信用卡遭盜刷需自行埋單？小心落入OTP密碼自爆陷阱！

近日臉書頻繁出現速食店優惠券詐騙廣告，民眾提供信用卡號、簡訊驗證碼後竟遭盜刷，損失慘重。然而，國際信用卡組織規定，民眾自行把帳號、密碼外洩，遭盜刷須自行負擔。

一般信用卡遺失、被竊或遭冒用，掛失前 24 小時內被盜刷，不需持卡人承擔。但依信用卡組織規定，民眾自行把 OTP 密碼給出去，因此這筆款項雖是盜刷，仍須由消費者自行負擔。

銀行局長莊琇媛指出，詐騙集團假造網站，民眾本來要買速食店禮券，輸入信用卡資料、簡訊 OTP 密碼後，資料立刻被歹徒拿走買另一個高價商品。信用卡組織的規定是，民眾自行把帳號、密碼給出去，須由消費者自行負擔。消費者卻認為，自己卡號、驗證碼是被歹徒騙走，而非自己外洩。

某家大型銀行主管解釋，這有點像 ATM 提款，提款機提款只確認密碼、卡片是對的，老婆常常拿著老公的卡去提錢，但交易這樣就結束了，銀行也覺得沒有問題。網路認證也是同樣道理，卡號、一次性密碼資料對了，錢就會給出去。

網路交易非面對面、較不安全，後來有開發出認證的機制來確定，就是一次性密碼（OTP，One Time Password）的簡訊認證。詐騙集團就利用「社交工程」詐騙，仿冒名人或網站騙取信任，讓用戶自願透露機密資料。

該銀行主管指出，銀行所發的簡訊認證碼一定有交易金額，可是民眾就是想做交易，快速看過後認證碼就給出去，沒有去注意交易金額對不對。就像 ATM 提款只有密碼對、卡片對，就會吐鈔票了，但不會確定交易過程如何。

目前銀行的做法還是要求民眾負擔，因為一次性密碼是民眾自己給出去的，除非民眾每一個網頁都截圖下來，不然很難舉證。目前除了臉書、一頁式網站、簡訊圖附連結等都有可能出現這類詐騙。

不看金額、幣別，最易被盜刷

目前唯一的自救方法就是仔細看銀行給的 OTP 簡訊，上面會寫清楚該筆交易金額、幣別。有些民眾不看金額只看認證，就容易被盜刷。當然，現在有種變形，就是金額一樣，但是詐騙集團刷科威特幣，因為科威特幣值比新台幣高出 100 多元，就這樣被盜刷高額商品。

目前銀行端也積極評估如何改變簡訊內容，讓客戶更清楚。譬如把位置調整，把金額、小心詐騙等警語放前面，OTP 碼放在最後，逼著客人點開簡訊，可是目前效果都不明顯。這又涉及簡訊長度，因為不希望分成兩段。

國內銀行業者正在向國際組織取經，看在認證上有沒有更安全的方法，因為 OTP 碼目前是比較快速、便宜的方法，如果更高一層級，就是改採生物辨識。

銀行局也與與各銀行和國際發卡組織研擬對策，希望此類盜刷可讓民眾申請為「爭議款」。

核稿編輯：湯皓茹

《商益》主張「商業是最大的公益」，報導專注於讓讀者理解資本力量、商業本質以及財經語言。歡迎加入 Discord 社群，並免費註冊訂閱商益電子報。

延伸閱讀：

信用卡版圖大洗牌！中信銀卡數超越國泰世華稱王，台北富邦、星展猛追
「醫指付」疑用戶遭盜刷，銀行局：發卡機構已加強監控
理財小知識：信用卡和跟簽帳金融卡有什麼不同？