2012年10月3日 星期三

[新聞]資安升級被駭 遭盜刷成冤大頭

作者: WaterDragonI (水龍) 看板: creditcard
標題: [新聞]資安升級被駭 遭盜刷成冤大頭
時間: Thu Oct 4 06:43:10 2012

資安升級被駭 遭盜刷成冤大頭

http://tw.money.yahoo.com/news_article/adbf/d_a_121002_1_3elri

( 2012/10/02 14:02 中央社 )
(中央社記者陳舜協台北2012年10月2日電)楊姓民眾使用高安全性網路刷卡驗證碼,被
駭後遭盜刷卻成冤大頭。金管會官員今天承諾將強化銀行驗證程序,保護消費者權益。

親民黨籍立法委員李桐豪上午召開「信用卡盜刷防不了,網路驗證碼破功?」記者會,指
近來多家信用卡公司及發卡銀行為提高網路交易安全,推動網路驗證密碼,但有消費者疑
似驗證密碼被駭,因不知驗證密碼「服務約定條款」規定,反而被銀行要求付款。

楊姓申訴人說,他今年8月初前往埃及旅遊時,被家人通知,銀行要求確認5筆購買廉價航
空機票、射擊運動等約新台幣11萬餘元的網路刷卡消費,當時即告知銀行為盜刷。

不過,銀行之後以這5筆刷卡有使用網路驗證密碼,依「服務約定條款」約定,若使用網
路驗證密碼並回答提示問題正確,產生的交易即視為持卡人本人的交易,「持卡人不得否
認」,楊姓民眾申訴無門。

李桐豪說,消費者盼提高網路交易安全而使用網路驗證碼,且顯然可能因電腦被駭而被其
他人知悉,卻因「服務約定條款」的不合理規定無從申訴,拒繳還會被加收懲罰性利息,
他要求應改善。

金融監督管理委員會銀行局科長周怡玫表示,楊姓申訴人的個案可視為「詐欺消費」,發
卡銀行可列為爭議帳款,消費者不會因「服務約定條款」被強迫支付遭盜刷金額。

周怡玫還承諾,1個月內會要求銀行修正網路驗證密碼「服務約定條款內容」,更加保護
消費者,加收懲罰性利息規定也會一併修正,並要求銀行強化刷卡後的驗證程序。
1011002

--

喔?歸責不知道有無可能被打回原形.....再度回到由銀行負責舉證的狀況....
這樣3D驗證根本就是破功囉∼ 科科∼
--
科科∼還真的OP了∼補上別家新聞∼跟小資訊....
--

http://www.libertytimes.com.tw/2012/new/oct/3/today-e22.htm

信用卡遭網路盜刷 金管會挨批

〔記者顏若瑾╱台北報導〕楊姓民眾昨在立法院親民黨團陪同下召開記者會指出,他日前
遭網路盜刷11萬多元購買飛往匈牙利廉價機票與槍枝,他立刻致電銀行告知信用卡遭盜刷
,但銀行卻以消費已輸入網路驗證碼為由,要求持卡人須負責。親民黨團質疑,網路驗證
碼本是為期提高網路刷卡的安全性,現在反讓消費者承受全部疑義帳款的責任,顯見金管
會疏於監督,金融消費評議中心更沒有保障消費者權益。

金管會銀行局科長周怡玟說,這筆交易確實使用了驗證碼,持卡人不能否認這幾筆交易不
存在;但爭議款項有不同請求事項,消費者可以提出證明詐欺的交易資料,循爭議款項管
道處理;至於契約文字合理與否,銀行局可要求銀行寫得更精確,款項在爭議期間的利息
,銀行局將研議是否訂定規範,朝不能超過持卡人原有年息的方向研議。

楊姓民眾表示,今年8月接獲銀行通知,他有幾筆海外線上交易,是刷卡購買前往匈牙利
廉價機票與槍枝,總價約11萬元,他隨即告知銀行他沒有行使這些交易項目,恐是遭盜刷
,要求銀行控管信用卡,銀行也隨即將交易列為爭議款項,孰料銀行之後卻以網路驗證碼
輸入正確為由,認定這是消費者知悉密碼狀況下的行為,責任在持卡人。

親民黨團總召李桐豪指出,民眾申請信用卡網路驗證碼時,必須簽署一份服務約定條款,
內容明示「持卡人同意若交易過程中有輸入上述個人密碼、提示問題與回答等機密訊息,
此交易即視為持卡人本人的交易,持卡人不得否認」,換言之,使用網路驗證碼,消費具
不可否認性,即便遭盜刷,仍須自行負起全部帳款責任,沒有免責的可能性,等於是讓銀
行與信用卡公司責任全免。

李桐豪表示,持卡人提起爭議款項後,若銀行端認定爭議無效,要求當事人支付爭議款項
,銀行會自付款當日開始,按懲罰性利率計算應付款項,有的年利率高達兩成,非常不合
理;親民黨團要求,利息應比照持卡人信用條件下的應付年息計算。
==============================================================================

遭人盜刷信用卡 持卡人竟要承擔

【台灣醒報╱記者劉彥萱╱台北報導】

http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS2/7403620.shtml

2012.10.02 07:00 pm


隨著網路購物越來越普及,民眾可要小心信用卡遭盜刷!親民黨立委李桐豪表示,消費者
上網購物,若遭第三人盜刷信用卡,必須負擔全部「疑義帳款」之責任,顯現出金管會疏
於監督,並未保障消費者權益。對此,金管會科長周怡玫表示,會在三個月之內針對銀行
合約研議修改。

楊姓民眾陳情投訴表示,信用卡遭人盜刷13筆交易,損失了11萬元。然而銀行卻以前5筆
有輸入VISA 3D驗證碼為由,要求楊姓民眾負擔全部帳款。

李桐豪表示,銀行以民眾知悉密碼之由來要求其負擔全責,非常不合理。金管會應立即調
整服務約定條款的條文內容,並調查與楊姓民眾同樣受害的持卡人案例,釐清疑義帳款的
清償責任。

此外,根據信用卡定型化契約13條規定,凡因發生疑義而暫停付款之帳款,持卡人於受銀
行通知後應立即繳付,並自原繳款期限之次日起,以年息百分之N計富利息予銀行。李桐
豪對此表示,不應增加持卡人之利息,此條款等同懲罰持卡人。

李桐豪說,信用卡公司推廣驗證碼主要是要讓網路刷卡多一層防護,然而服務約定條款要
求消費者不讓任何人知道密碼、提示問題,與回答機密訊息,並明訂使用密碼完全交易均
視為消費者同意下之行為,但如今銀行與信用卡公司卻要讓消費者獨自承擔網路盜刷的行
為風險。

周怡玫表示,持卡人雖無法主張「沒有交易」事實,但可以提出詐欺交易,要求列為「爭
議帳款」。此外,根據此缺失,會在三個月之內針對銀行合約說明做研議修改,與相關銀
行機構溝通,設立保護消費者的機制條款,保障消費者的權益。

全文網址: 遭人盜刷信用卡 持卡人竟要承擔 | 社會 | 即時新聞 | 聯合新聞網

http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS2/7403620.shtml#ixzz28IYRW1PF
Power By udn.com

============================================================================

2012黑帽大會搶先看:輕忽POS漏洞 小心外洩信用卡號與PIN碼

作者:編輯部 2012 / 07 / 30

2012年黑帽大會(Black Hat)在美國拉斯維加斯開跑,來自英國MWR InfoSecurity的兩位
安全研究人員Nils與Rafael Dominguez Vega在大會中展示,如何使用端點銷售情報系統
(POS, Point of Sale)存在的漏洞,竊取信用卡號碼和PIN碼。

現場展示中,Nils和Vega挑選了三款不同的POS機型,不過這三款產品的logo都用貼紙貼
住,Nils表示,其中兩款在英國相當普及,另一款則在美國市場很受歡迎。但Nils拒絕透
露這三款機型的品牌,他表示,希望給予廠商一些時間去修正這些漏洞,目前這些廠商已
被告知了這些漏洞,其中一家公司也已經著手修補。

兩款在英國相當普及的POS機型,其卡片付款應用程式都存在漏洞,讓駭客可以透過漏洞
控制所有連接到POS系統的裝置,包括螢幕、列印收據的印表機、讀卡機,或PIN Pad(晶
片讀卡機),倘若在EMV晶片內寫入惡意程式碼,並插入終端的讀卡機時,還可進一步展
開攻擊。

兩位研究人員用了這樣的方式,在其中一台POS終端機上安裝賽車遊戲,然後控制它的螢
幕與PIN晶片讀卡機,讓POS系統搖身一變成了遊戲機,在另一台POS終端機上,則安裝了
一個用來竊取卡片資料的木馬程式,當插入不同的卡片後,其卡片密碼與PIN碼都會被記
錄下來。

雖然現場僅展示如何竊取信用卡卡號和PIN碼,不過Nils指出,透過漏洞還可以做很多惡
意行為,像是竊取卡片磁條上的資料,據此複製出一張相同的卡片,或是利用惡意晶片卡
進行詐欺交易,惡意晶片卡可以鎖住實際付費行為,但依舊列印出收據,讓店家以為已經
完成交易,實際上卻沒付費。

至於現場測試的第三台POS終端機,其構造較為複雜,使用觸控螢幕以提供
signature-based付款機制,並可透過乙太網路進行遠端控制。Nils表示,這些POS終端機
以及遠端的管理伺服器都未加密,因此,駭客可以使用ARP或DNS手法,透過區域網路將
POS終端機導引到另一台惡意的伺服器上,然後進行控制。

Nils表示,他目前沒有證據可以說明其他POS製造商生產的產品是否也存在相同漏洞,但
POS業者必須正視這樣的風險,雖然沒有任何電腦系統是完美的,但這些終端設備應該要
提供更好的安全保護。

無獨有偶,約在一個月之前,就有安全研究人員提出POS安全的漏洞問題。德國安全研究
人員以德國當地被廣泛使用的POS系統為例,展示如何透過區域網路入侵該裝置,然後使
用它竊取卡片磁條資料和PIN碼。

除此之外,行動安全也是2012年黑帽大會相當受關注的議題。包括蘋果平台安全團隊經理
Dallas De Atley登台講解iOS作業系統的安全設計,這也是蘋果首次以主講人身分參與黑
帽大會。

Accuvant實驗室首席顧問Charlie Miller則展示如何使用NFC技術攻擊Android手機,雖然
測試時的有效距離僅在4公分以內,但NFC無線技術所存在的漏洞仍是不可輕忽。

另外在DEFCON上,Blackwing Intelligence資安研究員Eddie Lee也指出手機付款的漏洞
,他在現場展示如何以Android手機獲取有條碼的信用卡資訊,並利用這些資訊盜刷信用
卡,他甚至認為同樣的手法也可適用於其他種類磁卡。

https://www.informationsecurity.com.tw/Seminar/news_detail.aspx?tv=41&aid=6952


--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.81.148.201
※ 編輯: WaterDragonI 來自: 111.81.148.201 (10/04 06:43)
推 Jamy:3D驗證 = 挖洞給持卡人跳  10/04 07:28
推 cityport:打回原形..那3D驗證就可以收攤啦..本來就是坑卡友的工具  10/04 07:40
推 grandpa:OP了 內容一樣同一篇新聞 #1GQe-hiC (creditcard)  10/04 10:17
推 Earl:回歸由銀行負責舉證,那小弟就會去註冊囉 :)  10/04 10:35
※ 編輯: WaterDragonI 來自: 42.73.119.176 (10/04 11:45)
※ 編輯: WaterDragonI 來自: 42.73.119.176 (10/04 11:47)

沒有留言:

張貼留言

從不曾了解到 無條件的愛
才是至高無上的力量

Plurk

Facebook 名片