▲惡意間諜軟體會暗中更改手機的控制權限、監控竊取用戶個資。(圖/取自免費圖庫pixabay)
記者沈君帆/綜合報導
從聯合信用卡中心的公開統計顯示,非面對面交易(MOTO/EC)的盜刷,佔所有信用卡盜刷案例的98%以上,非面對交易幾乎都是網路購物(EC),可見網路的可匿性,助長了盜刷的風行。在現今持卡人的刷卡習慣大幅轉向網路交易,已佔所有信用卡消費筆數五成,尤其更該小心防範網路盜刷。
為何網路會是盜刷的溫床?資安專家趨勢科技協理劉彥伯分析,詐騙集團鑽研網路騙術,有風險低且邊際效應遞增的好處,只要開發一套手法,後面就可以一直沿用。尤其比起早期的金光黨還要上街行騙,現在的詐騙都公司化,裡面有IT人員、研發工程師、資安專家、網路小編、甚至還有自己的媒體,讓人覺得自己好像也是一個正常的工作。
▲發卡機構詐欺通報類型統計。(圖/聯合信用卡中心提供)
整理過去的網路盜刷案例,可以找出幾種網路盜刷常見的手法,以及近年精進的變形:
1.不小心洩露卡片資訊
網路盜刷不一定需要高超的駭客技術,持卡人有時犯了一些低級錯誤也會造成網路盜刷,比如實卡交易時讓店員離開視線刷卡,或在網路上秀出卡片時沒有遮掩,都會讓有心人有機可乘。因為只需「姓名、卡號、效期、安全碼」就可以在網路上刷卡,有些網站甚至安全碼都不用。盜刷者取得信用卡片資訊後,再去認證機制較不嚴謹的網站消費,盜刷就可以得逞。
2.在釣魚網頁輸入資料
詐騙集團架設一個幾可亂真的網站,並使用難以分辨的假網址,通常都是以大型知名網站為假冒對象。當使用者連結進來之後不疑有他,在上面填寫資料,此時個資、帳號、密碼、信用卡資訊都會外洩,進而遭冒用。
相關報導:釣魚簡訊剝皮手法揭秘!盜刷信用卡吸乾存款 連結千萬別點
3.點擊不明簡訊或郵件裡面的網址或程式
詐騙集團發送簡訊或電子郵件,以吸引人的標題,或者以為是熟人傳來,使人點下連結或安裝程式,連結可能導往釣魚網頁,安裝程式可能是木馬程式。
所謂的木馬程式,「指的是一種後門程式,是駭客用來盜取其他使用者的個人訊息,甚至是遠端控制對方的電子裝置而加密製作,然後通過傳播或者騙取目標執行該程式,以達到盜取密碼等各種資料資料等目的。和病毒相似,木馬程式有很強的隱秘性,會隨著作業系統啟動而啟動。」(資料來源:維基)
4.合法APP裡面含間諜軟體Joker
即使安裝的是合法軟體APP,也有可能被藏入間諜軟體,根據報導:「Google Play 商店上出現11款工具應用類型的 App,遭植入最新的 Joker 間諜軟體。這些刁鑽的惡意程式,會繞過 Google Play Store 的安全審查。一旦用戶下載後,恐個資遭竊,被暗中執行訂閱付費、綁定信用卡莫名遭扣款。」
所謂間諜軟體,根據微軟定義:「是一些專門在使用者不知情或未經使用者准許的情況下收集使用者的個人資料。它所收集的資料範圍可以很廣闊,從該使用者平日瀏覽的網站,到諸如使用者名稱稱、密碼等個人資料。」
相關報導:快刪!Google Play有11款App會盜刷卡 已被下載3萬次
5.騙取OTP後綁定APP盜刷
網路刷卡認證愈來愈嚴謹,在交易送出前會有一道3D驗證,現在已經沿革到動態密碼,也就是OTP(one-time password),這是最有效的防盜刷機制,然而也被詐騙集團找到破解。
詐騙集團會佯裝粉絲團小編與消費者接洽,以釣魚網站和「一元試刷」讓消費者填寫信用卡資訊和OTP密碼,隨即將信用卡綁定特約商店APP,綁定之後刷卡就不再需要OTP密碼,可以盡情盜刷。
相關新聞:網購要小心!盜刷新手法曝光 金管會提醒留意1元消費簡訊
▲網購水果遭盜刷信用卡,金管會公布犯案流程圖。(圖/金管會提供)
6.外送平台被狂下單
現在民眾愈來愈習慣用外送平台點餐,因為單筆金額小、每日交易筆數龐大,平台業者捨棄逐筆3D驗證,民眾將信用卡綁定手機後即可消費。這樣的便利也成為刷卡漏洞,引來越來愈多的盜刷事件。
讀者迴響