OTP盗刷猖獗 金管会揭露常见3大犯案手法

金管会表示，目前信用卡的诈骗案件，诈骗集团多是以各种方式骗取民众的信用卡卡号及OTP等交易资讯，再进行盗刷，或绑定在Apple Pay、Google Pay、Samsung Pay上进行盗刷交易。

金管会罗列出最常见的三大手法。第一，诈骗集团伪装成社群媒体上卖家粉丝专页的小编，以向买家确认订购资讯为由，透过钓鱼网页骗取买家交易资讯；第二，以超优惠或限时抢购的「一页式广告」，误导民众购买广告页面上的假商品，并在进入假付款页面后输入交易资讯；第三，通知尚未缴纳相关费用即将产生违约金、补税，或公共事业费用缴款通知，或点数将过期的钓鱼简讯，使民众误信而点选简讯上的连结网址，输入交易资讯。

民众如果误信假网页或钓鱼简讯，而不慎输入信用卡卡号、效期等卡片相关资讯，金管会指出，由于OTP是进行信用卡网路交易，或绑定信用卡的过程中，确认持卡人身分的重要认证方式，持卡人在交易时，须输入OTP，并经发卡机构授权后，才能得以完成交易，因此OTP对网路交易安全至关重要。

金管会提醒，民众在网路上进行交易时，要注意两大重点，一是仔细阅读OTP验证简讯内容，消费者要仔细核对简讯内所写的内容，与所进行交易的资讯，包含币别、消费金额、目的，是否相符，如果不符，请不要将OTP输入网页，可以通知发卡银行协助了解；二是绑卡讯息，如果民众没有要进行或意图绑定信用卡，却收到发卡银行发送绑定完成的简讯通知，应赶紧联络发卡银行了解原因及信用卡使用情况。

近期为了防堵网路OTP盗刷，金管会已启动三大措施。第一是调降交易门槛，信用卡网路交易即时通知门槛从5,000元调降至3,000元，发卡银行也可以风险考量，而采交易金额更低的通知门槛。

第二，强化OTP验证简讯内容。发卡银行传送的OTP验证简讯，当中要写明「目的」，如果是消费交易验证，要包含刷卡消费金额，如果是绑定卡片验证，简讯内容要载明「绑定信用卡验证」等文字。另金管会已要求所有发卡银行，第2季前OTP验证简讯的消费金额，币别从英文代码，一律改以中文显示交易币别。

第三，强化三大行动支付绑卡身份验证。三大行动支付为Apple Pay、Google Pay或Samsung Pay，金管会要求，申请人在绑定时，三大行动支付要提供手机门号资讯给发卡银行，发卡银行要确认与申请人留存在发卡银行的手机号码一致，才能进行后续发送OTP验证简讯等身分验证程序，以完成绑定。

金管会也要求发卡银行，持卡人完成绑定后，要即时以简讯或电子邮件等方式，提醒持卡人已有行动装置绑定其信用卡，该行动装置已具行动信用卡的感应支付功能，并加入防诈警语。

金管会强调，民众要慎防各式假消息、钓鱼简讯、一页式广告等诈骗，不要轻易点选来路不明的简讯或网页广告所附连结网址，以保护信用卡卡号、OTP等个资安全，也务必仔细阅读OTP验证简讯内容，确认与进行交易的币别、消费金额及目的相符后，再进行交易或绑定。