駭客盜刷信用卡 網路銀行風險控管待檢討
【大紀元2月14日報導】(中央社記者孫承武台北十四日電)刑事局偵九隊今天偵破國內首宗駭客透過「無線溢波」盜刷信用卡的犯罪集團,這種犯案手法只要信用卡可以使用,就可盜刷成功,嫌犯因此設計「連環計」避開銀行追查。顯示國內銀行對於網路銀行服務的申辦,在風險控管上有著很大的漏洞,以致不法集團有機可趁。
目前線上付款網站的信用卡認證機制,若盜刷金額過高就會被限制,而這次遭刑事警察局偵九隊逮捕的莊適宗先透過「無線溢波」避開警方追查網址,並從設法破解線上付款網站的信用卡認證機制著手。
原來線上付款網站的信用卡認證機制是依賴一組由系統發出的四位數「確認碼」,但這套系統並未限制輸入這四位數「確認碼」的錯誤次數。莊嫌就利用「算號機器人」軟體,以「暴力破解法」輕易破解線上付款網站信用卡認證機制,並一舉將可刷信用卡額度擴張到新台幣四十萬元以內 (以未超過持卡人信用額度為限),然後大肆向網路商家購物轉賣銷贓。
在刷卡風險控管方面,目前線上刷卡若單筆金額超過新台幣數萬元,信用卡發卡公司會撥打刷卡消費所留電話確認。但偵九隊三組幹員說,莊嫌會假冒原持卡人向發卡銀行申請信用卡網路銀行服務,只需以持卡人申請時的資料註冊後,即可利用網路銀行功能變更原先所留的聯絡電話,因此當發卡銀行打電話照會時,其實是打到莊嫌變更後的行動電話。
甚至莊嫌還會以網路銀行功能取消寄送信用卡實體帳單的服務,以致原持卡人無法收到當月信用卡帳單,而未即時向發卡銀行反應,換言之,只要盜刷不要刷爆信用卡額度,嫌犯在隔月仍可繼續盜刷。
警方發現嫌犯從網路上購得的信用卡資料,有些是當初持卡人申請「以卡辦卡」所留下的信用卡與證件正反面影本,雖然這類資料可能因時間久遠,造成信用卡使用有效年限已經過期。不過通常銀行的有效月份不會改,改的只是順延有效年份,而通常是往後延加三年到五年,非常容易猜測。
顯見國內銀行對於網路銀行服務的申辦、使用與安全,未能提供足夠的安全機制,讓不法集團可輕易的冒名申請並任意變更持卡人相關資料。
因此面對駭客與信用卡偽卡集團掛勾犯案,刑事警察局預防科提醒民眾在申請信用卡時,應避免利用「以卡辦卡」方式申辦信用卡,以免個人資料及信用卡資料遭不肖的信用卡代辦公司賣給不法集團,進而遭偽卡集團在網路上盜刷。
此外應立即向信用卡發卡銀行註冊個人信用卡網路銀行功能,避免個人信用卡網路銀行帳號遭不法集團先行註冊使用,進而隨意變更持卡人個人資料,以致損及持卡人權益。若持卡人不願使用信用卡網路銀行服務,也應向發卡銀行聲明這張信用卡不得申請網路銀行服務。