全支付盜刷案調查出爐 用戶這動作恐難求償
全支付近期爆出盜刷爭議,金管會公布最新調查報告。結果顯示確定有39位民眾,因誤信釣魚簡訊而遭扣款,事件並非系統漏洞,而是詐團假冒官方更新通知,誘使用戶主動輸入帳密與OTP驗證碼,一步步完成綁定程序,最終導致款項被轉走。由於資訊均為民眾自行提供,後續求償可能相對不利。
全支付於11月6日通報重大偶發事件,並在11月17日向主管機關提出詳細報告。初步資訊指出,本次事件並非源自內部系統異常,也沒有外部入侵跡象;所有扣款均因民眾在不知情情況下完成登入流程,輸入足以讓詐團操作的完整驗證資訊,包括帳號密碼、OTP(One Time Password,一次性密碼)、卡片或銀行帳戶的綁定資料,讓歹徒得以順利竄改設定、完成扣款。
金管會表示,這39件盜刷均與釣魚簡訊或郵件高度相關,詐團以「系統更新」為名散布假連結,誘導民眾重新下載App並進行綁定動作。由於整個程序是受害人親自完成身分驗證,日後在責任歸屬上,可能因未妥善保管帳密而處於不利地位。
除了39件與詐騙相關的盜刷,調查中也出現1件與特店作業疏失有關的扣款爭議。該商家誤發多筆扣款指示,造成App出現非本人操作紀錄,經全支付協調後,商家已完成退款處理,並不屬於盜刷事件的一部分。
金管會進一步提到,這些詐騙手法採取「隨機發送」方式行騙,甚至連非全支付用戶也接收到偽冒訊息。鎖定全支付的原因,與其近年快速成長有關,全支付在電子支付市場的市占與交易金額穩居前段,因而成為詐騙者模仿的主要標的,加上民眾普遍熟悉該品牌,容易讓不法人士有機可乘。
全支付於10月31日已向165反詐中心通報,阻斷詐騙網址,同時透過App推播、簡訊與官網公告提醒用戶提高警覺,並強化網址監控與安全過濾機制。金管會也要求全支付,提升對異常綁定與異常登入的偵測強度,並採用更明確的警示畫面,協助用戶辨識風險。
金管會提醒,詐騙集團已能高度仿造官方介面,民眾若接到要求更新App或重新綁卡的訊息,切勿直接點擊連結,應主動向電子支付業者或銀行確認。尤其是涉及OTP、卡號或帳戶資訊時,更應提高警覺;若不慎輸入資料,應立即聯繫機構凍結交易,避免損失擴大。
原文出處
延伸閱讀