我被以3D驗證碼通過的方式盜刷了 - 信用卡

※ 引述《peterkan (Peter)》之銘言：
: 這蠻詭異的.
: 對方要用3D認證盜刷應該要有以下條件，而且缺一不可：
: 1. 卡片上的相關訊息 （用實體卡可能會被盜錄，也有可能是購物網站資料被駭）

正確，因為以目前的方式，只有實體卡(虛擬卡同實體卡)最容易竊取資訊，Google Pay、Apple Pay等因為包含手機資訊再進行加密，除非被植入有底層讀取權限的病毒，不然難以仿冒身份。

: 2. 持卡人的手機號碼、Email address. （線上購物網站資料被駭）
: 3. 駭入持卡人的手機、Email帳號. （手機、電腦被植入木馬）

關於2、3點表示的應該是持卡人的手機已經被植入無法被偵測的病毒，或者電子信箱已經被破解登入，現行最容易被被User誤觸登入的是Google 提示(無法更改預設)以及Microsoft 無密碼登入，其餘的電子信箱MFA，如Yahoo是使用隨機碼驗證。

: 基本上，知道1也無法在需要認證密碼的網站盜用，還有知道2以及完成3.

正確，因為未經過3D驗證的消費會被信用卡組織取消簽帳，所以需要走完整個3D驗證。

: 大抵而言，購物網站洩漏資料的機率最高.

認同但不完全是商店的錯，就算商店伺服器被入侵洩漏個人以及信用卡資料，也不能避開3D驗證，所以User需要驗證他的電子信箱沒有異常登入以及手機沒有病毒。

: 但之前也有案例持卡人設定固定的認證密碼取代隨機的，以致猜中認證碼盜刷.

如花旗，但目前是用在轉帳、變更網路銀行設定上，信用卡是OTP隨機碼。

: 如果是隨機認證密碼，應該很難才是.
: 所以要養成一些好的習慣：
: 1. 網路購物網站、Email密碼要用高強度的. 並且開啟兩段式認證.

兩段式驗證別稱為MFA，方式有隨機碼app產生OTP、簡訊收取OTP、Google 提示、無密碼登入。

: 2. 實體商店善用感應支付或電子支付，避免卡片訊息被盜錄.
: 3. 留在購物網站的電話跟Email盡量不要跟留存銀行的一樣. 尤其是可以收到認證密碼的Email.

這觀念是對的，但重要的是登入密碼別用同一個組合走遍天下網路，現在有密碼產生器可以用在不同服務上，如卡巴斯基這種老牌的防毒廠商推出的。

: 4. 手機、電腦安裝防毒軟體，不要點選不明連結、安裝不明APP.

不熟悉資安的User，在Windows系統上，請給他Users的權限就好，Administrantor權限請給家中較有資安觀念的人管理。至於Android系統，可以透過禁止非Google Play來源的安裝方式。iOS系統留給有相關經驗的前輩指導。

: 5. 網路購物，尤其是不知名網站盡量用可以隨時設定額度的虛擬信用卡.

這比較和盜刷沒關係，因為透過銀行app限制刷卡途徑、單筆額度或是帳單上限，最初的目的是讓持卡人管理信用卡的刷卡途徑，如限制玉山Ubear卡使用實體卡消費；單筆額度或帳單上限，最初是管理附卡消費額。
所以我的建議是，要用卡時才把刷卡功能開啟，但這樣很麻煩，所以最好備有一張專門刷不知名網站的信用卡，這樣可以每天管理、檢查一張卡即可，即使停卡、掛失也不會影響平常生活使用信用卡。

最後提醒各位，Debit卡雖然已經逐漸跟上信用卡的回饋，但Debit與Credit終究有差別，Debit卡一旦過卡，就是現金被扣款了，而且沒有Credit卡的90天退款保證，最長有過450天帳款才退回Debit卡。

-----
Sent from JPTT on my Asus ASUS_AI2201_F.

--