被莫名其妙綁定自己從來不用的 OPEN 錢包 - 信用卡

※ 引述《Hseuler (藍色貍貓)》之銘言：
: 我是幫苦主與幾位受害者調查與做數位鑑識此件事情的資安顧問.苦主被盜刷第一時間就
: 報警並聯絡我.在這次的事件中我用我的專業談談,並把一些版友友興趣的資訊上色強調:

謝謝分享。
不過本人也想分享些不太一樣的看法
雖然我完全沒參與案情，看在大家都是同行的份上交流一下，莫怪

: 1.苦主被盜刷的卡是滙豐銀行.
: 詐騙集團精心偽造某家第三方支付的刷卡頁面與3D驗證頁面,
: 並不是苦主傻傻把OTP直接交給詐騙集團.大家要小心假冒的第三方支付與3D驗證頁面!!

我想這就是許多人不太同意的地方
其實受害者真的蠻可憐的，但如果要檢討整件事情的來龍去脈的話
個人建議這邊反而要講清楚些
主要不是在檢討受害者
而是要來研究犯罪集團有多狠，多麼會利用人心，然後大家多容易被騙

基本上，在FB社群媒體跟不認識的人買東西，這就有很大的風險。
接著，大家一直無法了解，我們跟團或是跟群買東西，錢要繳給誰不是很關鍵嗎?
為何會被假冒小編的有心人欺騙去假網站，這邊是很讓人覺得不可思議的地方
其實很希望看到更詳細的過程，才能讓大家趨吉避凶，以後不要再被騙

至於3D驗證，說真的這機制本來就是用來保護銀行，而不是保護消費者的
因為只有消費者知道3D驗證的OTP密碼
密密麻麻的合約條款也寫了消費者有責任要保護與善用OTP密碼
所以只要是在OTP這邊出了問題，那就是消費者自己要負責任，銀行無責
大家都是同行，您好像也有這麼提醒苦主...

我自己是能不用3D就不用，但現在很難避免，只能希望FIDO趕快好好被利用...

: 最慘的是因為是綁卡,一次OTP,後面就不需要OTP了,連續盜刷累積十九萬
: 2.盜刷的當下,匯豐銀行告知是7-11線上購物,但實際上並不是(差點誤導我調查方向).
: 我仔細調查後確認是被詐騙集團綁上小七的OPEN錢包.

說真的，這不都是統一集團的東西嗎?
我是覺得一般人分不清楚7-11線上購物跟OP錢包有甚麼差別吧?
銀行好像也沒有要誤導您吧...

: 3.苦主被綁卡的時候,驗證簡訊只顯示1元的刷卡OTP,並沒有像apple pay或samsung pay顯
: 示是"綁卡".如金管會近日指示,必須講清楚到底是"綁卡"的temporary hold,還是真的1元
: 的消費.光這好步做好就可以阻止不少詐騙了.實際上,這些受害者頂多同意這一筆1元消
: 費,但可沒有同意後面那十幾萬的盜刷.銀行不應讓消費者承擔那些十幾萬元使用者沒有授
: 權的盜刷.

其實這段話是我想回文的原因，因為個人非常不同意
您的論述是消費者"只同意這一元消費"
但其實消費者交出OTP之後交出得更多，而不單單只是這筆交易
因為你我都知道，這個一元交易不是真正的交易，目的是要確認某些事情
比如說確認綁卡，確認身分，或是確認什麼的
而銀行在發出這個OTP資訊，也會說明這個刷一元的舉動不是真的交易
而整件事情的關鍵就在於消費者自投羅網，她去了壞人做的假網站
因此消費者自己啟動了第三人攻擊Man in the middle的行為
消費者以為她是在跟銀行聯絡，
1.消費者==>銀行，消費者提供個資(信用卡電話等)給銀行
2.銀行==>消費者，消費者的手機收到銀行發出的OTP簡訊
3.消費者==>銀行，消費者回報OTP簡訊，完成交易

但其實狀況應該是
1.消費者==>假網站，消費者提供個資(信用卡電話等)給壞人
2.壞人去金融機構註冊，目前看起來是去OP錢包做個綁卡的動作，個資還是真的
3.受害人的手機收到OP錢包發的OTP資訊，以為是銀行發的，因此回報給假網站/壞人
4.壞人拿著受害者提供的OTP資訊，完成OP錢包的註冊工作，綁卡成功。

另外一種可能是，壞人做的不是去OP錢包註冊
而根本是去修改金融機構的手機號碼
過程類似，就不贅述。
因此假網站很可怕，看不清楚原始網址的短網址也很可怕，我個人很怕去點...

言歸正傳，其實消費者就是一開始就被騙了提供個資
接著再被騙第二次而提供了OTP簡訊，讓壞人可以進行某些金融操作
這一切都是因為受害者被壞人騙了
個人覺得不能解釋成"受害者只同意一元交易而沒同意其他"...

至於十幾萬的損失
外商銀行額度給得高，查詢電話也比較少，不少消費者很喜歡免受騷擾的感覺。
苦主的額度可能是二十多萬，因此被盜刷了十九萬?
不太確定HSBC的風控如何進行，也許銀行都認為是正常交易
這邊就看看後續有沒有其他報導了...


: 4.7-11官方幾提供任何有用的資訊給苦主與其他受害者,例如到底是在哪家門市盜刷? 盜
: 刷什麼東西? 雖然盜刷當下立刻報警,案件轉至北市中山分局偵查佐那裏後,也很積極處
: 理,但7-11拖了一個月,有幾家門市的監視錄影器已經被洗掉了.
: 雖然我不是受害者,但其實讓我非常不高興,我協助受害者第一時間通知7-11 OPEN錢包客
: 服.事發隔天後也調出了門市,不告訴我們就算了,那麼為什麼警方發公文了,卻拖這麼久,
: 拖到影像被洗掉?

可能要看司法調查的結果了，才知道發生了甚麼

: 5.在7-11官方不願意提供有用資料的同時,倒是我當時靠另外一位受害者得到了一些關鍵
: 資訊,他用國泰世華銀行,反而是國泰世華銀行主動告知是在那些7-11門市刷卡.
: 6.為什麼詐騙集團專攻小七的open錢包而不是其他第三方支付/電子支付？吾人認為理由
: 有三.
: 其一,OPEN錢包的異常偵測機制沒在這些受害者中沒發揮作用.
: 其二,OPEN錢包在綁一些信用卡時,不會像samsung pay, apple pay的綁卡驗證簡訊上有明確
: 表示是綁卡,消費者會以為是一元消費簡訊或是刷卡測試.
: 其三,小七可以買到大量的gash點數洗錢,有興趣的人可以看看於余麗貞檢察長的投書.
: 實際上,我們資安團隊幫這些受害者們做了不少偵查與數位鑑識工作,掌握了詐騙集團的重
: 要數位跡證,已經交給警方,然敵暗我明,故細節不便公開詳談.然而有幾點值得改進的是:
: a)驗證簡訊必須講清楚是綁卡.這點前幾日金管會已經發布因應措施.這點蠻感謝立委鍾佳
: 濱委員,因為我本身是技術底出身,法制的部分還是要讓專業的來,我們當時通知了不少立
: 委,只有鍾立委回應我們而且非常積極處理.
: b)仔細追蹤後,我們發現這個詐騙集團已經囂張多時.如此嚴重的事情,7-11集團理應要找資
: 安團隊調查,並加強異常偵查系統.但後來同類型的詐騙手法持續發生於小七的OPEN錢包,
: 令人遺憾.
: c)銀行與OPEN錢包的「交易異常偵測系統」要持續強化

OP錢包的細節不太了解，這段無法評論。
不過我對OP錢包怨念很深啦，一堆點數很難用完
然後常常還被A點數，過年時換不到蛋捲，上周換不到辣炒飯
最惡劣的是APP的申訴機制根本形同虛設
申訴個十次才回一次吧，實在是讓人無奈
也許這個案子可以讓大家看到些進步
預祝苦主團隊申訴順遂!

: 傳統上的異常交易偵測技術可粗略分為兩類：
: 一、規則式偵測技術(rule-based method)：建立多比盜刷/異常行為規則，即時偵測交易
: /刷卡異常。一些銀行是採用此傳統的老技術.
: 二、依靠巨量數據,人工智慧與機器學習(big data, AI and machine learning methods)
: 建立異常偵測模型：利用過去刷卡與交易紀錄的巨量數據，使用時間序列、聚類、深度學
: 習等機器學習與AI技術，訓練出一套偵測盜刷或異常交易的模型，比上述傳統的規則式異
: 常偵測技術來的更為精確有效。使用單位像是玉山銀行(2019年後)、Apple Pay, Line
: Pay, Google Pay。
: 這是非常重要的,玉山金控科技長張智星受訪時強調:「這種規則式系統，每月需要人
: 工調整一次規則和參數，不僅難以捕捉快速變化的盜冒行為，還會產出大量異常名單，得
: 耗費大量人力一一打電話確認。為改善這個問題，玉山發起一項AI專案，要用刷卡歷史資
: 料，訓練一套信用卡盜刷偵測模型，來判斷盜刷風險。他們想藉此減輕銀行人力負荷、提
: 高辨識準確度。...這套模型在2020年替玉山阻擋了上億元的損失。」
: 如果是依靠技術一,其實在open錢包出事後很容易建立一個異常偵測規則來阻止詐騙.如果
: 是依靠技術二,模型訓練的好,詐騙集團連綁卡都綁不上.
: 總言之：
: (1)驗證OTP簡訊必須講清楚是綁卡
: (2)異常偵測系統抓包到異常行為
: 這些做好就可以有效阻止這次的詐騙.何況,7-11的open錢包本身是以小額支付為主,他們
: 的異常偵測系統竟然沒阻止短短幾小時內盜刷十幾萬,實在是不可思議.
: (做個比較:一些ATM上限一天上線三萬)

個人很討厭這個上限
這就是因為壞人太多，太多人被騙，壞人又南抓，結果當局只好做出這種規定
沒錯你們苦主是不會再被騙鉅款了，頂多被騙三萬
但需要調動資金的合法使用者，就非常非常麻煩了...

: 在調查過程中,就不得不提國泰世華銀行的機警:其中一位受害者是國泰世華銀行的卡被盜
: 刷.幾天後,國泰世華銀行便宣布OPEN錢包綁訂本行卡於7-11門市交易，單筆限額最高
: 4,999元.雖然是一個很簡單的規則式條件,但是是有效的.如圖:
: https://i.imgur.com/g3wfzSt.png

說真的，我昨天剛剛用國泰世華的CUBE iCash卡在小七繳稅五千多塊
當場直接過卡自動加值五千，
但馬上有收到風管的手機關心，確認這筆消費的性質
一來很感謝銀行風險管理做得很徹底，
再來也感謝沒有限制只能交4999否則我就被卡住了...

這其實跟上面三萬的例子一樣
阻止了苦主損失五千塊以上的可能
但是也阻撓了合法使用者的權益，阻礙了金融科技的發展。。。

: 最後我希望大家將心比心,畢竟就如我之前提過,這種騙局可持續進化,讓你去大網站消費
: 也被盜刷.一種手法是配合網頁滲透與攻擊手法,將正規網站的信用卡支付頁面狸貓換太
: 子,成功綁卡後,便可連續(不需要OTP驗證)盜刷消費者的信用卡.
: 下一篇文章,我會談談此案更核心的主題：
: 如何有效地驗證你是你？你如何知道來驗證你身分的人真的有效的驗證者?也就是身分驗
: 證與策略、FIDO聯盟識別標準、信賴等級(level of assurance)、密碼學身分識別、中間
: 人攻擊(man-in-the-middle attack)等等核心的問題.
: 實際上,不少專家前輩都曾提及,法規與歐美國家相比,有不少待改善的部分.
: 可惜說者諄諄,聽者藐藐,希望能藉這次苦主的案子加以推動相關法規繼續前進.

這回的案子，改善法規就有用嗎?
個人覺得...

好吧，我們這幾年有資安管理法跟配套子法了，資安就更進步了對吧?

我想關鍵還是在人，awareness。
同志們仍須努力，我們且前行。

--