Re: [請益] Google Pay 被盜加卡

※ 引述 《prussian (prussian)》 之銘言：
: 你講的網路消費 Google Pay 是
: 　
: A.
: 在 Google 網站上
: https://pay.google.com/gp/w/home/paymentmethods
: 輸入卡號，把這張卡的「真實」卡號「直接」「儲存」在Google 帳號內
: 過程中完全沒有任何驗證，就跟用紙筆紀錄下來備忘是一樣的
: 只是抄下來的不是你本人，而是把卡號直接交給Google
: 你登入了Google 帳號，要在網站上結帳，
: Google 就再把這組「真實」卡號直接交給購物網站，
: 驗證保護方式就是信用卡原本的結帳時輸入CVC，
: 是最低科技的用卡號和驗證碼直接刷卡
: 沒有加密，沒有虛擬，就是16碼裸奔幫你輸入到購物網站而已
: 真實卡號是儲存在雲端帳號裡。
: 　
: 另一種
: B.
: 在手機上加卡操作的，一樣是輸入真實卡號，
: 經由銀行驗證你確實為持卡人，
: 但是「不」儲存真實卡號在手機上或雲端帳號上或任何地方
: 而是另外產生一組虛擬卡號，以供感應使用
: 刷卡的時候不用再輸入 CVC 或密碼，
: 保護方式是手機鎖，把手機當成一個安全容器。
: 虛擬卡號儲存在手機裡，沒有真實卡號。
: 　
: 這兩種現在都叫 Google Pay，或者叫 Pay With Google
: 　
: 到目前為止有跟上嗎？
: 　
: 　
: 混淆的地方在於，
: 1.
: 存在手機上的虛擬卡號，除了直接手機感應付款之外，
: 「也可以」在手機網站上，或是在App 內「網購」
: 一樣不需要輸入CVC或PIN碼之類，打得開手機鎖就能付款，
: 但只限於有支援手機API的網站。
: 　
: 但有時候沒支援的網站，還是可以用「Google Pay」在瀏覽器裡付款。
: 為什麼? 請往下看。
: 　
: 2.
: 在手機上加虛擬卡，名義上不需要儲存真實卡號，
: 但以前Google 私心作祟，一樣會把真實卡號另外「儲存」一份在 Google 帳號內，: 「方便」你在電腦上，或是沒有支援手機API的網站，
: 一樣可以用「Google Pay」付款。
: 但這時的Google Pay, 就不是手機虛擬卡保護，而是同上儲存真實卡號的裸奔方式。: 這時即使你是用手機要結帳，你用來付款的，
: 是存在Google 帳號裡的真實卡號，而不是手機上的虛擬卡號。
: 　
: 很久一陣子我在手機上加卡已經不再有這種情形，但其他人說還有，
: 詳細是誰理解有誤或我關了什麼「方便」的設定也不一定。
: 　
: 3.
: 上面 2. 是 Google 偷幫你複製卡號 手機->帳號
: 如 A. 你所說，在Google 網站上加入真實卡號到你的 Google 帳號內之後，
: 現在 Google 又會很「貼心」地「順便」把這組真實卡號直接傳到你的手機裡，
: 催促你輸入 CVC ，並完成虛擬卡片的 手機-銀行 認證過程，
: 開啟「另一種」付款方式，趕快用手機多花錢。
: 幫你作半套的 帳號->手機 流程
: 　
: 　
: 你說沒有很難懂，但你真的懂Google Pay嗎?
: 　
: 　
: 然後這次的霧社事件，天曉得 Google 又在作什麼「貼心」的事了~
: 　

這裡其實有個癥結點，google到底是不是沒有加密「直接」把你的卡號存在伺服器。

我想應該是不會，簡單的來說是Google看不到你的卡號，但你自己能在google帳號上看到卡號。

詳細來說就是你輸入卡號驗證之後，google會用你的賬密資訊進行加密，那能解密拿到卡號的，也只有擁有這組帳密的人。

如果要使用這組卡號的時候，需要登入你的Google帳號，並且再加上cvc驗證。

這邊案子的問題是，google幫你把你添加過的卡號放到另一個你有登入google帳號的裝置上(GP)。這樣google覺得貼心的行為，確實可能造成一些問題。

但我覺得啦，最重要的是管理好你的Google帳號，至少要做兩階段驗證。要不然被別人登入的時候，可能卡號還要驗證所以還好，但你存在裡面的密碼就會被盜用阿。

--