PTT推薦

Re: [請益] Google Pay 被盜加卡

看板MobilePay標題Re: [請益] Google Pay 被盜加卡作者
kenny840719
(龜甲卍肝純醬油)
時間推噓 1 推:1 噓:0 →:1

※ 引述 《prussian (prussian)》 之銘言:
: 你講的網路消費 Google Pay 是

:  
: A.
: 在 Google 網站上
: https://pay.google.com/gp/w/home/paymentmethods
: 輸入卡號,把這張卡的「真實」卡號「直接」「儲存」在Google 帳號內
: 過程中完全沒有任何驗證,就跟用紙筆紀錄下來備忘是一樣的
: 只是抄下來的不是你本人,而是把卡號直接交給Google
: 你登入了Google 帳號,要在網站上結帳,
: Google 就再把這組「真實」卡號直接交給購物網站,
: 驗證保護方式就是信用卡原本的結帳時輸入CVC,
: 是最低科技的用卡號和驗證碼直接刷卡
: 沒有加密,沒有虛擬,就是16碼裸奔幫你輸入到購物網站而已
: 真實卡號是儲存在雲端帳號裡。
:  
: 另一種
: B.
: 在手機上加卡操作的,一樣是輸入真實卡號,
: 經由銀行驗證你確實為持卡人,
: 但是「不」儲存真實卡號在手機上或雲端帳號上或任何地方
: 而是另外產生一組虛擬卡號,以供感應使用
: 刷卡的時候不用再輸入 CVC 或密碼,
: 保護方式是手機鎖,把手機當成一個安全容器。
: 虛擬卡號儲存在手機裡,沒有真實卡號。
:  
: 這兩種現在都叫 Google Pay,或者叫 Pay With Google
:  
: 到目前為止有跟上嗎?
:  
:  
: 混淆的地方在於,
: 1.
: 存在手機上的虛擬卡號,除了直接手機感應付款之外,
: 「也可以」在手機網站上,或是在App 內「網購」
: 一樣不需要輸入CVC或PIN碼之類,打得開手機鎖就能付款,
: 但只限於有支援手機API的網站。
:  
: 但有時候沒支援的網站,還是可以用「Google Pay」在瀏覽器裡付款。
: 為什麼? 請往下看。
:  
: 2.
: 在手機上加虛擬卡,名義上不需要儲存真實卡號,
: 但以前Google 私心作祟,一樣會把真實卡號另外「儲存」一份在 Google 帳號內,: 「方便」你在電腦上,或是沒有支援手機API的網站,
: 一樣可以用「Google Pay」付款。
: 但這時的Google Pay, 就不是手機虛擬卡保護,而是同上儲存真實卡號的裸奔方式。: 這時即使你是用手機要結帳,你用來付款的,
: 是存在Google 帳號裡的真實卡號,而不是手機上的虛擬卡號。
:  
: 很久一陣子我在手機上加卡已經不再有這種情形,但其他人說還有,
: 詳細是誰理解有誤或我關了什麼「方便」的設定也不一定。
:  
: 3.
: 上面 2. 是 Google 偷幫你複製卡號 手機->帳號
: 如 A. 你所說,在Google 網站上加入真實卡號到你的 Google 帳號內之後,
: 現在 Google 又會很「貼心」地「順便」把這組真實卡號直接傳到你的手機裡,
: 催促你輸入 CVC ,並完成虛擬卡片的 手機-銀行 認證過程,
: 開啟「另一種」付款方式,趕快用手機多花錢。
: 幫你作半套的 帳號->手機 流程
:  
:  
: 你說沒有很難懂,但你真的懂Google Pay嗎?
:  
:  
: 然後這次的霧社事件,天曉得 Google 又在作什麼「貼心」的事了~
:  


這裡其實有個癥結點,google到底是不是沒有加密「直接」把你的卡號存在伺服器。

我想應該是不會,簡單的來說是Google看不到你的卡號,但你自己能在google帳號上看到卡號。

詳細來說就是你輸入卡號驗證之後,google會用你的賬密資訊進行加密,那能解密拿到卡號的,也只有擁有這組帳密的人。

如果要使用這組卡號的時候,需要登入你的Google帳號,並且再加上cvc驗證。

這邊案子的問題是,google幫你把你添加過的卡號放到另一個你有登入google帳號的裝置上(GP)。這樣google覺得貼心的行為,確實可能造成一些問題。


但我覺得啦,最重要的是管理好你的Google帳號,至少要做兩階段驗證。要不然被別人登入的時候,可能卡號還要驗證所以還好,但你存在裡面的密碼就會被盜用阿。





--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.139.218.206 (臺灣)
PTT 網址

andyssps03/19 15:35看起來這次會發送這個通知 是因為google把這些綁在帳戶

andyssps03/19 15:35的卡號 都變成google pay了