近期網路犯罪集團假冒金融機構釣魚簡訊竊取民眾網銀帳密，多家銀行都在案發後，立刻在官網與行動銀行ＡＰＰ首頁推送警告的公告。銀行業者表示，民眾可以先向銀行查證，請銀行確認帳戶是否有異常交易，如果遭盜用要盡速報警。

在春節期間，國泰世華銀、中信銀、台新銀、玉山銀及北富銀就一同串聯，於各自的臉書官方粉絲專頁貼文，警惕民眾提高警覺守護自身資訊及財產安全，不要上了詐騙集團的當。

國泰世華銀表示，民眾可掌握五招避免遭詐騙，第一，不隨意點擊簡訊或電子郵件所提供的連結，若收到可疑的電話、簡訊或電子郵件，切勿理會並仔細查證；第二，點擊任何導引至銀行官網的連結前，請務必確認正確官網網址，錯一個字或符號都不行；第三，銀行ＡＰＰ比網頁更安全，若要登入帳戶，建議多利用銀行ＡＰＰ，詐騙集團可以造假網頁、文字，但絕對無法複製完整ＡＰＰ；第四，絕不依陌生人電話指示轉帳、匯款、操作ＡＴＭ；第五，絕不與陌生來電者透露或核對個人資料，以免遭歹徒利用。

中信銀也表示，日前接獲一位客戶通報收到偽冒簡訊，連結網址並非中信的網域，客戶輸入資料後無回應，沒有造成損失。銀行公會已發文要求各家銀行公告，提醒客戶注意，內容與通路則由各家自行擬定，中信已在網路上提醒客戶「本行不會以簡訊、電子郵件主動請您登錄變更設定」。

刑事局提醒，如收到假冒銀行、郵局等金融機構名義或來路不明簡訊，切勿相信或點選連結，並注意核對所附網址列是否正確，以Google Chrome瀏覽器為例，若發現網路釣魚（惡意）網站，可將網址提交至「Google回報詐騙網頁」進行審核及封鎖，以防再有民眾被害；如使用蘋果iＯＳ系統，可前往「設定」＞「Safari」，並開啟「阻擋彈出式視窗」和「詐騙網站警告」。若有任何疑問，請立即撥打一六五反詐騙專線查證，另可利用一六五官方網站進行網路檢舉或報案。

https://tw.news.yahoo.com/%E9%87%A3%E9%AD%9A%E7%B0%A1%E8%A8%8A%E7%AB%8A%E5%B8%B3%E5%AF%86-5%E6%8B%9B%E8%87%AA%E4%BF%9D-231254846.html

一封價值40萬的簡訊 —台新簡訊詐騙始末與自保之道

高智敏

2月5日晚上六點多，Asa收到詐騙簡訊，內容提到台新網銀版本更新所以要求立即上網驗證身分，同時附上驗證網址。點下連結打開看似台新的釣魚網頁，Asa輸入了身分證、網銀帳號、密碼，並按下送出。這組登入網銀的資訊，就在此時傳送了給詐騙集團設置的伺服器。

能夠登入網銀只是整個計畫的第一步，接下來的重點在於如何把錢轉出來。如果隨便找一台手機，即使用Asa帳號登入網銀，也只能進行「約定轉帳」，意即錢只能轉給Asa事先約定好的帳戶。因此，若要將錢轉至詐騙集團人頭戶，勢必得啟用「非約定轉帳」功能。

由此份台新官方說明可看出，只要把做案用手機變成「信任裝置」，就可以執行非約定轉帳；而其中一種方式，是由台新發送「啟用密碼」簡訊認證。詐騙集團只要取得「啟用密碼」，並且在做案用手機輸入，將手機變身為信任裝置，即可為所欲為，堪稱「得密碼者得天下」。

問題是，這個啟用密碼只會被傳到Asa當初留給台新的手機，而且10分鐘內未輸入立即失效，詐騙集團該如何拿到？

最重要也最困難的這一步，詐騙集團巧妙善用了前面的釣魚網頁，搭配現今最流行的OTP認證模式（透過簡訊或電郵傳送的一次性密碼）。Asa送出帳號密碼後，釣魚網頁跳轉到下一頁，要求輸入簡訊認證碼確認身分。此時，詐騙集團趕緊利用Asa帳號登入網銀、申請裝置認證，台新也確實發出「啟用密碼」簡訊到Asa手機。

圖片來源：Asa Chen

若你是Asa，網頁只差輸入簡訊密碼就完成，而剛好又傳來一封附有OTP的簡訊，是不是很直覺會把密碼輸入網頁了？能夠分辨這個簡訊密碼是「綁定裝置用」的客戶有多少？

一旦詐騙集團綁定手機，後面轉帳給人頭戶的過程就不需贅述。根據規定，非約定轉帳每筆上限5萬、每日上限10萬、每月上限20萬。由於Asa有兩個帳號，加上詐騙集團又在半夜跨日前後轉帳，因此最多可轉出40萬（兩帳號 x 每日10萬 x 2日）。

https://baubibi.medium.com/

https://www.thenewslens.com/article/147336

［更新］台新簡訊網銀更新詐欺案-凌晨警局報案

大家小心不要一時疏忽 我被騙了

凌晨才發現帳戶被盜領一空

很無奈

希望不要有人受騙了

詐騙的人爛屁股

連結richart 的多注意

很難過很低落

但生活還是要過

台新網銀綁兩個帳號錢全部被領完，一個晚上轉這麼多錢很恐怖，將近40萬。

事情經過

1.收到簡訊更新通知，我就按了連結，連至銀行畫面，不疑有他。

2.輸入帳號密碼身分證就是錯誤的開始吧！

收到簡訊驗證碼輸入後結束；隔了一段時間才輸入看起來是真的假的網銀頁面：我沒有確認因為以為只是更新資料。

半夜起床發現多筆款項匯出的信件才發現帳戶的錢被盜領完了。

3.兩個台新網銀的錢互轉；把有錢的分一半轉到另一個沒有錢的。變成兩個帳號可以分別一天各轉出十萬。（台新上限非約定帳戶要搭配讀卡機跟晶片卡，能轉上限單日五萬，他們23:40轉到00:20跨夜共五筆人頭）

網站寫的不清楚。

4.一個帳號可以轉十萬。一天上限一個帳號，我網銀有兩個帳號一個實體一個虛擬。

5. 安全機制有問題，轉帳後沒有安全認證碼直接轉帳成功，這是我思考得到結論。

6.晚上八點多更新。但是是凌晨才被轉這點不會有人注意到

大家選擇再安全一點的轉帳方式好了。

台新的處理方式也令人有點害怕。

簡單的說，很簡單的流程就被騙走。沒有證據只是一封簡訊，太忙的人依賴手機帳戶的人可能會被騙。

警察說詐騙追回很難；台新說報警。165請我直接到派出所。以上事件都發生在凌晨我發現被轉出已經過了兩三個小時了，以此謹惕。

沒有人能幫你，只有讓更多人知道這件事，人沒事就好。

［報案確認過程］

發現帳戶被詐騙後，凌晨立刻撥打台新客服專線，確認被轉出帳款後轉165詐騙專線，165回:台新今晚很多人報案，請我直接到鄰近派出所報警（還說現在很晚了也可以明天睡醒再去？....）

當天凌晨直接衝去警局，繁瑣的筆錄跟確認花費近一個半到兩小時。我的人頭戶終於被鍵入系統了。

回家等後續再確認一下轉出信件，發現為何還有另外幾筆，再次撥打客服專線...人員再確認為有兩筆是轉入我另一個帳戶再被轉去另外三個人頭帳戶（好亂）

趕緊再取得那些資料...再衝去警局二次筆錄（已經早上八點多了）筆錄後才又鍵入這三個人頭戶。

即時鍵入人頭戶是要趕緊凍結對方帳戶（但整個過程很漫長）

備案期間..我發現轉出信件有四個，但客服只跟我說三筆⋯⋯於是再度打客服確認，他們漏看一遍記錄。

趕緊再與警察確認完畢，筆錄終於完成。

警察說：追回機率很低只能等偵查隊那邊了，然後走法律程序。

當天下午接到三通客服電話都是問詐騙的事重複一直說明一樣的事情。

其中一通說我有四個人頭帳，解釋了如何被轉錢出去。

還有一通我詢問他們的轉帳機制是如何，客服回答因為不是opt是綁手機，所以一旦認證碼發出去我的帳戶等於可以隨人運用...（是沒有安全機制的控管的意思嗎？）因為那是授權碼，所以等於我授權給另一隻手機。還有約定帳戶就是我自己的另一個沒有安全認證是正常的。突然覺得沒有安全可言了。

另外一通單純詢問...

頭昏腦脹之下突然想到為何客服說只有四個人頭帳戶。

後續，我直接致電警察局確認究竟幾個，答案是五個（以警察局備案發文通知為主）

因為電話客服回覆太亂了，沒有一致性的處理導致一直反覆確認。也僅回覆他們會反應系統工程部以及叫我報警後等警方處理，走法律途徑，沒了...

所以週一我到鄰近分行詢問及確認總額跟轉出帳號；行員們對於詐騙事件好像蠻無感的，我了解他們無能無力，而我也很無助。後續回覆他們說會反應給上層了解。

165打來說要年後才能繼續追了。

總之，感覺整個過程都沒有即時的感覺也很凌散。

求助台新客服本來是相信他們的專業可以協助處理，但發現一樣感到無助及把問題推出去。

台新安全機制的不完整沒有得到正面回覆。為何被盜了以後轉帳出去的密碼他們也可以破解？據說是一樣的密碼。

信任台新的帳戶，卻發生金額被轉出事件沒有凍結；亦沒有得到明確的銀行可以如何協助。

——————更新文2021/2/16———————

發出詐騙文章這一天，關鍵評論網的作者與我聯繫了。希望可以了解始末，做出整理以及或許可能可以預防的方式。

我覺得很好，因為我們並不是每個人都會判斷，不想讓新聞過目即忘，或是淪為鍵盤評論，或許深刻了解會比較有幫助。

有空的大家可以看看，希望不要有人再受騙了。

OTP的意思是一次性密碼，比較像是中性的詞。不管是認證身份，或是認證信任裝置，都是屬於OTP。（長知識了）

（歡迎分享）

https://www.thenewslens.com/article/147336