台新網銀詐騙案:OTP認證簡訊騙走40萬,受害者詳述事發經過

台新網銀詐騙案:OTP認證簡訊騙走40萬,受害者詳述事發經過
圖片來源:Asa Chen

我們想讓你知道的是

我私訊Asa請教詳細事發過程,經當事人確認且同意公開,讓更多人可以了解詐騙套路。並附上簡單自保之道,以及銀行該如何保護客戶的一些建議。

去(2020)年12月,我曾分析駭客可能利用哪些手法盜轉網銀存款,沒想到類似的簡訊詐騙在今年春節前又再度出現。詐騙集團大量發送簡訊,偽裝成台新銀行通知客戶網銀APP更新,誘使受害人點擊連結輸入網銀帳號密碼,進而盜走存款。

一般人若遭到詐騙,為了面子通常會低調處理,但此案受害人之一Asa Chen卻選擇在臉書上描述慘痛經歷,希望不要有人再因此上當。

我十分欽佩Asa為了保護其他民眾而勇敢公開分享的行徑,因此私訊她請教詳細事發過程,經當事人確認且同意公開,讓更多人可以了解詐騙套路。並附上簡單自保之道,以及銀行該如何保護客戶的一些建議。

詳細事發經過

儘管媒體已報導,但內容與實際發生狀況仍有些許落差,因此先來看看此次詐騙發生的經過。

未命名
Photo Credit: 高智敏
詳細事發流程

2月5日晚上六點多,Asa收到詐騙簡訊,內容提到台新網銀版本更新所以要求立即上網驗證身分,同時附上驗證網址。點下連結打開看似台新的釣魚網頁,Asa輸入了身分證、網銀帳號、密碼,並按下送出。這組登入網銀的資訊,就在此時傳送了給詐騙集團設置的伺服器。

能夠登入網銀只是整個計畫的第一步,接下來的重點在於如何把錢轉出來。如果隨便找一台手機,即使用Asa帳號登入網銀,也只能進行「約定轉帳」,意即錢只能轉給Asa事先約定好的帳戶。因此,若要將錢轉至詐騙集團人頭戶,勢必得啟用「非約定轉帳」功能。

此份台新官方說明可看出,只要把做案用手機變成「信任裝置」,就可以執行非約定轉帳;而其中一種方式,是由台新發送「啟用密碼」簡訊認證。詐騙集團只要取得「啟用密碼」,並且在做案用手機輸入,將手機變身為信任裝置,即可為所欲為,堪稱「得密碼者得天下」。

問題是,這個啟用密碼只會被傳到Asa當初留給台新的手機,而且10分鐘內未輸入立即失效,詐騙集團該如何拿到?

最重要也最困難的這一步,詐騙集團巧妙善用了前面的釣魚網頁,搭配現今最流行的OTP認證模式(透過簡訊或電郵傳送的一次性密碼)。Asa送出帳號密碼後,釣魚網頁跳轉到下一頁,要求輸入簡訊認證碼確認身分。此時,詐騙集團趕緊利用Asa帳號登入網銀、申請裝置認證,台新也確實發出「啟用密碼」簡訊到Asa手機。

unnamed
圖片來源:Asa Chen
「啟用密碼」的簡訊

若你是Asa,網頁只差輸入簡訊密碼就完成,而剛好又傳來一封附有OTP的簡訊,是不是很直覺會把密碼輸入網頁了?能夠分辨這個簡訊密碼是「綁定裝置用」的客戶有多少?

一旦詐騙集團綁定手機,後面轉帳給人頭戶的過程就不需贅述。根據規定,非約定轉帳每筆上限5萬、每日上限10萬、每月上限20萬。由於Asa有兩個帳號,加上詐騙集團又在半夜跨日前後轉帳,因此最多可轉出40萬(兩帳號 x 每日10萬 x 2日)。

不懂科技的民眾也能自保嗎?

與Asa溝通過程中,不難發現多數人認為自己會上當的主要原因,是因為不懂資訊科技。其實此類詐騙並未使用高深手法或先進駭客工具,而是採用最經典的「社交工程」,攻擊脆弱的人心。

因此,民眾若要避開此類詐騙,要加強的不是計算機概論,也不用成為資安專家,而是掌握一個最基本的原則 ──不管是熟人還是陌生人、不管是哪種方式傳來的訊息(簡訊、電子郵件、Line、FB、IG等),只要內容附上網址,而且點開後要求輸入帳號密碼或下載安裝程式,內心的警報器一定要大聲作響,告訴自己「這極有可能是釣魚簡訊!」

假使不放心或很想知道真相,也絕對不要貪圖方便而點擊訊息內的網址,應該另外打開官方APP,或是自己連線到官方網站。以此案為例,若Asa真的怕網銀被停用,應該做的是打開台新APP或用Google搜尋台新官網,然後登入驗證。當然,登入以後就會發現根本沒有強迫重新驗證這回事。

另外,由於釣魚訊息會隨著時事而不斷進化,我們的最佳對策除了絕不點開以外,還可以加上一點想像力,把「網路」上發生的事情搬到「馬路」類比,大概就能提高「防詐免疫力」了。

比如說,當你走在街上,一位路人走過來搭訕,說他是台新銀行行員,因為某某分行要改裝了,必須請你立即提供存摺跟印章,確認你還是活躍的客戶,未來才能繼續使用銀行的服務,否則就要凍結你的帳戶。試問,你會不會把存摺跟印章給他呢?

我想正常人聽到這種奇葩理由,應該都不會交出來吧。那為什麼類似的情境發生在網路上,不少人卻願意提供帳號密碼呢?

銀行能否更積極保護客戶?

當然,若客戶沒有把身分證字號、帳密跟綁定信任裝置的啟用密碼交出,詐騙集團也無法成功盜走存款,客戶自然得負最大的責任。不過,銀行因為擔心被金管會罰、擔心被客戶告得負賠償責任,而於事發後說明早已於網頁或網銀使用條約提醒客戶提高警覺、網銀的安全控管符合規定等,只會讓客戶感到到「卸責優先」,而非積極協助的態度。

去年在美國大通銀行開戶後,年底收到了一封警示郵件,內容是銀行發現我的部分個資已經在暗網(駭客的黑市)被販賣。收到這封郵件的當下,除了訝異原來美國個資也會這麼快被賣掉以外,對於美國銀行的主動積極留下十分深刻的印象。

unnamed_(1)
Photo Credit: 高智敏
帳戶警示郵件

在網銀被盜頻傳的現在,台灣的銀行絕對可以採取更主動的作為,積極保護客戶權益:

  1. 以詐騙角度重新設計流程:思考「綁定信任裝置」或其他「便民科技措施」,在釣魚簡訊或其他類似詐騙手法中,會如何被詐騙集團濫用,並且重新設計整體流程,在「安全」與「便民」中取得平衡。
  2. 搶先註冊可能被濫用的類似網址:此次詐騙集團使用的釣魚網站是www.taishinz.com,乍看之下很難發現是假網址。因此銀行可以搶先詐騙集團一步,註冊那些容易被假冒的網址。像是知名火鍋店「海底撈」註冊「池底撈、淮底撈、海底LAO、三每底手勞」等177個商標,「珍煮丹」加碼註冊「珍煮母」等,都是類似的概念。
  3. 異常行為監控:當使用者行為與平日截然不同,或是發現行為模式與之前被詐客戶的異常行為類似時(如長假前周末夜晚綁定信任裝置),可改用其他方式(如真人電訪或機器語音確認)再次與使用者確認。
  4. 關注國內外銀行詐騙案例:由於疫情關係,美國不少銀行鼓勵年長者多多使用網路銀行,也讓詐騙集團有機可趁,美國退休人員協會(AARP)去年也撰文提醒會員小心釣魚簡訊詐騙。而在台新簡訊詐騙之前,已有國泰的案例;而台新之後,近日又出現假冒中國信託的簡訊。其他尚未出事銀行,應該立即檢視自己的系統與流程設計。

詐騙不死,只是變形

保護好自己重要的帳號密碼,是民眾最基本的責任,不懂電腦不了解資安並不能當作藉口,只要掌握不隨意點擊連結、不輸入帳密或重要個資、不下載安裝程式的基本原則,就能趨吉避凶。

銀行能做的不只是打官腔和事發後被動提醒客戶,如何搶先詐騙集團、駭客與民眾好幾步,提前做好防詐布局,才是真正「客戶至上」的貼心服務。

責任編輯:朱家儀
核稿編輯:翁世航