用Apple Pay被盜刷心好痛…嫌犯輕鬆過3關 全因你傻傻洩個資

銀行提醒持卡人,不管是使用行動支付或傳統支付,都要妥善保管個人卡片或手機。 圖/...
銀行提醒持卡人,不管是使用行動支付或傳統支付,都要妥善保管個人卡片或手機。 圖/萬事達卡提供。

今年3月29日才登台,才剛要滿5個月,台灣就傳出Apple Pay盜刷事件。Apple Pay已在全球21個市場發行,「盜刷」事件並非首例,在日本就發生過盜取他人信用卡資訊,「綁到自己iPhone上」的Apple Pay盜刷案,與昨天遭到逮捕的黃琪犯案手法幾乎如出一轍。

屏東當舖,屏東當鋪,屏東永豐當舖,屏東汽車借款,屏東機車借款

銀行說,這起盜刷案用白話說,就是這位黃姓嫌疑人「盜取他人實體信用卡,綁在自己的iPhone手機上,然後盜刷」;本案至少有3個要命關卡,值得行動支付族注意,免得成為下一個受害者。

第一要命:受害者「整張卡片資訊都被盜」

「綁過」信用卡的消費者都知道,不管是「國際3大Pay(Apple Pay、Samsung Pay、Android Pay)」或國產的台灣Pay,這些所謂的「行動支付」,銀行並非再新發一張卡,而是民眾自行將既有卡片「綁到手機內」。

綁卡的基本動作,是持卡人「自填資料」,包括「填卡號(可用拍照)、填到期日」,還有最關鍵的信用卡「末3碼」;卡片末3碼在信用卡「背面」,受害者若不是把皮夾或卡片「交給別人」,別人怎麼會有你卡片的末3碼?

台灣首宗Apple Pay盜刷案,犯案手法是將「他人的實體信用卡」綁在自己的 i...
台灣首宗Apple Pay盜刷案,犯案手法是將「他人的實體信用卡」綁在自己的 iPhone手機上盜刷。 記者孫中英/攝影

第二要命:你的生日、小學讀哪…嫌犯也明瞭

很多人會納悶,為何要改號碼。很簡單,因為銀行為確保是「持卡人本人綁卡」,會發出一組「動態簡訊密碼(OTP)」到持卡人手機上,要持卡人輸入,以確認身分。而刷Apple Pay等行動支付,必須透過iPhone7等合格載具,且是用「指紋」替代密碼刷卡,所以盜刷者一定要用自己的iPhone手機「才能盜刷別人的信用卡」。

因為要「綁別人的卡」在自己的手機上,所以盜刷者必須先找銀行,將被害持卡人留在銀行的電話,改成自己的手機號碼,等收到銀行傳來的OTP後,即可透過自己的手機確認,成功綁定受害人卡片。

但打電話去客服更改個人資料,銀行為求慎重起見,都會「考」當事人一堆問題,例如問你「身分證末4碼為何、你就讀的小學、有幾張附卡、最常用的繳費管道是什麼」等。據了解,這位黃姓嫌疑人在回答銀行客服專員詢問時,「每題統統都答對」,銀行不疑有他,自然改了電話號碼。

曾替前總統陳水扁算塔羅牌的「少年黃琪」又被逮,他涉嫌透過手機行動支付盜刷信用卡購...
曾替前總統陳水扁算塔羅牌的「少年黃琪」又被逮,他涉嫌透過手機行動支付盜刷信用卡購物。 記者李奕昕/攝影

銀行說,被害持卡人一定深信黃嫌,才把自己的身家向對方交代得一清二楚。此外,銀行透露,本案受害人「清一色是男性」,且幾乎都在男性經常瀏覽的某些網站上認識黃嫌,而黃嫌就有辦法在極短時間內取得這些持卡人的信任,離譜的是,很多受害者在卡片被盜刷後,還不知道「盜刷我卡片的人,叫什麼名字」。

第三要命:收到帳單 你才會發現被盜刷

最後,有人質疑,現在刷卡後,許多銀行會發簡訊通知當事人,用意也是讓持卡人確認有無被盜刷,但本案受害人幾乎都等「收到帳單」才發現盜刷,為何慢半拍。

銀行解釋,因為行動支付會在刷卡當下將消費簡訊傳到手機,本案由於是詐騙者拿自己的手機刷他人的信用卡,刷卡後跳出的簡訊,當然就只有詐騙者自己看的到。

因此,Apple Pay在台灣的首宗盜刷案「犯案手法並不高明」,因為這不是行動支付在傳輸時使用的「代碼」遭破解的「高端」作案方式,本案中被突破的2大關卡,一是持卡人、二是銀行。

行動支付要先綁定信用卡,綁卡時,要輸入卡號、到期日、末三碼等相關資訊。 記者孫中...
行動支付要先綁定信用卡,綁卡時,要輸入卡號、到期日、末三碼等相關資訊。 記者孫中英/攝影。

開戶竟然找人代勞…被騙「不意外」

就因為持卡人不明究理的將自己的信用卡資訊「隨便奉送他人」,本案中甚至有受害者解釋,提供信用卡資料給黃嫌「是想請他幫忙開戶」。試問現在去銀行開戶,為何要提供信用卡資料,而且「怎麼可以請別人開戶」,可見許多民眾不但搞不清楚銀行金融業務,也過度輕忽自己所持金融工具、例如信用卡的重要性。

除提醒持卡人,應「妥善保管」自己的卡片,勿隨便交他人使用之外,銀行也有必要加強控管。有業者說,目前銀行留存的客戶電話,可能不止手機,還可能有公司或住家電話,若有客戶主動要求更改電話號碼,銀行應在更改電話號碼5到10分鐘後「再致電當事人」,確認是否的確是這名客戶來改號碼,將風險降到最低。

發表迴響