的日新月異,有些詐騙網址會模仿官方網站的網址,例如用「xxgov.tw」魚目混珠,民眾看到有gov.tw就誤以為真;也有一種手法是把「gov」的字母o換成數字0,變成「g0v.tw」民眾如果不察也會誤會。但民眾在識別網址時只要多看幾眼就能識別真偽。
另外,建議消費者在付款之前核對特約商店的名稱。以台灣高鐵官網的網路訂票為例,當輸入OTP密碼時,特約商店名稱應為「TAIWAN HIGH SPEED RAIL CORPORATION」。如果發現頁面上未顯示特約商店名稱,或者名稱看起來不尋常,就請停止輸入 OTP 密碼。
二,提供連結的管道
只要不是從搜尋引擎中顯示的網站,而是從第三方獲得的連結都需要特別留意真假,詐騙集團常假扮成大型企業或銀行,通過簡訊大量發送含有網址的訊息給民眾,所以簡訊或 Email 中附上的網站連結都可能會帶領我們去到虛假網站。金管會現已要求銀行不得通過簡訊方式要求客戶提供個人資訊,而對於這些資訊,而我們在接收資訊時多一分留意可以使被盜刷的風險降低,對於各項通知或優惠消息,多查一步保障自身個資安全。
三,仔細確認 OTP 簡訊的資訊
如前文所述,金管會已要求銀行在發送的 OTP 簡訊中有更清晰的資訊說明,銀行業者也持續思考如何排版跟呈現會使簡訊內容更清晰,回到消費者端,在收到簡訊時更警覺於簡訊內容能幫助我們規避被詐騙的可能,當簡訊內容跟你購買的商品價格有出入時步要傳送 OTP 密碼並盡快與銀行確認此筆款項是否異常,才能真正讓我們免於被詐騙。
結語
詐騙的手段隨著網路購物興盛也逐漸推陳出新,而 OTP 又由於其特殊性在遭遇詐騙時可能無法被納入爭議款項,但金管會定調的三大原則已經表明了其完善監管漏洞的態度,自此消費者遭遇詐騙後有望能申請到爭議條款,而目前還在推出階段,也許隨著三大原則的落地執行,未來也可能再納入其他更保護消費者的條款,更有許多銀行想出各種方法防範詐騙發生,整個金融體系正共同設計出一套解方來有效控制詐騙事件的發生,消費者也要更敏感於自身的個資安全,OTP 最初的設計是為了彌補靜態密碼可能產生的資安漏洞,而現在卻也成為詐騙集團能鑽的空隙,因此不要讓不肖之徒輕易取得我們的 OTP 密碼,保護好自己的財產,做個聰明機警的持卡人,才能更好的享受線上支付工具的便利以及線上購物的快樂!
首圖來源:https://www.perfect-lawyer.com.tw/internet-fraud/