首先感謝當事人和處理的資安專家分享細節，
讓大家可以在學到經驗，或許可以避免發生類似慘劇。

金管會從來都沒有積極在做事~

你還是沒搞懂 這次事件是釣魚網頁 雖然事主警覺性不足 但也不是蠢到直接給出OTP 倒是很好奇假的3D認證網頁是做的多像真的

樓上 我看新聞的畫面 應該是透過臉書訊息給的這6月中有上新聞 剛看到幾個截圖 估計是詐騙集團誆他失敗了 重發一次啥的之類阿 抱歉 更正上面的臉書那句 這邊我誤會了畫面上只有顯示FB的對話紀錄和網頁的部分 沒寫怎麼給的

不要在臉書買東西 不要給出信用卡和OTP

看新聞好像是說對帳要卡號跟檢查碼 老招了

是說在臉書買芒果 卻刷信用卡 算常見嗎？我會覺得給出信用卡資訊很危險就是了

只用eSE 行動支付比實體刷卡更安全，其他為了高優惠的綁第三方支付冒風險 還是算了 臉書敢買東西的也是。。。

其實要跟最源頭做交易，想要跳過各種中間商平台運營之類的本來就是要風險自負，你省下的錢就是你要自己處理的成本（包含一旦出事沒有人可以賴的成本），今天如果使用者跟果農透過蝦皮或是其他之類的中介，目前問題根本不會發生了，所以自己在FB（或是line/ptt聊天平台）交易，就自己想清楚要承擔啥事吧你跟出貨者都不想被抽一手就要準備好，有問題時要自行扛了

跟果農買水果就用老方法 先匯款後寄貨，不然就用貨到付款 刷信用卡 有這麼先進的果農。。。

而且果農還會先刷一元…

直接把驗證網址放在 OTP 裡,只是方便詐騙集團原本還要說服被害人驗證碼給他驗證,現在直接按就好

前幾篇有人貼截圖了 只能說…

Line Pay現在有限制了 帳號手機號碼要跟信用卡相同才能綁定

錢包能綁別人的卡不是系統漏洞但卻是設計缺陷，因為實際應用根本沒有就是沒考慮到才能讓詐騙集團拿來運用你說到底是甚麼情境需要綁別人的卡信用破產的人要用嗎？本身就做錯事受點懲罰乖乖付現金也合理未滿18要用嗎？應該是使用金融卡或是請家長辦附卡你就算直接拿爸爸媽媽的卡去消費，廣義上也是算盜刷

剛剛也去看了截圖，真的是...

釣魚網站真的很難分辨

所以這意思是想訂只能刷上限多少了吧 不然被詐騙的人永遠會被詐騙

Ultramarine 那只有部分銀行有這限制, 其他銀行沒限制

此案釣魚網站真的很好分辨

截圖是這個? https://i.imgur.com/sTVucLj.jpg完全不精美啊 首先域名不是.com.tw就很奇怪連去forms.app首頁 發現是提供類似google表單的服務跟刷卡支付完全不相關最重要的填otp地方 截圖沒有..

那是此案網站可能做得不太像，我剛好是網頁專長工程師，我可以完全仿照一模一樣的刷卡頁面，對於資訊方面甚至連電腦手機都不太擅長的人士來說，要被騙輕而易舉，這真的很危險而且銀行跟金管會又無法保障消費者，就只能自求多福，跟開啟刷卡即時通知，讓損失不要太慘重

他買的地方根本就不安全吧

不是什麼都是銀行跟金管會的鍋吧XD那那些匯款給將軍的老婦人也是要怪銀行嗎??網頁一模一樣又如何 阿就是不要點啊根據那個畫面 最厲害的是他已經轉帳出去 還又再給一次卡號匯款對帳為何要給到信用卡卡號@@?

為啥這事不是宣導不要在沒有保障的地方 (臉書) 買東西不要亂給出信用卡資訊和OTP 而是要怪OPEN錢包讓人刷這麼多 是因為不管怎麼宣導還是會有人貪小便宜被騙之類的嗎(我是說新聞內容)

不能檢討被害者,會被圍剿

可能是把錯都推給銀行 比較有可能變成爭議款?

滙款完成還另外把卡號及OTP給對方，這真的不能檢討害者嗎？好奇這要用什麼機制來保護？讓所有人都很難使用的大絕嗎？安全保障和使用方便之間到底該如何權衡呢？

對耶 匯款完還要填信用卡要驗證什麼 不過被害人有1秒猶豫就是了

目前這種釣魚網站是可以偽裝成任何購物網站的，可以架一個購物網站，再假裝有串金流，那你就會覺得一切合理，然後卡號就輸入了，再接著一個假的驗證碼欄位，OTP也很自然的被自動填入了。應該要嚴格控管刷卡頁面只能串接藍新/綠界這一類的，不能自行串接銀行端，這樣可以大大增加辨識度

只上正規購物拍賣平台(經由我的最愛或APP) 臉書純面交用

嚴謹跟方便是互斥事件

私訊/簡訊內連結不點最好 要你填敏感資料再三確認域名是否釣魚 我唯一無腦填的只有.gov.tw

不是 會亂輸入卡號的 我看就不要給信用卡

被害者永遠是對的,政府沒把犯罪者清零,就是政府的鍋

但這種被騙過的，可能以後遇到就怕了

一開始也都沒有消費通知讓他察覺擋刷嗎？

第三方支付管理本來就比較鬆 當然也可以說比較自由啦 所以這也是為什麼第三方支付交易量達到一定程度政府會要求申請成電支 讓管理比較嚴格

真正3d驗證 http://i.imgur.com/hGbvEbC.png注意一下域名 .com.tw我發現詐騙的很少用.com.tw去釣魚 不知道為啥XDD

詐騙集團還不夠先進，如果詐騙集團有一位it大臣那可能被騙的就不只這些人了XDD

.com(.tw)要有公司相關證明才能申請 費用也較貴

只是因為他用信用卡支付才能怪銀行怪金管會會被騙的人用現金一樣會被騙

資安專家都說是精美,還不夠先進?

重點是在臉書被詐騙，不是什麼銀行跟金管會的錯好嗎

不懂這些的人真的很多，你我身邊都有，有時候將心比心，自己不會遇到，不代表你身邊的人也一樣聰明，只能不斷提醒跟宣導

他自己的文章都有説一樣的事也是有人很機警沒被騙不可能因為有人用菜刀砍人就叫五金很不賣菜刀

反正目前來說就是遇到了就要自己吞，詐騙集團未必抓得到，錢也討不回來，只能自己多多留意

不過其實我記得信用卡條款中有 信用卡支付如果遇到詐騙反而有保障 如果確認是詐騙銀行可以不出款給商家 而且還可以回報詐騙商家終止合作的樣子 全世界好像都是這樣處理的 我記得國際組織有這樣宣傳說信用卡消費的安全 不過到台灣的銀行就…變樣了…

有的3D驗證網頁做的很陽春.....

臉書賣東西幾乎都是詐騙，然後隨便一個人説她是小編就相信

但這次不是詐騙商家，是被綁定第三方支付

.com.tw 不用公司證明，任何人都可以申請

重點申請是實名制

好 但要給的資料應該還是會比較多 倒不如取得較容易

不用一直強調臉書賣家是詐騙，釣魚網站是可以任何形式的，google到的購物網站，廣告很兇的購物網站，還有Youtube拍片的購物網站，任何都可能是釣魚竊取資料的管道，FB只是這次案例的一小部分

在我看來，詐騙的壞人最壞，被騙的人最笨，然後在那邊説一堆怪金管會怪銀行怪小七~推給別人最容易了那個是第三方支付，不是電支

說認網址的 就等你被unicode domain 釣魚

還真的沒有，.com.tw 目前跟一般的gTLD一樣，沒有額外要求的東西

説滙豐跟他説是7-11線上購物，其實銀行在特店還沒請款前本來就沒有比你清楚

不過台灣的 TLD 普遍都沒有 Whois Privacy 就是了

重點是.com.tw要申請，目前釣魚網站還是用免費網址甚至第三方服務就產生出來的假網站

詐騙只能宣導一般人，希望一般人不要被騙那些跟限制賣菜刀87%像的建議都是無用處的台灣人就是自由在人人一張嘴，沒有比較高明

如果他真的去有名的購物網站被詐騙我會真的想知道怎被騙的啦 在FB買東西還給信用卡這一般人都知道危險了

OPEN錢包申請不是要手機嗎？手機被拿來詐騙隨便都抓的到人吧 門號擁有者要負責啊

目前主流的瀏覽器皆已對IDN homograph (unicode domain) 做防禦，會轉成 Punycode

告下去就對了 就算第三方支付也不可能找不到人 台灣的支付工具除了現金其他根本不可能完全匿名 要不要查而已

時間有點錯過,第一時間沒找法律專家,而是找資安專家

樓主的建議超實用！推

請問Ken52大，我順了一下這種釣魚網站邏輯，假設一切都看不出破綻，但最關鍵的OTP上的金額資訊，要怎麼兜起來?像是我網購1萬的東西，我預期這種方式頂多能夠騙到我1萬但如果是綁卡這種1元OTP，這邊這個破綻，詐騙方應該沒辦法讓銀行發來的OTP是用1萬元來綁卡吧

對，訊息金額一定是錯的，這邊可以把自動填入功能關閉，以防安全，先確實完整讀完簡訊再輸入OTP

感謝分享

簡訊的完整性我也覺得有權益要做到完善，如果綁定op錢包裡面有提到相關資訊，也許就會被察覺到，有些驗證碼簡訊真的都太簡短太隨便了

簡訊的部分，我的認知是看銀行端是否要改進吧，現在看起來，每一家信用卡回傳的格式都不大一樣

刷卡有優惠 然後被反殺的概念

看了這麼多，還是覺得要是愚婦承認他是被騙，再來要求更改otp的顯示以及open錢包的改善。或許......最重要的詐騙過程細節都不講......唉....輕描淡寫...不過這也是損失19萬的作為，情有可原如果購物的流程真的是如前幾篇的貼圖....那真的該強化的是網路購物的知識宣導

在原PO說的案例中有人是國泰世華卡被綁後盜刷，問題是OPEN錢包綁國泰世華卡的簡訊會寫"申請APP安全綁卡"，結果受騙者還是把OTP碼填到網頁裡，只能說不看的寫什麼都沒用啦

不管啦都是銀行跟APP的錯

就跟ATM轉帳詐騙一樣怎麼宣導都沒用 太多就只能設定上限了覺得認網址網頁等等對一些人還是太難了 在安全的平台購物比較實際

會被自願詐騙的 什麼機制都無法防啦不管什麼機制 本人的同意都一定可以過 被騙同意對機制而言 還是本人同意

原po跟原po的朋友社經地位 學歷 應該都不低...才會..

同28樓hsinyuan的疑問，如果使用驗證網址，風險不是更高嗎？詐騙集團填卡號、受害者收到簡訊，結果按一下就驗證成功。

樓主指的是按了驗證網址以後會連到需要驗證碼的服務或網站，屆時就會被發現了，而非單純提供OTP密碼

那又要多一道確認驗證網址中網站真假

3D驗證應該都是在收單行或是NCCC的網站進行，所以是點進連結後前往原購物網站，輸入驗證碼的網頁？「還是」輸入驗證碼的網頁

3D驗證的頁面是「發卡行」提供或是公用服務商例如聯信提供收單行根本不知道持卡人是誰

[情報] OPEN錢包綁定 匯豐卡消費享10%刷卡金~https://bit.ly/3IaHzDn

網站做得假也是會有人被騙啊，這個防不了

看截圖的網站...應該常網購的人都不會中招...

今天買了一下美亞，美亞綁卡跟本沒有認證，也不用后三碼，請問這樣各位你們還堅持一定要做嗎？世界最大的線上購物網站都沒做~不懂因單一事件又限制一堆，這樣真的好嗎？

那是因為他是亞馬遜，在台灣也是有特例的，只有大型購物網站有儲存卡號的功能，一般小網站你每次買每次都要手動輸入一次，或者用的是藍新/綠界這種金流平台，也才會有儲存卡號的功能，同理，不代表要下放到其他資安做的很差的爛購物網站，隨便被盜個帳號你就哭了這個案例其實凸顯AP/GP這種虛擬卡號的重要性跟便利性，不要隨便手動輸入卡號，減少被側錄盜刷的任何可能性

說到底，臉書+小農+信用卡，這根本是個案好嘛...

還有匯款後被私人臉書密 直接給予個資XD

說實話 網址在簡訊也有可能被騙點下去認證

但是綠界，藍新不是就詐騙集團專用~亞馬遜算特例?

綠界藍新好慘 做個第三方支付也被抹成詐騙專用一些直播主、政治獻金捐款、慈善團體都用綠界藍新阿動畫瘋的信用卡扣款，原先是中華支付，後來也改藍新

綁卡認證又不是保障消費者 是商家為了確保拿得到錢當然不是必要的 Amazon不認證就是他夠大 沒在怕的

一堆詐騙集團都用，哪有抹黑

我看到所謂資安專家讓統一限制OPEN錢包只能刷4999就火大了你知道上面是可以買唉鳳這種東西的嗎...去康是美買健康食品 超過5000拿回饋也是很容易的

真的要詐騙~4999*無限筆，而國泰要超過15筆才會簡訊再通知~如果金額不一樣還不會通知

可憐哪 自打嘴巴 說綠界藍新詐騙專用 舉出正常使用的例

所以真的搞4999也是對詐騙集團無用，多此一舉

子就說有詐騙在用 所以不是抹黑

股市+Line，虛擬幣詐騙，都是用這幾家~少見多怪

那你怎不說FB跟LINE也是詐騙專用

原原Po就是在fb被詐騙

限制4999真的不知道在幹嘛？昨天要用op錢包繳汽燃費，結果刷不過，才知道單筆消費不能超過4999元@@，這樣op錢包繳費功能等於廢了

盜刷點數..加個限制應該就好了吧?畢竟一般人點數應該不會連續購買1萬點以上吧?

不可能限制點數,賣點數可賺錢,繳費賺不到錢

真的專業的釣魚網站會用上混淆字元 光看網址你很難分出真假

原文好像沒說到信用卡銀行有沒有消費通知 這點覺得怪但有說到其他有人刷一筆25000就擋了

好像是2萬五通知吧～

19萬那個案例 看新聞是說第8筆也就是累積19萬時有通知她但不確定是哪一種通知就是了

可以我記得依照匯豐的規則，要嘛全部通知，要嘛全部沒通知，除非她自己設定刷超過一定金額通知國泰是連續固定金額超過幾筆就通知，匯豐可以設定1元就通知~

是這樣…想說我之前刷匯豐卡只要有消費就通知

匯豐可在官網設定用email和門號簡訊通知刷卡 實體卡刷卡的通知限3千以上,網路,app,國外交易則不限額https://i.imgur.com/hMvcPuL.png除非要刷滙豐特定美食優惠 才刷實體卡 其他用AP/GP虛擬卡號刷卡取代 才有即時刷卡紀錄

你額度好高~好羨慕

我好奇當一個人都把自己所有資料都給詐騙者的時候 還有什麼方式可以去防止？還是只能投訴媒體罵銀行？

停卡而已吧～

信用卡不限額刷卡通知很重要，只是不是每家銀行都這麼做，除非政府要求銀行啦https://youtu.be/SAjzDWviQao第三方支付本來法規就不嚴謹，使用者貪最大優惠，風險大不是還好而已有的卡能app鎖卡即時阻止盜刷 幾家有這功能的

不過芒果好大顆

串接綠界或藍星感覺就不是很好，為什麼不直接用Paypal呢？匯豐早期是可以設定不限金額發送消費通知，但後來好像取消了

因為paypal詐騙會鎖帳戶，一毛錢都出不來，綠x那個是第三方，透過虛擬帳號收錢，調查玩，錢已經出去

所以綠界藍新會成為詐騙代名詞，商家串接那些平台看到就會讓人覺得有高機率與詐騙有關，原本想結帳然後變成不想買了Open錢包不能說完全沒有任何責任，短時間內連續大筆金額的消費都沒跳警示暫停帳戶支付權限也是有問題LinePay對於類似狀況會直接鎖帳戶要求客戶與客服聯繫進行解鎖程序難怪詐騙集團會選擇統一的Pay而不是綁LinePay，因為風控差太多了幫補punycode的說明https://i.imgur.com/4pp6XhY.jpg

短時間內連續大筆金額的消費要跳警示暫停帳戶支付權限,那些所得稅拆單大戶要開始頭大台灣總是喜歡犧牲大多數人的自由,去防止少數人無知的行為

判斷要不要鎖帳戶的參數很多，繳費通常較難以被用為詐騙的變現或銷帳管道，因為太容易查了消費類別=儲值卡等，同時觸發某些條件，就可以判斷為需要人工審核之帳戶了，統一錢包的生態圈就那樣小，但他們根本不在意有沒有可能被作為詐騙的跳板阿

容不容易查不是重點,都敢臨櫃買點數

乾脆先來討論一下法律有沒有必要保護笨蛋好了

講得很簡單,要看超商願不願去做這種無利潤的事

還有系統提醒或防呆有沒有必要好了

一定會保護笨蛋,笨蛋最好操弄,所有人都需要但笨蛋可悲在被人達成某種目的後,就被捨棄

在另一篇新聞看到銀行有依規定發消費簡訊 但可能事主沒察覺

大家預期都是先綁自己的卡吧，自己的卡能綁就不會再去試別人的卡了果農有的有建立自己的購物網站啊之前詐騙一堆退休老人受害，然後剝皮遊戲點數妹一堆阿宅工程師受害，購物詐騙是該通路愛用者受害，這些詐騙都有針對特定客群來設計的，問題也不是笨蛋而已，而是對某次購物通路的信任延伸的太廣太氾濫，加上有的時候安全防護變成禁錮，有的嫌麻煩乾脆跳過而且有的銀行根本不提供即時通知的服務，也不太提醒客戶有這些事情，出事了怕揹責任就說是客戶的責任，但是跳去其他銀行，有的就做得很好

不提供即時通知是銀行本錢粗,只要不是自己過失造成的盜刷都是銀行買單,有通知反而會怪你沒及時停卡

不同意樓上的論點，簡訊通知非完備法定告知程序，有寄簡訊不代表完備疑似發生盜刷之通知亦即即使有寄簡訊消費者不讀不回，責任仍然在信用卡公司身上對於善良持卡人而言，銀行的任何打擾都是愈少愈好

最近辦了華南的卡，每天都會有消費統整一個月30天就收到了31封電子信還不知道要去哪裡關，煩死人了…

推文講的點收不到驗證碼來確認真偽這招不錯

國泰Open錢包設4999門檻，若之後小7又出5千元的福袋卡，豈不是叫人用別家銀行買

反正我是不會買福袋 頂多買老乾媽

很想看驗證畫面的釣魚版本，到底是多像，現在的驗證大多數發卡銀行自己做，詐騙集團到底要多有心，才能根據每間銀行都做一個驗證畫面

不需要像啊 你會記得每個銀行的驗證畫面嗎? 只要放個銀行logo就可以騙到人了

我的open錢包怎麼只能綁本人卡otp除了認證碼還會有明碼（四個英文），有些人都不對明碼你刷了釣魚網站怪誰啊

OPEN錢包要怎麼驗證是不是本人卡？你有給統一超商統一集團身份證嗎？

op錢包是第三方支付 沒有實名認證 無法驗證是否為本人看推文可以知道 很多人對這些機制都一知半解的 難怪詐騙可以騙到人