信用卡有 OTP 簡訊驗證很安全?網友未刷卡卻收到簡訊還被要求繳款

簡訊驗證碼 OTP 盜刷

現在很多服務都會使用一次性簡訊密碼做認證,尤其是以線上刷卡消費時,最常出現輸入卡號、送出訂單時就要求輸入 OTP 簡訊驗證密碼,而且幾乎全台的銀行都有這樣的認證機制。

但你知道 OTP 簡訊認證早從 2017 年起就被美國標準檢驗技術研究院、趨勢科技…等多個技術單位、資安團隊認定並不安全,並且呼籲儘早拋棄改用更安全的驗證方式。

甚至最近有網友就發生類似的事情,而遭到銀行認定不屬於盜刷

網友信用卡遭盜刷、銀行認定 OTP 驗證過所以認列帳款

前一陣子的某天晚上,在看 PTT 信用卡版的時候,就看到一篇文章,裡面網友說自己最近收到一個 OTP 驗證要求的簡訊,但是自己當下並沒有進行任何的線上刷卡行為,因此他認為信用卡資料遭外流,有人利用他的信用卡號線上刷卡,還好有 OTP 幫他擋下,所以當下並沒有理會這個 OTP 驗證簡訊,並且也打電話告知銀行自己的信用卡遭盜刷並掛失。

照理說這筆刷卡應該就不會刷過了,但後來網友的帳單上還是出現了這筆十萬以上異地異常消費紀錄,儘管網友強調這個不是他刷的、也報了掛失,但銀行端查詢後,發現 OTP 簡訊驗證已經通過,因為 OTP 簡訊只會傳送到信用卡持卡人的手機,對銀行來說,有 OTP 認證通過一定就是信用卡持卡人輸入了簡訊上的認證碼,所以要求網友還是要支付這筆款項

OTP 簡訊驗證碼為什麼不安全?

看到這裡你抓到重點了嗎?

如果你的卡號不慎遭到外流,然後詐騙集團用這個卡號去刷卡,你以為還有 OTP 簡訊當最後一道把關的防線,結果對方還是有辦法弄到你的 OTP 簡訊認證碼,那這筆盜刷的金額你還是得付!

這裡我們不針對詐騙集團如何把外流卡號跟哪一組 OTP 密碼配對的方式做討論,因為就是有這個風險,而且也確實有類似的事件發生過。

此外,也不包含消費者自行因為不慎輸入、刻意,或是遭到釣魚詐騙而「自行輸入 OTP 密碼」的狀況,因為這個確實消費者自己也要負責。

OTP 簡訊密碼仍然有被竊取的可能

OTP 簡訊驗證碼原始的用意就是當你的卡被人撿走,對方拿這張卡去刷,發卡銀行會發送一個簡訊給你,但這個簡訊對方收不到,所以就無法完成刷卡驗證的流程,這樣就不會被盜刷。

簡訊驗證碼 OTP 盜刷

但是!

美國標準檢驗技術研究院、趨勢科技等資安團隊在 2017 年就發現並且不斷提醒,如果駭客在你的手機植入木馬、利用漏洞…等方式就可以遠端竊取你收到的那封 OTP 簡訊內容,這樣他們就能夠取得刷卡時要求的那組 OTP 驗證碼。

甚至有銀行已經宣布不在使用 SMS 簡訊 OTP 驗證碼,改用數位 Token 的驗證方式,表示銀行自己也知道這種驗證方式是不安全的!

簡訊驗證碼 OTP 盜刷

OTP 電子郵件同樣有可能被竊取

除了 OTP 簡訊驗證碼以外,有的銀行還會很好心的發送 OTP 電子郵件,雙管齊下以防你收不到 OTP 簡訊,但 OTP 電子郵件也有可能在傳輸過程中沒有做好加密、保護,而遭到駭客竊取,2023 年永豐銀行就發生過類似的事情,最後也決定關閉 OTP 密碼透過 Email 的方式傳送。

使用無密碼驗證方式才是更安全的方法

近來,有很多企業都在推行 PassKey 無密碼的驗證方式,包含 Apple、Google….等,這種驗證方式比較安全,畢竟無密碼驗證過程中完全沒有密碼,駭客就算真的從中攔截了你網路資料,他也沒有任何可以登入、驗證的資訊可以拿去用

如果你想了解更多這種比較安全的無密碼驗證資訊,可以看我之前寫過的《PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全》以及《Google 宣布支援支援密碼金鑰 Passkey,設定與使用方法完整教學》這兩篇。

使用 OTP 驗證碼該如何避免被駭客竊取、盜刷?

上面雖然說無密碼的驗證方式比較安全,但這個部分就必須要由企業、銀行….等單位主動修改驗證方式並提供這樣服務,以台灣目前的銀行幾乎都有使用 OTP 簡訊驗證碼的機制來說,我們也不可能看到這樣的事件然後就說我要關閉信用卡刷卡的 OTP 驗證,這樣我們該如何避免被駭客竊取、盜刷?

下面整理幾個可以避免簡訊驗證碼被竊取的方法。

只從官方商店下載 App

OTP 被竊取通常是因為手機被植入木馬,而木馬最容易藉由 App 的安裝進入到手機裡面,所以不要安裝來路不明的 App,不要從 App Store、Google Play 商店以外的地方安裝 App。

改用 App 通知的 OTP 一次性驗證

現在有很多 App 的登入、交易驗證都改透過 App 通知來傳送 OTP 驗證碼,這樣的傳送方式比較不會被駭客有機會竊取到你的驗證碼。

以合作金庫 App 為例,轉帳時的 OTP 驗證碼就可以改用 App 的通知來獲取比較安全。

簡訊驗證碼 OTP 盜刷

取消 Email 的 OTP 驗證碼

Email 傳送的 OTP 密碼也有機會被駭客竊取,如果有設定 Email 同步接收 OTP 驗證碼的話,建議也盡快取消。

簡訊驗證碼 OTP 盜刷

暫時關閉線上交易、國外交易功能

有些信用卡可以關閉線上交易、國外交易功能,如果詐騙集團來自境外,就可以完全避掉這個風險,甚至也可以關閉線上交易功能,如果你自己有需要線上交易的話,再提前手動開啟。

關閉線上交易功能、有需要再開啟雖然會比較麻煩,卻是目前如果一定得使用 OTP 的情況下最安全的做法;但如果你有綁定信用卡自動扣款的話,可能就要問一下關閉線上交易功能會不會有影響。

簡訊驗證碼 OTP 盜刷

設定信用卡交易額度

雖然每張信用卡都有額度上限,但有些銀行可以讓你在 App 設定針對信用卡的交易額度,可以把這個額度調低一點,只要刷太大額的消費會失敗,這樣也可以降低被盜刷但銀行又不認列市盜刷交易時的損失;當然如果自己要刷大筆消費時再暫時取消這個額度限制就可以了。

簡訊驗證碼 OTP 盜刷

透過上述這幾個方法,就可以避免在一定要使用 OTP 簡訊驗證碼當作認證機制的情況下,讓 OTP 簡訊驗證碼有機會被駭客當作是盜刷的幫手,尤其是關閉線上交易功能,只要你確定卡片沒有不見,那應該就不會發生被盜刷的狀況。

延伸閱讀》

如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、訂閱 IG、YouTube 以及 Telegram。

加入LINE好友  追蹤FB粉絲團  追蹤 Instagram  訂閱 YouTube  訂閱 Telegram