永豐34名卡友遭盜刷逾百萬 金管會：疑因O - 信用卡

1.媒體來源

聯合報


2.完整新聞標題

永豐34名卡友遭盜刷逾百萬 金管會：疑因OTP密碼傳電子郵件遭駭

3.完整新聞內文

在年假期間1月23日到29日，有超過30位永豐銀行信用卡卡友發現被盜刷，甚至能通過3D
驗證碼，因集中在1家銀行、且在短期內密集發生，引起金管會的注意。金管會銀行局今
表示，目前永豐銀行初步了解，是傳送給客戶的電子郵件中OTP過程被不法集團截取，目
前沒有收到其他銀行有類似情況，而客戶主張被盜刷，依照現行機制都會被列為爭議款，
並釐清後續責任歸屬。

銀行局副局長童政彰表示，目前了解，永豐銀行在1月23日到29日之間出現密集被盜刷的
情況，34位客戶在國外30家網路商店被盜刷、被盜刷達76筆，都是小額盜刷，總盜刷金額
約110萬元左右，平均盜刷金額約1萬元。

但為何集中在永豐銀行、且不法盜刷集團還能通過3D驗證碼？童政彰表示，特店與發卡行
都有導入3D驗證機制，客戶刷卡會收到驗證碼，經過永豐銀行初步分析，推測是客戶被盜
刷時，客戶的電子郵件中收OTP過程中有被被不法集團截取，但是實際的盜刷手法，銀行
還在查證中。

童政彰指出，每家銀行OTP採行的方式不同，大部分銀行傳送OTP是到手機，但也有部分銀
行是同步傳送到手機與email。因為是海外的網路商店，很難辨別是被盜刷還是客戶自己
意願購買，因此目前永豐銀行採取的機制，是先暫停把OTP發送到email。

其他銀行是否有類似情況發生？童政彰表示，各銀行都設有監控機制，這次永豐的案件是
在短期間密集發聲，永豐銀在接到客戶通報後，立即有啟動相關監視機制，目前沒有收到
其他銀行有通報在短期內被密集盜刷，後續會請聯卡中心密切注意。


4.心得

好奇永豐的email是怎麼被駭的。於是我查了一下之前的電子帳單。

發現最基本的加密都沒做，當然也沒有用憑證簽章。

https://imgur.com/ObU78S8

這樣的資安真的不行


數位發展部的通知信，內容沒有機敏資料都有做到加密與簽章了。

https://imgur.com/e1inR1P


5.完整新聞連結 (或短網址)

https://udn.com/news/story/7239/6940025

--