台新網銀詐騙案：OTP認證簡訊騙走40萬，受害者詳述事發經過

去（2020）年12月，我曾分析駭客可能利用哪些手法盜轉網銀存款，沒想到類似的簡訊詐騙在今年春節前又再度出現。詐騙集團大量發送簡訊，偽裝成台新銀行通知客戶網銀APP更新，誘使受害人點擊連結輸入網銀帳號密碼，進而盜走存款。

一般人若遭到詐騙，為了面子通常會低調處理，但此案受害人之一Asa Chen卻選擇在臉書上描述慘痛經歷，希望不要有人再因此上當。

我十分欽佩Asa為了保護其他民眾而勇敢公開分享的行徑，因此私訊她請教詳細事發過程，經當事人確認且同意公開，讓更多人可以了解詐騙套路。並附上簡單自保之道，以及銀行該如何保護客戶的一些建議。

詳細事發經過

儘管媒體已報導，但內容與實際發生狀況仍有些許落差，因此先來看看此次詐騙發生的經過。

2月5日晚上六點多，Asa收到詐騙簡訊，內容提到台新網銀版本更新所以要求立即上網驗證身分，同時附上驗證網址。點下連結打開看似台新的釣魚網頁，Asa輸入了身分證、網銀帳號、密碼，並按下送出。這組登入網銀的資訊，就在此時傳送了給詐騙集團設置的伺服器。

能夠登入網銀只是整個計畫的第一步，接下來的重點在於如何把錢轉出來。如果隨便找一台手機，即使用Asa帳號登入網銀，也只能進行「約定轉帳」，意即錢只能轉給Asa事先約定好的帳戶。因此，若要將錢轉至詐騙集團人頭戶，勢必得啟用「非約定轉帳」功能。

由此份台新官方說明可看出，只要把做案用手機變成「信任裝置」，就可以執行非約定轉帳；而其中一種方式，是由台新發送「啟用密碼」簡訊認證。詐騙集團只要取得「啟用密碼」，並且在做案用手機輸入，將手機變身為信任裝置，即可為所欲為，堪稱「得密碼者得天下」。

問題是，這個啟用密碼只會被傳到Asa當初留給台新的手機，而且10分鐘內未輸入立即失效，詐騙集團該如何拿到？

最重要也最困難的這一步，詐騙集團巧妙善用了前面的釣魚網頁，搭配現今最流行的OTP認證模式（透過簡訊或電郵傳送的一次性密碼）。Asa送出帳號密碼後，釣魚網頁跳轉到下一頁，要求輸入簡訊認證碼確認身分。此時，詐騙集團趕緊利用Asa帳號登入網銀、申請裝置認證，台新也確實發出「啟用密碼」簡訊到Asa手機。

若你是Asa，網頁只差輸入簡訊密碼就完成，而剛好又傳來一封附有OTP的簡訊，是不是很直覺會把密碼輸入網頁了？能夠分辨這個簡訊密碼是「綁定裝置用」的客戶有多少？

一旦詐騙集團綁定手機，後面轉帳給人頭戶的過程就不需贅述。根據規定，非約定轉帳每筆上限5萬、每日上限10萬、每月上限20萬。由於Asa有兩個帳號，加上詐騙集團又在半夜跨日前後轉帳，因此最多可轉出40萬（兩帳號 x 每日10萬 x 2日）。

不懂科技的民眾也能自保嗎？

與Asa溝通過程中，不難發現多數人認為自己會上當的主要原因，是因為不懂資訊科技。其實此類詐騙並未使用高深手法或先進駭客工具，而是採用最經典的「社交工程」，攻擊脆弱的人心。

因此，民眾若要避開此類詐騙，要加強的不是計算機概論，也不用成為資安專家，而是掌握一個最基本的原則 ──不管是熟人還是陌生人、不管是哪種方式傳來的訊息（簡訊、電子郵件、Line、FB、IG等），只要內容附上網址，而且點開後要求輸入帳號密碼或下載安裝程式，內心的警報器一定要大聲作響，告訴自己「這極有可能是釣魚簡訊！」

假使不放心或很想知道真相，也絕對不要貪圖方便而點擊訊息內的網址，應該另外打開官方APP，或是自己連線到官方網站。以此案為例，若Asa真的怕網銀被停用，應該做的是打開台新APP或用Google搜尋台新官網，然後登入驗證。當然，登入以後就會發現根本沒有強迫重新驗證這回事。

另外，由於釣魚訊息會隨著時事而不斷進化，我們的最佳對策除了絕不點開以外，還可以加上一點想像力，把「網路」上發生的事情搬到「馬路」類比，大概就能提高「防詐免疫力」了。

比如說，當你走在街上，一位路人走過來搭訕，說他是台新銀行行員，因為某某分行要改裝了，必須請你立即提供存摺跟印章，確認你還是活躍的客戶，未來才能繼續使用銀行的服務，否則就要凍結你的帳戶。試問，你會不會把存摺跟印章給他呢？

我想正常人聽到這種奇葩理由，應該都不會交出來吧。那為什麼類似的情境發生在網路上，不少人卻願意提供帳號密碼呢？

銀行能否更積極保護客戶？

當然，若客戶沒有把身分證字號、帳密跟綁定信任裝置的啟用密碼交出，詐騙集團也無法成功盜走存款，客戶自然得負最大的責任。不過，銀行因為擔心被金管會罰、擔心被客戶告得負賠償責任，而於事發後說明早已於網頁或網銀使用條約提醒客戶提高警覺、網銀的安全控管符合規定等，只會讓客戶感到到「卸責優先」，而非積極協助的態度。

去年在美國大通銀行開戶後，年底收到了一封警示郵件，內容是銀行發現我的部分個資已經在暗網（駭客的黑市）被販賣。收到這封郵件的當下，除了訝異原來美國個資也會這麼快被賣掉以外，對於美國銀行的主動積極留下十分深刻的印象。

在網銀被盜頻傳的現在，台灣的銀行絕對可以採取更主動的作為，積極保護客戶權益：

以詐騙角度重新設計流程：思考「綁定信任裝置」或其他「便民科技措施」，在釣魚簡訊或其他類似詐騙手法中，會如何被詐騙集團濫用，並且重新設計整體流程，在「安全」與「便民」中取得平衡。
搶先註冊可能被濫用的類似網址：此次詐騙集團使用的釣魚網站是www.taishinz.com，乍看之下很難發現是假網址。因此銀行可以搶先詐騙集團一步，註冊那些容易被假冒的網址。像是知名火鍋店「海底撈」註冊「池底撈、淮底撈、海底LAO、三每底手勞」等177個商標，「珍煮丹」加碼註冊「珍煮母」等，都是類似的概念。
異常行為監控：當使用者行為與平日截然不同，或是發現行為模式與之前被詐客戶的異常行為類似時（如長假前周末夜晚綁定信任裝置），可改用其他方式（如真人電訪或機器語音確認）再次與使用者確認。
關注國內外銀行詐騙案例：由於疫情關係，美國不少銀行鼓勵年長者多多使用網路銀行，也讓詐騙集團有機可趁，美國退休人員協會（AARP）去年也撰文提醒會員小心釣魚簡訊詐騙。而在台新簡訊詐騙之前，已有國泰的案例；而台新之後，近日又出現假冒中國信託的簡訊。其他尚未出事銀行，應該立即檢視自己的系統與流程設計。

詐騙不死，只是變形

保護好自己重要的帳號密碼，是民眾最基本的責任，不懂電腦不了解資安並不能當作藉口，只要掌握不隨意點擊連結、不輸入帳密或重要個資、不下載安裝程式的基本原則，就能趨吉避凶。

銀行能做的不只是打官腔和事發後被動提醒客戶，如何搶先詐騙集團、駭客與民眾好幾步，提前做好防詐布局，才是真正「客戶至上」的貼心服務。

若想了解更多，歡迎前往我的部落格破弊修練手冊

責任編輯：朱家儀
核稿編輯：翁世航

台新網銀詐騙案：OTP認證簡訊騙走40萬，受害者詳述事發經過