首先感謝當事人和處理的資安專家分享細節,
讓大家可以在學到經驗,或許可以避免發生類似慘劇。
--
回顧這件事,在目前的制度下,
唯一能完全預防的,就是別給任何人 OTP 密碼。
不管是1元,或是綁定任何支付。
事實上,別給 OTP 密碼,也是 OTP 使用上一直在宣傳的重要使用前提。
在我觀察,台灣的銀行,
約有一半會在 OTP 訊息中強調:勿給他人或輸入不明網站。
前者容易做到,後者非常難。
我以使用者兼外行人的觀點來看,
唯有 OTP 驗證時,在同一則訊息中用網址直接認證,
可以直接避免這風險。
除非持卡人又自己把該網址轉傳給他人或複製到網站,那就沒輒了。
不過,我不認同兩位質疑 open 錢包不限綁本人卡是「漏洞」。
open 錢包的定位,本來就跟限本人的街口、橘支不同,
但也不是特例。
famipay、台灣pay、Line Pay,也沒限本人卡才能綁。
檢討起來,這件事當然是詐騙的人最可惡!
其次事發之後門市協助善後時…(我不敢說怕被告 XD)
再來是持卡人對於風險高的平台,真的只能更加小心。
至於 open 錢包只是被利用的平台,並無犯錯。
總之,希望台灣的金管會能更積極監督,
找出更嚴謹但仍方便的認證方式,
要求交易時回饋給使用者的資訊能更精確,
讓大家能安全且方便用各種支付。
也祝苦主早日拿回損失。
--
讓大家可以在學到經驗,或許可以避免發生類似慘劇。
--
回顧這件事,在目前的制度下,
唯一能完全預防的,就是別給任何人 OTP 密碼。
不管是1元,或是綁定任何支付。
事實上,別給 OTP 密碼,也是 OTP 使用上一直在宣傳的重要使用前提。
在我觀察,台灣的銀行,
約有一半會在 OTP 訊息中強調:勿給他人或輸入不明網站。
前者容易做到,後者非常難。
我以使用者兼外行人的觀點來看,
唯有 OTP 驗證時,在同一則訊息中用網址直接認證,
可以直接避免這風險。
除非持卡人又自己把該網址轉傳給他人或複製到網站,那就沒輒了。
不過,我不認同兩位質疑 open 錢包不限綁本人卡是「漏洞」。
open 錢包的定位,本來就跟限本人的街口、橘支不同,
但也不是特例。
famipay、台灣pay、Line Pay,也沒限本人卡才能綁。
檢討起來,這件事當然是詐騙的人最可惡!
其次事發之後門市協助善後時…(我不敢說怕被告 XD)
再來是持卡人對於風險高的平台,真的只能更加小心。
至於 open 錢包只是被利用的平台,並無犯錯。
總之,希望台灣的金管會能更積極監督,
找出更嚴謹但仍方便的認證方式,
要求交易時回饋給使用者的資訊能更精確,
讓大家能安全且方便用各種支付。
也祝苦主早日拿回損失。
--
All Comments