[爆卦]兆豐證券app密碼變更是什麼?優點缺點精華區懶人包

為什麼這篇兆豐證券app密碼變更鄉民發文收入到精華區:因為在兆豐證券app密碼變更這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者vyvian (vyvian)看板creditcard標題[新聞] 永豐34名卡友遭盜刷逾百萬 ...



1.媒體來源

聯合報


2.完整新聞標題

永豐34名卡友遭盜刷逾百萬 金管會:疑因OTP密碼傳電子郵件遭駭

3.完整新聞內文

在年假期間1月23日到29日,有超過30位永豐銀行信用卡卡友發現被盜刷,甚至能通過3D
驗證碼,因集中在1家銀行、且在短期內密集發生,引起金管會的注意。金管會銀行局今
表示,目前永豐銀行初步了解,是傳送給客戶的電子郵件中OTP過程被不法集團截取,目
前沒有收到其他銀行有類似情況,而客戶主張被盜刷,依照現行機制都會被列為爭議款,
並釐清後續責任歸屬。

銀行局副局長童政彰表示,目前了解,永豐銀行在1月23日到29日之間出現密集被盜刷的
情況,34位客戶在國外30家網路商店被盜刷、被盜刷達76筆,都是小額盜刷,總盜刷金額
約110萬元左右,平均盜刷金額約1萬元。

但為何集中在永豐銀行、且不法盜刷集團還能通過3D驗證碼?童政彰表示,特店與發卡行
都有導入3D驗證機制,客戶刷卡會收到驗證碼,經過永豐銀行初步分析,推測是客戶被盜
刷時,客戶的電子郵件中收OTP過程中有被被不法集團截取,但是實際的盜刷手法,銀行
還在查證中。

童政彰指出,每家銀行OTP採行的方式不同,大部分銀行傳送OTP是到手機,但也有部分銀
行是同步傳送到手機與email。因為是海外的網路商店,很難辨別是被盜刷還是客戶自己
意願購買,因此目前永豐銀行採取的機制,是先暫停把OTP發送到email。

其他銀行是否有類似情況發生?童政彰表示,各銀行都設有監控機制,這次永豐的案件是
在短期間密集發聲,永豐銀在接到客戶通報後,立即有啟動相關監視機制,目前沒有收到
其他銀行有通報在短期內被密集盜刷,後續會請聯卡中心密切注意。


4.心得

好奇永豐的email是怎麼被駭的。於是我查了一下之前的電子帳單。

發現最基本的加密都沒做,當然也沒有用憑證簽章。

https://imgur.com/ObU78S8

這樣的資安真的不行


數位發展部的通知信,內容沒有機敏資料都有做到加密與簽章了。

https://imgur.com/e1inR1P


5.完整新聞連結 (或短網址)

https://udn.com/news/story/7239/6940025

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.76.128.77 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1675198870.A.872.html
※ 編輯: vyvian (42.76.128.77 臺灣), 02/01/2023 05:01:38
barkids : 高調然後記者幫忙追,這發展是好的,只是金管會... 02/01 06:05
barkids : 要真的會做事啊,永豐要不要全面檢討並強化資安啊 02/01 06:05
cityport : 看了一下..好多家都沒有耶..邦邦發卡量更大的說 02/01 06:27
cityport : 再往前翻幾年..只有花旗全部加密..前3大都沒有 02/01 06:33
cityport : 不過大部分時間..永豐的繳款入帳通知都有加密 02/01 06:34
cityport : 不認為是email加密不加密的關係..盜刷是針對永豐 02/01 06:36
cityport : 盜刷者信用卡基本資料都有..而且還知道都是永豐的卡 02/01 06:38
a7294 : 台新、國泰也有email方式 02/01 06:49
fairbankslin: 想想現在開始還是先暫時停止刷永豐好了 02/01 07:15
peter98 : 我覺得不是email的問題 02/01 07:20
peter98 : *不單只是email的問題 02/01 07:20
jmt1259 : 永豐問題很大 02/01 07:21
bitlife : 理論上通報被盜刷集中某一家銀行,最可能的原因不外 02/01 07:38
bitlife : 乎2種,1:這些持卡人其實是同一集團的人頭 2:銀行的 02/01 07:39
bitlife : 發送OTP流程中有環節出了問題. 通常3D驗證碼被攔截, 02/01 07:40
bitlife : 有種比較容易發生的可能是中了木馬,但這不太容易集 02/01 07:41
bitlife : 中在同一銀行 02/01 07:41
bitlife : 另一種相對微小的可能原因就大條了,銀行的相關資訊 02/01 07:43
bitlife : 系統(網站,網銀,行動銀app,信用卡app)本身就帶木馬, 02/01 07:44
bitlife : 不過這個可能性很小,因為駭客投資大,目前看來獲利小 02/01 07:44
xkp74580 : 如果直接駭Mail或OTP伺服器 再怎麼加密都沒用 02/01 07:44
bitlife : 不太合理. 像X大的客戶被盜買港股,那個至少獲利大多 02/01 07:45
bitlife : 了 02/01 07:45
bitlife : 直接駭Mail或OTP伺服器算是比較大工程,通常要就要幹 02/01 07:49
bitlife : 大票比較合理,因為想要細水長流積少成多,很快就會變 02/01 07:49
bitlife : 成通報人數大增串聯發聲上新聞. 我比較傾向是環節中 02/01 07:50
bitlife : 某處的某個內部小人物以為可以細水長流偷偷賺,比較 02/01 07:50
bitlife : 能解釋金額不大,通報人數目前也沒有爆炸. 從專業集 02/01 07:51
bitlife : 團也是要考慮時間及人力成本去思考,這人數和金額不 02/01 07:52
bitlife : 是很高. 專業駭客和電話詐騙型態不同,後者電話由電 02/01 07:53
bitlife : 腦自動撥,工作人員多數是不需技能免洗低成本,可以累 02/01 07:54
bitlife : 積小錢積少成多,這種電腦駭客,不太可能用長期賺小錢 02/01 07:55
bitlife : 的方式. 之前有次ATM吐鈔,那個就一次就要撈大的,真 02/01 07:56
bitlife : 人還要坐飛機人來,領了趕快跑. 越容易被察覺,就要一 02/01 07:57
bitlife : 次幹大票金額對駭客集團才划算 02/01 07:57
p1587 : 都推給客戶就好啦 這種情況應該檢討銀行發送過程是 02/01 07:59
p1587 : 否有瑕疵吧 不然34個客人信箱都有問題就你永豐最倒 02/01 07:59
p1587 : 楣被盜刷? 02/01 07:59
bitlife : 我建議金管會要求銀行提供由手機行動銀行app或信用 02/01 08:01
bitlife : 卡app的即時簽核消費功能,由消費者直接在手機上確認 02/01 08:01
bitlife : 特約商店及金額,至少讓消費者有可選的選項,改用這方 02/01 08:02
bitlife : 式取代OTP. 經過先前銀行端的行動app盜轉通報事件, 02/01 08:03
bitlife : 現在的銀行手機app除錯過後比較OK,安全性來說,我認 02/01 08:04
bitlife : 為是比OTP高多了,改用這種方式對消費者比OTP來說,安 02/01 08:05
bitlife : 全性高很多 02/01 08:05
bitlife : 我在 #1ZrXOCq2 這篇有提,不過我是開工日才來逛卡板 02/01 08:07
bitlife : 才讀到,時效比較晚,看到的人應該相對較少,所以本篇 02/01 08:07
bitlife : 重提一次,希望相關銀行資訊從業人員或記者看到反應 02/01 08:08
bitlife : 一下 02/01 08:08
wattswatts : 只想用line通知省成本的銀行表示。。連信用卡app沒 02/01 08:12
wattswatts : 有的銀行? 02/01 08:12
bitlife : 金管會也不用強制銀行,只要規定型化契約中只能規定 02/01 08:15
bemaz : 銀行都推給持卡者,但被盜刷已經知道已經知道“卡 02/01 08:16
bemaz : 號規則”還能知道被盜的email去裡面郵件裡面抓密碼 02/01 08:16
bemaz : ,如果不是一開始源頭就出問題,如何透過一大堆卡 02/01 08:16
bemaz : 片對應聯絡郵件信箱還能猜出信箱密碼 去裡面挖opt 02/01 08:16
bemaz : 密碼?倒回來如果持卡者郵件出問題,為何而且受害 02/01 08:16
bemaz : 都是單一銀行,持卡者可能同時其他銀行卡片一樣有 02/01 08:16
bemaz : 發opt郵件機制,為何同一時間只有同一家銀行卡出事 02/01 08:16
bemaz : ,銀行端比較有可能有漏洞沒發覺吧? 02/01 08:16
bitlife : 由經嚴密程序綁定專用有憑證簽核之交易才不可否認, 02/01 08:16
bitlife : 讓不可否認回歸有憑證介入才能主張,這樣就夠了.證券 02/01 08:17
bitlife : 和網路ATM N年前就這樣做了 02/01 08:17
wattswatts : 全面線上網站使用 Apay Spay Gpay(gmail被盜自己看 02/01 08:19
wattswatts : 著辦) 比較實際 02/01 08:19
bitlife : 在X大客戶被盜買港股事件前,沒有聽過客戶否認下單交 02/01 08:19
bitlife : 易,而當大量客戶短時間內都否認交易,X大一看也知道 02/01 08:20
bitlife : 這個大包不在客戶,就馬上轉為X竹和X大互吵一陣,很快 02/01 08:20
brokeback : 這些客戶的email剛好都用哪家的呢?怎麼這麼剛好都 02/01 08:21
brokeback : 是永豐卡友? 02/01 08:21
bitlife : 就推測出原因,然後就有了全台灣大量證券客戶被要求 02/01 08:21
bitlife : 更改密碼的事件 02/01 08:21
wattswatts : 盜刷常客Agoxx xlook 都啟用Apay 看成效如何不就 02/01 08:22
wattswatts : 知道了 02/01 08:22
brokeback : 答案呼之欲出 02/01 08:22
willieliu : 看到OTP就要推Amazon這種不用OTP的商家 保障消費者 02/01 08:25
bitlife : 感覺ptt真的有AI XD,跟推的內容我個人感覺有AI的味 02/01 08:25
bitlife : 道... Orz 02/01 08:25
bitlife : 我所謂AI有分機器AI和真人(虛擬)AI,至於是哪種還真 02/01 08:28
bitlife : 不容易判斷,並不是機器AI真的能過圖靈測試,而是有可 02/01 08:29
bitlife : 能人類降級成類機器的反應 XD 02/01 08:29
bitlife : 以上題外話,希望真的有相關真人看到反應一下意見 02/01 08:30
diqoedin : 永豐發信被攔截的感覺比較高 客戶會剛好用同家mail 02/01 08:32
yiersan : 用戶問題比較大 02/01 08:39
ackes : 要看是不是下面irent那個問題吧 之前聯邦也一波 02/01 08:40
ackes : 怕是被慢慢收割 02/01 08:40
yiersan : 若是銀行問題 怎麼才34位 02/01 08:43
geniusw : 我國泰 hsbc 台新星展有 中信土銀沒 02/01 08:43
jimmy0525 : 我覺得不如找有相關的金融立委去監督可能還比較有 02/01 08:56
jimmy0525 : 用 就像之前修改信用卡定型化契約意思一樣 比較會 02/01 08:56
jimmy0525 : 有實質的動作 02/01 08:56
Athanasius : 看了去檢查自己的信用卡對帳單,發現... 02/01 09:07
ckkaze : 給高調推,銀行內部要不要查查,發MAIL的系統有沒 02/01 09:09
Athanasius : 加密的有:玉山/台新 未加密的有:富邦/兆豐 02/01 09:09
ckkaze : 有異常人員連入,發送LOG有沒有外洩風險.. 02/01 09:10
Athanasius : 如果真的是原po所說的,信件傳送過程未加密 02/01 09:11
Athanasius : 這篇應該高調,另外其他未加密銀行的卡友也注意一下 02/01 09:11
peterkan : 電腦被駭,可是怎麼知道卡號、安全碼? 02/01 09:12
chinaeatshit: 玉山發過好幾張神卡 同樣也是傳mail跟手機 卻沒 02/01 09:20
chinaeatshit: 人在意 02/01 09:20
mike0608 : 我看了一下 很多家都沒有加密 02/01 09:23
Enota : 我看富邦OTP的有加密耶 還是不同封?? 02/01 09:24
Enota : https://i.imgur.com/DVrdXoi.png 02/01 09:24
Enota : 電子帳單的部份 沒有加密,但帳單本身PDF有加密 02/01 09:26
Enota : https://i.imgur.com/jlUV1tc.png 02/01 09:28
Athanasius : 抱歉,我是看電子帳單的部分,OTP信件我都砍了 02/01 09:34
Athanasius : 之後會確認 02/01 09:34
vyvian : 如果金管會認為是email傳送OTP出問題,應該要有證據 02/01 09:39
vyvian : 華南的OTP郵電通知也是沒加密 卻只有永豐出事? 02/01 09:46
vyvian : https://imgur.com/3ggGCqs 02/01 09:46
StupidArt : 我沒同步email,但還是被盜刷 02/01 09:51
bitlife : 我前面說集中一家有兩種可能,正常邏輯上來說,全是人 02/01 09:53
bitlife : 頭的機會也是很低,原因是一般消費者有意謊報(自刷假 02/01 09:54
bitlife : 裝成被盜),通常是個人行為,集體的人頭基本上腦袋正 02/01 09:54
bitlife : 常不至於去自己曝光自家的集體盜刷行為. 不過以上是 02/01 09:55
QQ5566 : 講Ai 直接回文呀 02/01 09:56
bitlife : 正常人腦,當然是無法不能排除一群人集體智商低下,只 02/01 09:56
bitlife : 是機率很低 02/01 09:56
bitlife : 提AI的好像只有我,我不是針對在我發該AI推之後的推 02/01 09:57
bitlife : 文,也說過是題外話,可以忽略了 02/01 09:57
ornv : 才34而已嗎 02/01 10:26
gn00273680 : 其實不管是email或簡訊OTP都有被攔截風險,但這風險 02/01 10:36
mnhyuiop : 有OTP機制錢還能被拿走,未來就直接轉走我戶頭的錢 02/01 10:37
gn00273680 : 銀行接受,所以才有監管機制!改成用產生認證碼方式 02/01 10:38
gn00273680 : 當然也可以~問題是一家銀行就一個嗎?那也太麻煩了 02/01 10:38
bitlife : 應該是每發卡機構一個,但是發卡機管金管會管不太到, 02/01 10:40
bitlife : 比較可行是幾大家去聯合發卡機構,最後形成像台灣行 02/01 10:40
bitlife : 動支付那樣,一個聯合推出的app可以同時使用多家銀行 02/01 10:41
Ken52039 : 傳email超北七,每次都想說有簡訊就好,結果還要去 02/01 10:41
Ken52039 : 刪mail,煩死 02/01 10:41
bitlife : 傳email是簡訊有收訊死角,人在國外或行動通訊死角還 02/01 10:42
bitlife : 能靠email網路消費刷卡 02/01 10:42
bitlife : 行動通訊死角當然要靠wifi收訊,補充解釋一下 02/01 10:43
gn00273680 : 聯合推出共用那是更不可行,一死=全死 02/01 10:44
mnhyuiop : 當你在國外旅行時,就感謝有傳EMAIL的銀行有多好 02/01 10:44
sebu : 發簡訊有簡訊費的成本,發mail沒有XD 02/01 10:44
gn00273680 : email, 簡訊一般是可以選擇的 02/01 10:44
PopeVic : 竟然有銀行未加密寄送驗證碼的郵件,真的是驚呆了 02/01 10:45
PopeVic : … 02/01 10:45
bitlife : 這倒不一定,app可以根據卡是哪家銀行,直接與該銀行 02/01 10:45
bitlife : 交換資訊,而不是只靠一個單一主資料中心. 只剩app本 02/01 10:46
bitlife : 身是否有安全漏洞的問題,不過這問題本質和Windows, 02/01 10:46
bitlife : android,iOS有漏洞類似,就是少數寡占軟體本來就要特 02/01 10:47
bitlife : 別重視資安 02/01 10:47
baby79080000: 發了一篇在樓上,有沒有可能綁定irent 02/01 10:50
bitlife : 我有回覆,是有可能,但是要符合不少條件.主要是email 02/01 10:51
jillmax : 不知道可否OTP動態密碼+自設固定密碼xxxxxxoooo這 02/01 10:52
jillmax : 樣增加安全性 02/01 10:52
bitlife : 收了木馬後中毒,然後其他家銀行也有受害者.另外未用 02/01 10:52
bitlife : irent者也能找出合理解釋(以上針對被OTP盜刷) 02/01 10:53
bitlife : 事實上資安已經像實體戰爭武器操作者一樣技術要求越 02/01 10:55
bitlife : 來越高,統一app其實某種程度不是壞事,這表示所有銀 02/01 10:55
bitlife : 行聯合關注分析檢視一個app的安全性,而不是各家力量 02/01 10:55
bitlife : 分散各搞各的. 駭客集團的武力值基本上超過銀行資訊 02/01 10:56
bitlife : 中心的一般非資安工程師,像OS或瀏覽器漏洞,谷歌微軟 02/01 10:57
gn00273680 : 可以OTP+自設密碼~那個密碼不能跟其他的重複... 02/01 10:58
bitlife : 蘋果這些大咖都不能完全避免,小家銀行又外包,成本高 02/01 10:58
bitlife : 滯礙難行不提,戰鬥力先輸一半 02/01 10:58
bitlife : 如果有銀行堅持要自行開發client端,也是可以考慮入 02/01 11:00
bitlife : 網站方案,使用者只要先下載統一入口app,遇到該家銀 02/01 11:00
bitlife : 行卡就會提示先下載特定app,直接幫客戶跳store下載 02/01 11:01
bitlife : 頁 02/01 11:01
bitlife : 更正上面漏字及錯誤,應該是入口app方案 02/01 11:01
pippen2002 : 筆記ing~~~ 02/01 11:12
pippen2002 : 永豐不是小銀行耶~~超大!! 02/01 11:13
bitlife : 我的小銀行又外包沒有針對任何一家,我的意思是台灣 02/01 11:28
bitlife : 的銀行都是小銀行... XD 02/01 11:28
bitlife : 光看人數就是小銀行,而你的駭客敵人有世界交流協會 02/01 11:29
bitlife : 要當他合理的對手至少也要發卡組織,G家,M家,A家才合 02/01 11:29
bitlife : 理,這樣說其實不過分 02/01 11:30
mooto : 重新定義小額 02/01 11:57
marlonlai : 如果金管會確定是email問題的話 那大概就是客戶信箱 02/01 12:00
marlonlai : cookie被盜了 只能說不要亂點釣魚網站或下載來路不 02/01 12:01
marlonlai : 明的軟體 02/01 12:01
marlonlai : 不過會被盜特定一家的情況 也代表永豐有資料外洩了 02/01 12:02
doubtess : 其實有一些app或手機也有風險...我之前用悠xx的ap 02/01 12:09
doubtess : p綁定交通卡,想說可以即時餘額多少,結果某天 02/01 12:09
doubtess : 我的帳號就被登出...登不進去自己的帳號,app還 02/01 12:09
doubtess : 會連到附近陌生人的聯名信用卡,上面赤裸的展現陌生 02/01 12:09
doubtess : 人的卡號==,我覺得超噁。後來和app的客服跟工程師 02/01 12:10
doubtess : 溝通更新app後才回歸正常... 02/01 12:10
bring777 : 永豐資安沒人? 02/01 12:25
tonyian : 永豐的資訊系統就是小銀行阿,真以為銀行只看交易 02/01 13:13
tonyian : 額比大小的嗎? 02/01 13:13
ysy2003 : 扯欸 這真的是金融機構? 02/01 14:05
bst788 : 人頭個鬼,我就是這次春節被盜刷的1/34啊== 02/01 17:38
IOUIOUIOU : 手上的永豐只有很久沒用的保倍卡,之前就轉到pi卡扣 02/01 18:28
IOUIOUIOU : 繳了,這次趁機直接打客服剪卡,連慰留都懶XD 02/01 18:28
dantes1013 : 新聞裡,銀行端的說法,是"客戶"的信箱被駭 02/01 18:55
dantes1013 : 持續否認銀行端的責任 02/01 18:55
dantes1013 : 這個說法根本不能解釋"集中一家"的情況 02/01 18:56
dantes1013 : 猜銀行端被駭的可能性比較高 02/01 18:56
sooler : 好巧喔就剛好都永豐客戶被駭 02/02 01:24
leoz69927 : 就銀行端認證機制被駭這麼簡單 02/02 09:51
zoe11288338 : 跟irent應該無關,他信用卡資訊都是加密保護的,聲 02/02 14:18
zoe11288338 : 明有說到 02/02 14:18
meowlike : 明碼傳輸... 這太扯了 跟裸奔一樣 02/02 19:52
onlypurple : 還好已剪卡 02/03 16:57
RELIC : https://bit.ly/3MoVVnP 04/07 13:00
RELIC : 板上/不到bondee的文章 04/07 13:00

你可能也想看看

搜尋相關網站