OTP外泄盗刷 避开3大地雷

假网页骗取卡号与OTP密码频传，金管会联手银行、国际发卡组织研商防堵。图／本报资料照片

OTP外泄盗刷常见三大地雷区

用假网页骗取信用卡一次性密码（OTP）的盗刷，是近期常见新型诈骗手法，消费者给出密码后被盗刷，苦果只能自己吞。银行业者夹在卡友与卡组织规定中间亦很为难，只能提醒民众千万注意不要在三大雷区给出个资与OTP。

银行业者透露，信用卡遭盗刷陷阱通常有三大地雷区，一是脸书上的一页式购物连结，二是简讯中的连结，三是OTP输入密码页面通常不会有特约商店名称。

金管会近期接获不少民众陈情，在网路上购物，输入卡号与一次性密码（OTP）后，却立刻被诈骗集团截取资料，转头就去买高价品盗刷数万元，原本民众要买的商品没有拿到，因此向银行主张要列争议款，但被国际卡组织认定「是卡友自己将提供OTP给他人」，因此要卡友自己认帐，近期类似的申诉案件过多，金管会将出手，与银行、国际卡组织研商防堵机制。

银行主管指出，这类OTP外泄盗刷，最常见有三大地雷区：一是脸书购物连结，银行内部观察，很多客户被盗刷，都是因为有在脸书上点了购物连结，然后就直接在此连结上填写个资后就刷卡，也同时把OTP给出去。

银行主管建议，民众在脸书上看到优惠，最好是回到商店的官网，例如在脸书上看到麦当劳的1元优惠券，就回到麦当劳的官网去找，如果在官网没有找到，就代表可能是一页式钓鱼网站，要来骗取个资的。

二是简讯连结，日前银行内部也发现，发生很多e-Tag的盗刷案，才发现是诈骗集团假冒e-Tag发送未缴费的通知简讯，简讯中还附上连结，引导民众到钓鱼网站页面或是下载假的APP，进而骗取个资、卡号与OTP密码，之后转头就马上盗刷。

三是需要输入OTP密码的假页面，银行业者表示，正常的输入OTP密码页面，上面都会有特约商店的名称，但假的网页则多半不会有特约商店名称，或是列出奇怪或不正确的名称。建议民众输入密码前，先核对特约商店的名称，像在高铁官网的网路订票，输入OTP密码的页面上，特约商店名称就会是「Taiwan High Speed Rail Corporation」，就代表是真的特约商店，如果发现没有特约商店的名称，或是奇怪的名称，与要购物的商家名称不符，就不要输OTP密码进去。