[新聞]資安升級被駭 遭盜刷成冤大頭

作者: WaterDragonI (水龍) 看板: creditcard
標題: [新聞]資安升級被駭 遭盜刷成冤大頭
時間: Thu Oct 4 06:43:10 2012

資安升級被駭 遭盜刷成冤大頭

http://tw.money.yahoo.com/news_article/adbf/d_a_121002_1_3elri

( 2012/10/02 14:02 中央社 )
（中央社記者陳舜協台北2012年10月2日電）楊姓民眾使用高安全性網路刷卡驗證碼，被
駭後遭盜刷卻成冤大頭。金管會官員今天承諾將強化銀行驗證程序，保護消費者權益。

親民黨籍立法委員李桐豪上午召開「信用卡盜刷防不了，網路驗證碼破功？」記者會，指
近來多家信用卡公司及發卡銀行為提高網路交易安全，推動網路驗證密碼，但有消費者疑
似驗證密碼被駭，因不知驗證密碼「服務約定條款」規定，反而被銀行要求付款。

楊姓申訴人說，他今年8月初前往埃及旅遊時，被家人通知，銀行要求確認5筆購買廉價航
空機票、射擊運動等約新台幣11萬餘元的網路刷卡消費，當時即告知銀行為盜刷。

不過，銀行之後以這5筆刷卡有使用網路驗證密碼，依「服務約定條款」約定，若使用網
路驗證密碼並回答提示問題正確，產生的交易即視為持卡人本人的交易，「持卡人不得否
認」，楊姓民眾申訴無門。

李桐豪說，消費者盼提高網路交易安全而使用網路驗證碼，且顯然可能因電腦被駭而被其
他人知悉，卻因「服務約定條款」的不合理規定無從申訴，拒繳還會被加收懲罰性利息，
他要求應改善。

金融監督管理委員會銀行局科長周怡玫表示，楊姓申訴人的個案可視為「詐欺消費」，發
卡銀行可列為爭議帳款，消費者不會因「服務約定條款」被強迫支付遭盜刷金額。

周怡玫還承諾，1個月內會要求銀行修正網路驗證密碼「服務約定條款內容」，更加保護
消費者，加收懲罰性利息規定也會一併修正，並要求銀行強化刷卡後的驗證程序。
1011002

--

喔？歸責不知道有無可能被打回原形.....再度回到由銀行負責舉證的狀況....
這樣3D驗證根本就是破功囉∼ 科科∼
--
科科∼還真的OP了∼補上別家新聞∼跟小資訊....
--

http://www.libertytimes.com.tw/2012/new/oct/3/today-e22.htm

信用卡遭網路盜刷 金管會挨批

〔記者顏若瑾╱台北報導〕楊姓民眾昨在立法院親民黨團陪同下召開記者會指出，他日前
遭網路盜刷11萬多元購買飛往匈牙利廉價機票與槍枝，他立刻致電銀行告知信用卡遭盜刷
，但銀行卻以消費已輸入網路驗證碼為由，要求持卡人須負責。親民黨團質疑，網路驗證
碼本是為期提高網路刷卡的安全性，現在反讓消費者承受全部疑義帳款的責任，顯見金管
會疏於監督，金融消費評議中心更沒有保障消費者權益。

金管會銀行局科長周怡玟說，這筆交易確實使用了驗證碼，持卡人不能否認這幾筆交易不
存在；但爭議款項有不同請求事項，消費者可以提出證明詐欺的交易資料，循爭議款項管
道處理；至於契約文字合理與否，銀行局可要求銀行寫得更精確，款項在爭議期間的利息
，銀行局將研議是否訂定規範，朝不能超過持卡人原有年息的方向研議。

楊姓民眾表示，今年8月接獲銀行通知，他有幾筆海外線上交易，是刷卡購買前往匈牙利
廉價機票與槍枝，總價約11萬元，他隨即告知銀行他沒有行使這些交易項目，恐是遭盜刷
，要求銀行控管信用卡，銀行也隨即將交易列為爭議款項，孰料銀行之後卻以網路驗證碼
輸入正確為由，認定這是消費者知悉密碼狀況下的行為，責任在持卡人。

親民黨團總召李桐豪指出，民眾申請信用卡網路驗證碼時，必須簽署一份服務約定條款，
內容明示「持卡人同意若交易過程中有輸入上述個人密碼、提示問題與回答等機密訊息，
此交易即視為持卡人本人的交易，持卡人不得否認」，換言之，使用網路驗證碼，消費具
不可否認性，即便遭盜刷，仍須自行負起全部帳款責任，沒有免責的可能性，等於是讓銀
行與信用卡公司責任全免。

李桐豪表示，持卡人提起爭議款項後，若銀行端認定爭議無效，要求當事人支付爭議款項
，銀行會自付款當日開始，按懲罰性利率計算應付款項，有的年利率高達兩成，非常不合
理；親民黨團要求，利息應比照持卡人信用條件下的應付年息計算。
==============================================================================

遭人盜刷信用卡 持卡人竟要承擔

【台灣醒報╱記者劉彥萱╱台北報導】

http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS2/7403620.shtml

2012.10.02 07:00 pm


隨著網路購物越來越普及，民眾可要小心信用卡遭盜刷！親民黨立委李桐豪表示，消費者
上網購物，若遭第三人盜刷信用卡，必須負擔全部「疑義帳款」之責任，顯現出金管會疏
於監督，並未保障消費者權益。對此，金管會科長周怡玫表示，會在三個月之內針對銀行
合約研議修改。

楊姓民眾陳情投訴表示，信用卡遭人盜刷13筆交易，損失了11萬元。然而銀行卻以前5筆
有輸入VISA 3D驗證碼為由，要求楊姓民眾負擔全部帳款。

李桐豪表示，銀行以民眾知悉密碼之由來要求其負擔全責，非常不合理。金管會應立即調
整服務約定條款的條文內容，並調查與楊姓民眾同樣受害的持卡人案例，釐清疑義帳款的
清償責任。

此外，根據信用卡定型化契約13條規定，凡因發生疑義而暫停付款之帳款，持卡人於受銀
行通知後應立即繳付，並自原繳款期限之次日起，以年息百分之N計富利息予銀行。李桐
豪對此表示，不應增加持卡人之利息，此條款等同懲罰持卡人。

李桐豪說，信用卡公司推廣驗證碼主要是要讓網路刷卡多一層防護，然而服務約定條款要
求消費者不讓任何人知道密碼、提示問題，與回答機密訊息，並明訂使用密碼完全交易均
視為消費者同意下之行為，但如今銀行與信用卡公司卻要讓消費者獨自承擔網路盜刷的行
為風險。

周怡玫表示，持卡人雖無法主張「沒有交易」事實，但可以提出詐欺交易，要求列為「爭
議帳款」。此外，根據此缺失，會在三個月之內針對銀行合約說明做研議修改，與相關銀
行機構溝通，設立保護消費者的機制條款，保障消費者的權益。

全文網址: 遭人盜刷信用卡 持卡人竟要承擔 | 社會 | 即時新聞 | 聯合新聞網

http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS2/7403620.shtml#ixzz28IYRW1PF
Power By udn.com

============================================================================

2012黑帽大會搶先看：輕忽POS漏洞 小心外洩信用卡號與PIN碼

作者：編輯部 2012 / 07 / 30

2012年黑帽大會(Black Hat)在美國拉斯維加斯開跑，來自英國MWR InfoSecurity的兩位
安全研究人員Nils與Rafael Dominguez Vega在大會中展示，如何使用端點銷售情報系統
(POS, Point of Sale)存在的漏洞，竊取信用卡號碼和PIN碼。

現場展示中，Nils和Vega挑選了三款不同的POS機型，不過這三款產品的logo都用貼紙貼
住，Nils表示，其中兩款在英國相當普及，另一款則在美國市場很受歡迎。但Nils拒絕透
露這三款機型的品牌，他表示，希望給予廠商一些時間去修正這些漏洞，目前這些廠商已
被告知了這些漏洞，其中一家公司也已經著手修補。

兩款在英國相當普及的POS機型，其卡片付款應用程式都存在漏洞，讓駭客可以透過漏洞
控制所有連接到POS系統的裝置，包括螢幕、列印收據的印表機、讀卡機，或PIN Pad（晶
片讀卡機），倘若在EMV晶片內寫入惡意程式碼，並插入終端的讀卡機時，還可進一步展
開攻擊。

兩位研究人員用了這樣的方式，在其中一台POS終端機上安裝賽車遊戲，然後控制它的螢
幕與PIN晶片讀卡機，讓POS系統搖身一變成了遊戲機，在另一台POS終端機上，則安裝了
一個用來竊取卡片資料的木馬程式，當插入不同的卡片後，其卡片密碼與PIN碼都會被記
錄下來。

雖然現場僅展示如何竊取信用卡卡號和PIN碼，不過Nils指出，透過漏洞還可以做很多惡
意行為，像是竊取卡片磁條上的資料，據此複製出一張相同的卡片，或是利用惡意晶片卡
進行詐欺交易，惡意晶片卡可以鎖住實際付費行為，但依舊列印出收據，讓店家以為已經
完成交易，實際上卻沒付費。

至於現場測試的第三台POS終端機，其構造較為複雜，使用觸控螢幕以提供
signature-based付款機制，並可透過乙太網路進行遠端控制。Nils表示，這些POS終端機
以及遠端的管理伺服器都未加密，因此，駭客可以使用ARP或DNS手法，透過區域網路將
POS終端機導引到另一台惡意的伺服器上，然後進行控制。

Nils表示，他目前沒有證據可以說明其他POS製造商生產的產品是否也存在相同漏洞，但
POS業者必須正視這樣的風險，雖然沒有任何電腦系統是完美的，但這些終端設備應該要
提供更好的安全保護。

無獨有偶，約在一個月之前，就有安全研究人員提出POS安全的漏洞問題。德國安全研究
人員以德國當地被廣泛使用的POS系統為例，展示如何透過區域網路入侵該裝置，然後使
用它竊取卡片磁條資料和PIN碼。

除此之外，行動安全也是2012年黑帽大會相當受關注的議題。包括蘋果平台安全團隊經理
Dallas De Atley登台講解iOS作業系統的安全設計，這也是蘋果首次以主講人身分參與黑
帽大會。

Accuvant實驗室首席顧問Charlie Miller則展示如何使用NFC技術攻擊Android手機，雖然
測試時的有效距離僅在4公分以內，但NFC無線技術所存在的漏洞仍是不可輕忽。

另外在DEFCON上，Blackwing Intelligence資安研究員Eddie Lee也指出手機付款的漏洞
，他在現場展示如何以Android手機獲取有條碼的信用卡資訊，並利用這些資訊盜刷信用
卡，他甚至認為同樣的手法也可適用於其他種類磁卡。

https://www.informationsecurity.com.tw/Seminar/news_detail.aspx?tv=41&aid=6952


--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.81.148.201
※ 編輯: WaterDragonI 來自: 111.81.148.201 (10/04 06:43)
推 Jamy:3D驗證 = 挖洞給持卡人跳  10/04 07:28
推 cityport:打回原形..那3D驗證就可以收攤啦..本來就是坑卡友的工具  10/04 07:40
推 grandpa:OP了 內容一樣同一篇新聞 #1GQe-hiC (creditcard)  10/04 10:17
推 Earl:回歸由銀行負責舉證，那小弟就會去註冊囉 :)  10/04 10:35
※ 編輯: WaterDragonI 來自: 42.73.119.176 (10/04 11:45)
※ 編輯: WaterDragonI 來自: 42.73.119.176 (10/04 11:47)