OTP盜刷猖獗 金管會揭露常見3大犯案手法

金管會表示，目前信用卡的詐騙案件，詐騙集團多是以各種方式騙取民衆的信用卡卡號及OTP等交易資訊，再進行盜刷，或綁定在Apple Pay、Google Pay、Samsung Pay上進行盜刷交易。

金管會羅列出最常見的三大手法。第一，詐騙集團僞裝成社羣媒體上賣家粉絲專頁的小編，以向買家確認訂購資訊爲由，透過釣魚網頁騙取買家交易資訊；第二，以超優惠或限時搶購的「一頁式廣告」，誤導民衆購買廣告頁面上的假商品，並在進入假付款頁面後輸入交易資訊；第三，通知尚未繳納相關費用即將產生違約金、補稅，或公共事業費用繳款通知，或點數將過期的釣魚簡訊，使民衆誤信而點選簡訊上的連結網址，輸入交易資訊。

民衆如果誤信假網頁或釣魚簡訊，而不慎輸入信用卡卡號、效期等卡片相關資訊，金管會指出，由於OTP是進行信用卡網路交易，或綁定信用卡的過程中，確認持卡人身分的重要認證方式，持卡人在交易時，須輸入OTP，並經發卡機構授權後，才能得以完成交易，因此OTP對網路交易安全至關重要。

金管會提醒，民衆在網路上進行交易時，要注意兩大重點，一是仔細閱讀OTP驗證簡訊內容，消費者要仔細覈對簡訊內所寫的內容，與所進行交易的資訊，包含幣別、消費金額、目的，是否相符，如果不符，請不要將OTP輸入網頁，可以通知髮卡銀行協助瞭解；二是綁卡訊息，如果民衆沒有要進行或意圖綁定信用卡，卻收到髮卡銀行發送綁定完成的簡訊通知，應趕緊聯絡髮卡銀行了解原因及信用卡使用情況。

近期爲了防堵網路OTP盜刷，金管會已啓動三大措施。第一是調降交易門檻，信用卡網路交易即時通知門檻從5,000元調降至3,000元，髮卡銀行也可以風險考量，而採交易金額更低的通知門檻。

第二，強化OTP驗證簡訊內容。髮卡銀行傳送的OTP驗證簡訊，當中要寫明「目的」，如果是消費交易驗證，要包含刷卡消費金額，如果是綁定卡片驗證，簡訊內容要載明「綁定信用卡驗證」等文字。另金管會已要求所有髮卡銀行，第2季前OTP驗證簡訊的消費金額，幣別從英文代碼，一律改以中文顯示交易幣別。

第三，強化三大行動支付綁卡身份驗證。三大行動支付爲Apple Pay、Google Pay或Samsung Pay，金管會要求，申請人在綁定時，三大行動支付要提供手機門號資訊給髮卡銀行，髮卡銀行要確認與申請人留存在髮卡銀行的手機號碼一致，才能進行後續發送OTP驗證簡訊等身分驗證程序，以完成綁定。

金管會也要求髮卡銀行，持卡人完成綁定後，要即時以簡訊或電子郵件等方式，提醒持卡人已有行動裝置綁定其信用卡，該行動裝置已具行動信用卡的感應支付功能，並加入防詐警語。

金管會強調，民衆要慎防各式假消息、釣魚簡訊、一頁式廣告等詐騙，不要輕易點選來路不明的簡訊或網頁廣告所附連結網址，以保護信用卡卡號、OTP等個資安全，也務必仔細閱讀OTP驗證簡訊內容，確認與進行交易的幣別、消費金額及目的相符後，再進行交易或綁定。