[討論] 信用卡被盜刷（OTP)，誰的責任？

HOLAHOJIAN 發表於 2024/5/30 下午5:22:13

看板creditcard標題[討論] 信用卡被盜刷（OTP)，誰的責任？作者

(HOLA)時間May 30 17:22:13 2024推噓24 推:27 噓:3 →:130

這件看起來是投訴到評議中心案件
有關於交易自己沒看OTP內容
輸入驗證碼後交易成功又巨嬰不願意付款的案例
各位可以參考看看

申請人怎麼說…
阿華在111年7月8日上午9點多接到以郵局名義傳來須繳費56元的手機簡訊，因此使用A銀行核發的信用卡進行線上刷卡。過沒多久阿華驚覺可能是遭到盜刷，立刻打電話給A銀行要求停卡並希望能停止這筆交易，可是之後A銀行仍然從阿華的帳戶扣繳了這筆交易款項新臺幣87,290元。這筆交易的幣別是土耳其幣，阿華認為自己並沒有消費，A銀行應該履行失卡零風險的承諾，因此請求A銀行返還扣繳的信用卡消費款項新臺幣87,290元。

銀行怎麼說…
這筆信用卡交易是阿華提供信用卡資料給B商店，A銀行接到B商店申請交易授權後，就寄發OTP交易認證碼簡訊到阿華留存在A銀行的手機號碼，簡訊內容是「A銀行卡末四碼〇〇〇〇網路交易金額約TRY
50000.00元，交易認證碼〇〇〇於六分鐘後失效。提醒您，勿將密碼交付他人以防詐騙」，阿華回傳認證碼給B商店後，A銀行才核准授權這筆信用卡交易，並且寄發交易確認簡訊給阿華。而信用卡是一種支付工具，當持卡人把卡號資料及OTP交易認證碼提供給特約商店完成交易授權後，交易就完成付款委託的程序並進入彙送交易資料與撥款流程，發卡機構沒有權力對於已經完成授權的交易拒絕撥付款項。阿華沒有盡到保護自己信用卡安全的責任，導致發生損失，這跟A銀行保障的失卡零風險無關，何況阿華並沒有遺失信用卡，而是交付卡號及OTP交易認證碼給其他人。因此這딊坏璈鶼痗竣ㄛOA銀行的責任，而應該由阿華依照信用卡契約條款負清償之責。

評議委員會怎麼說…
簡訊內容有載明是網路交易，也有顯示交易金額，雖然交易幣別不是新臺幣，但是仍然跟阿華所認知是郵局通知繳費的56元金額有很大的差異，阿華卻還是把應該自行保管的密碼提供給其他人導致被盜刷，顯然沒有盡到妥善保管密碼的責任，對於認證密碼被其他人知悉使用來說，是有重大過失的。

判斷理由說給您聽…

一、依據阿華跟A銀行雙方間信用卡契約條款的約定，持卡人應該妥善保管及使用信用卡，不可以用任何方式把信用卡或卡片上的資料交付、授權其他人使用，而且持卡人對於開卡密碼或其他辨識持卡人身分的方式應該予以保密，不可以告訴其他人。此外，依照交易習慣或交易的特殊性質，是用郵購、電話訂購、傳真、網際網路、行動裝置、自動販賣設備等其他類似方式訂購商品、取得服務、代付費用而使用信用卡付款，或使用信用卡從自動化設備預借現金等情形，銀行可以用密碼、電話確認、收貨單上的簽名、郵寄憑證或其他可以辨識當事人身分及確認持卡人意思表示的ꐊ閬”茈N替，無須使用簽帳單或當場簽名。由此可知，持卡人依據信用卡契約條款的約定，對於用來辨識持卡人身分的網路交易驗證密碼負有妥善保管的義務。

二、另外，雙方間的信用卡契約條款也約定，持卡人的信用卡如果有遭到其他人冒用進行前述條款所約定特殊交易的情形，持卡人應該儘速通知銀行辦理停卡及換卡手續，持卡人辦理停卡及換卡手續之前被冒用所發生的損失，都由銀行負責。但是，持卡人因為故意或重大過失，讓其他人知道使用自動化設備辦理預借現金或進行其他交易的交易密碼，或是其他辨識持卡人身分的方式，那麼持卡人就應該負擔辦理停卡及換卡手續前被冒用的全部損失。

三、A銀行傳送的認證密碼簡訊內容記載：「A銀行卡末四碼〇〇〇〇網路交易金額約TRY50000.00元，交易認證碼〇〇〇於六分鐘後失效。提醒您，勿將密碼交付他人以防詐騙」，阿華也不否認有收到簡訊並且把交易認證碼資訊提供給其他人。雖然阿華認為自己是被詐騙才會把信用卡資訊跟簡訊發送的認證密碼提供給其他人而導致被盜刷，可是之所以會完成這筆信用卡交易，是因為阿華把收到的簡訊OTP認證碼資訊告訴其他人，才讓其他人可以用阿華告知的完整信用卡卡號、有效日期、安全碼、簡訊OTP等，取得A銀行對於這筆信用卡交易的授權，並且完成這筆網路交易。此外，網路交易的驗證密碼是用來確認交易人身分的重要憑據，這個密碼只會有持卡人知道ꄊA依照網路信用卡消費的通常流程，由於不是面對面的交易而會有卡片遺失、不是本人持有使用的風險，所以在消費流程上，輸入信用卡資訊後常設有一道驗證身分的關卡，例如需要輸入即時產生並且只依照持卡人約定的方式發送給持卡人的OTP交易認證密碼，以確保持卡人跟刷卡人是同一人，而且必須要在幾分鐘短時間內輸入以防止密碼外流。如果在刷卡消費過程中輸入了只有持卡人才會知道的OTP密碼，應該視為持卡人已經有委託付款的指示。

四、依據雙方間信用卡契約條款的約定，阿華負有妥善保管認證密碼的責任，而且密碼簡訊內容有載明是網路交易，也有顯示交易金額，雖然交易幣別不是新臺幣，但是仍然跟阿華所認知是郵局通知繳費的56元金額有很大的差異，阿華卻還是把應該自行保管的密碼提供給其他人導致被盜刷，顯然沒有盡到妥善保管密碼的責任，對於認證密碼被其他人知悉使用來說，是有重大過失的，依據信用卡契約條款的約定，阿華應該對於這筆交易款項負清償的責任，因此阿華不能請求A銀行返還這筆信用卡交易的消費款項。

※ PTT留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.131.220 (臺灣)

※ PTT 網址

→

HOLAHOJIAN 05/30 17:22https://reurl.cc/QR2QyO

推

tr000064 05/30 18:48當然是they

推

DFIGHT 05/30 19:00這邊理組提出疑問土耳其幣和台幣1：1 OTP簡訊數字

→

DFIGHT 05/30 19:00一定會顯示八萬多元他是怎麼說56元的？

→

DFIGHT 05/30 19:01你懂意思嗎？銀行發出OTP是要顯示刷多少一定會顯

→

DFIGHT 05/30 19:01示八萬多那是顯示56然後刷八萬多

→

DFIGHT 05/30 19:03阿所以內容中又說銀行發出簡訊寫五萬多阿到底是56

→

DFIGHT 05/30 19:03還是五萬還是八萬明明土耳其幣台幣1：1

→

shaoten7 05/30 19:09反正今天不管顯示多少阿華都會送出驗證碼

→

shaoten7 05/30 19:09從來都不是金額問題是不願意檢查..

推

jakkx 05/30 19:14五萬和八萬數字有問題而已。被害者收到的就加害者發

→

jakkx 05/30 19:15的簡訊。問題是這邊強調56元與實付金額的差異有什麼

→

jakkx 05/30 19:15特別的意義嗎？如果相同結果會不一樣嗎？

推

waakye 05/30 19:17目前OTP都是自己犯蠢，還沒看過攔截簡訊的

推

jakkx 05/30 19:27尾段看起來的意思似乎是50000與56元的簡訊都有收到?

推

cka 05/30 19:41目前otp都是自己給出去的,然後被害人都會說他被詐騙

→

cka 05/30 19:41那跟你直接領現金給詐騙集團也是一樣意思

→

bbcer 05/30 19:43OTP驗證碼輸入頁面是輸入賣家平台嗎？

→

bbcer 05/30 19:45那如果在網站刷卡100元,網站告知銀行刷50000元

推

yuta02 05/30 19:464.林益…………阿沒事

→

lionel20002 05/30 19:4756就詐騙簡訊隨便設的數字

→

bbcer 05/30 19:47網站OTP驗證頁面顯示100元,消費者沒注意簡訊寫5萬

3d驗證網頁會寫幣別跟金額吧跟簡訊一樣的，你可以去刷看看通常都是沒在看

→

bbcer 05/30 19:49只看到OTP 驗證頁面上的100元就輸入驗証碼,算誰錯?

→

vyvian 05/30 20:11如果sim卡劫持,OTP發到非持卡人手機，這樣算誰的?

→

kaltu 05/30 20:48用不可作為認證手段的SMS作為安全機制就有很大的問

→

kaltu 05/30 20:48題，SIM卡劫持、手機安全漏洞、擁有可以讀取SMS權限

→

kaltu 05/30 20:48的App

→

kaltu 05/30 20:48太多問題了，只是銀行想卸責而已

→

kaltu 05/30 20:48這個時代只要犯罪集團能搞到OTP，銀行就會主動配合

→

kaltu 05/30 20:48把贓款弄到帳

笑死先證明真的sim卡被劫持啦這案件不就被害人自己輸入進去的。還劫持什麼能劫持的案例少之又少，目前只有看過獲利王手機那事件，木馬植入到主機板

※ 編輯: HOLAHOJIAN (27.52.131.220 臺灣), 05/30/2024 20:51:50 ※ 編輯: HOLAHOJIAN (27.52.131.220 臺灣), 05/30/2024 20:54:10

→

ivansailu 05/30 20:58OTP驗證頁面也是假的，頁面上顯示的金額跟簡訊金額

→

ivansailu 05/30 20:59不同，朋友之前買麥當勞差點中招有截圖給我看過

→

drakon 05/30 21:33他先收到詐騙簡訊說他欠費56元所以點了上述簡訊裡

→

drakon 05/30 21:33的詐騙連結去刷卡然後沒確認銀行給的otp上面是500

→

drakon 05/30 21:3300土幣就把otp碼輸入到詐騙網頁裡

→

drakon 05/30 21:34然後銀行就說我們有傳簡訊給你你自己確認後輸入

→

drakon 05/30 21:34了otp我們不賠不過這個能爭議的大概就是他沒拿

→

drakon 05/30 21:34到東西吧只能用這個去爭

已出貨給對方很難，所以才會有保護巨嬰提出即享券延後使用政策看眼科比較實在啦

推

chia23520 05/30 22:19商家已經出貨給詐騙集團了，所以無法用沒拿到東西去

→

chia23520 05/30 22:19爭

→

tomsawyer 05/30 22:44劫持國外有發生過拿證件去掛失sim卡改2fa

那不叫劫持，是盜辦，而且怎拿到證件的還要去電信業者重辦卡欸乾簡訊被劫持什麼事？就盜辦案件而已好嗎而且是少數案件

推

DFIGHT 05/30 23:07推文在共啥小 OTP是銀行發的要花多少錢會寫上去

→

DFIGHT 05/30 23:07哪是加害者發的

→

DFIGHT 05/30 23:10就網頁給啥你就信啥然後銀行給的OTP 數字是8萬多

→

DFIGHT 05/30 23:10還給密碼給別人自作孽不給活呵呵扯什麼OTP 當然

→

DFIGHT 05/30 23:10是被害者自己吞不會用信用卡就乖乖用現金

※ 編輯: HOLAHOJIAN (27.52.131.220 臺灣), 05/30/2024 23:22:07

推

gn02316900 05/30 23:20只能建議一律用現金台灣人民部分仍然不適合用信用

→

gn02316900 05/30 23:20卡

推

DFIGHT 05/30 23:25https://i.imgur.com/OKBEz6Z.jpeg

→

DFIGHT 05/30 23:25叫他自己付自己蠢怪不了誰

推

Tattoo 05/30 23:29其實這種商家八成也是詐騙集團的一夥，但是跨國你

→

Tattoo 05/30 23:29很難去查。

推

DFIGHT 05/30 23:30被劫持那就是警察的事情了更不干銀行的事阿手機

→

DFIGHT 05/30 23:30有連按五次電源按鈕發送求救給五位朋友的功能自己

→

DFIGHT 05/30 23:30設定好

→

cityport 05/30 23:53有看過國外某個銀行會傳簡訊給你..你要回傳金額才會

→

cityport 05/30 23:55放行..這方法比OTP好太多

→

cityport 05/30 23:56至少能識破假網站用不同金額來騙人

其實跟這方法類似吧

https://myppt.cc/KSywpn

被噓欸

→

cityport 05/30 23:58訂單跟刷卡金額不同只能靠你回傳銀行來擋掉

推

roy2142 05/31 00:02樓上這方法好像不錯耶輸入金額正確才放行雙向驗證

→

bbcer 05/31 00:07#1Yl9ajsU 這篇就是OTP驗證碼缺點,如果平台就有問題

→

bbcer 05/31 00:10更正,這篇不是平台有問題,而是偽裝小幫手的人有問題

→

bbcer 05/31 00:12如果正常刷卡,被人拿到卡號個資+OTP去盜刷,算誰的?

※ 編輯: HOLAHOJIAN (27.52.131.220 臺灣), 05/31/2024 00:20:43

→

cityport 05/31 00:26哪裡有類似?? 那篇新聞哪裡有回傳金額給銀行??

噓

diogofseixas05/31 00:27就釣魚簡訊，導引到輸入卡號資料的網頁，讓你自己

→

diogofseixas05/31 00:27輸入資訊被釣魚，然後他們再到另一個購買網站輸入一

→

diogofseixas05/31 00:27樣資訊，再跟你問密碼

→

cityport 05/31 00:32你再把新聞看一次..用CAPTCHA這落後東西被噓剛好

推

sgxm3 05/31 07:42OTP進階驗證詐騙多傳一個四碼訊息就破解了，上面講

→

sgxm3 05/31 07:42的那個回傳金額感覺比較有用。

推

sgxm3 05/31 07:49台灣人太有錢了才會被詐騙集團努力耕耘。隨便一個

→

sgxm3 05/31 07:49巨嬰就能騙9萬，菲律賓越南印尼要騙多久才有。

推

DFIGHT 05/31 09:1761f 金管會有提出綁定app pay 需要查核手機號碼有

→

DFIGHT 05/31 09:17規定好像是十月底前上線不確定

推

Muscleyun 05/31 11:06本來就是這樣自己授權的繳費然後來客訴銀行

→

lizardc1 05/31 11:32坏璈鶼痗竣ㄛOA

→

glen246 05/31 12:30我試過，詐騙網頁顯示的金額是假的，厲害的是信用卡

→

glen246 05/31 12:30OTP簡訊也不顯示金額與幣別

→

glen246 05/31 12:30https://i.imgur.com/fPDorcI.jpeg

→

glen246 05/31 12:32後來信用卡公司終於學聰明了，過一陣子OTP簡訊才開

→

glen246 05/31 12:32始有顯示幣別與金額

→

glen246 05/31 12:34然後怕你簡訊沒收到，mail也會寄一份

→

glen246 05/31 12:41這家信用卡早期OTP簡訊真的完全不告訴你刷的實際金

→

glen246 05/31 12:41額

→

glen246 05/31 12:46好像去年才開始顯示在OTP簡訊顯示預估刷卡金額

推

makio 05/31 12:59這不是盜刷啊，這是他被詐騙上當了。完全不一樣..

→

glen246 05/31 13:00這種詐騙比傳統盜刷還要麻煩，因為都是你本人自己

→

glen246 05/31 13:00輸入OTP密碼，以前的規則好像要你自己吸收（？

→

glen246 05/31 13:00https://i.imgur.com/8qwyneM.jpeg

→

glen246 05/31 13:01如果是傳統盜刷還可以列爭議款補救，而這種是非盜

→

glen246 05/31 13:01刷行為的詐騙

推

foxey 05/31 14:08缺乏安全知識和概念的就一堆啊上面不就一篇亂給otp

→

foxey 05/31 14:08還要賴給銀行到時還不是全體用戶縮權益幫扛

推

pukaucc 05/31 14:09銀行：盜刷我承擔，被騙你活該

→

bbcer 05/31 16:38若騙局以假亂真騙過大多數人給OTP,不應再用OTP驗證

→

bbcer 05/31 16:40而銀行要找更有效的驗證方式,不然消費者會不敢用卡

→

sinclaireche05/31 16:41銀行推廣otp的行動搭配公會最近的作法繼續用不用

→

sinclaireche05/31 16:41負責的東西負責收錢就好

→

bbcer 05/31 16:42cityport板友說的輸入金額回傳給銀行端,也許可參考

→

bbcer 05/31 16:47另外提,大樹金卡片安全鎖還不錯,越紅線就授權失敗

→

bbcer 05/31 16:50若平日限國內&實體&1000以內,盜刷就較難,也是方法

推

calase 05/31 17:11越有效的認證方式對消費者程序越多…

推

Alphaz 05/31 20:39一堆人把詐騙說成盜刷是以為可以賴給銀行要錢嗎,,,

→

kaltu 05/31 22:54SMS設立之初就沒有本身就沒有作為安全認證的系統在

→

kaltu 05/31 22:54設計，不是濫用之後出事就推給警察就沒你的事耶笑死

→

kaltu 05/31 23:23先搞清楚事情的本質，現在是台灣的銀行濫用不安全通

→

kaltu 05/31 23:23訊，結果遇到新型態犯罪翻車了，為了安全的東西反而

→

kaltu 05/31 23:23backfire變成讓贓款更容易流通的角色，銀行還不停用

→

kaltu 05/31 23:23，因為卸責起來太方便的問題

→

kaltu 05/31 23:23而不是被台灣人嘴成受害消費者巨嬰

→

kaltu 05/31 23:23去辦一下其他國家的信用卡看看其他國家的銀行是怎麼

→

kaltu 05/31 23:23有責任地使用SMS OTP的好嗎？

→

kaltu 05/31 23:24根本不是像台灣的銀行一樣重要非重要大小金額國內外

→

kaltu 05/31 23:24交易都跟跟廣告垃圾簡訊放在一起的所謂授權（卸責）

→

kaltu 05/31 23:24除了我自己opt in的通知之外我的Chase和BoA早就已經

→

kaltu 05/31 23:24不用SMS通知重要訊息了

→

kaltu 05/31 23:24沒錯Identify theft主要是警察的事，但銀行在明知有

→

kaltu 05/31 23:24ID theft的狀況下依然知情故意使用不安全通訊管道作

→

kaltu 05/31 23:24為安全認證手段是銀行的gross negligence，而不是消

→

kaltu 05/31 23:24費者巨嬰

→

kaltu 05/31 23:24只有高風險交易才應「額外」用不安全管道多一層二次

→

kaltu 05/31 23:24確認，起到正確「提醒」消費者的作用，不是作為授權

→

kaltu 05/31 23:24甚至還營造不是盜刷的說法，詐騙本來就是盜刷的一種

→

kaltu 05/31 23:24，本質上就不是你本人進行交易而是詐騙集團刷的，只

→

kaltu 05/31 23:24是透過社交工程取得受害者的動態密碼而已，跟取得你

→

kaltu 05/31 23:24的卡號和靜態密碼沒有任何技術上的差異

→

kaltu 05/31 23:24除了台灣人之外從來就沒有把OTP神話，這東西外洩之

→

kaltu 05/31 23:24後不管誰刷的都變成你刷的，不是盜刷的扭曲說法，開

→

kaltu 05/31 23:24此先例這個世界上就不存在盜刷了

→

kaltu 05/31 23:24反正用這種說法只要是社交工程攻擊取得的東西，哪個

→

kaltu 05/31 23:24不是受害者主動給出的，通通都是授權交易何來盜用一

→

kaltu 05/31 23:24說

推

aspeter 06/01 00:15當然是你所以OTP不要亂點跟輸入你不點就沒事

噓

yoshinobu 06/01 01:33某k到底在鬼扯什麼？otp金額與幣別簡訊都寫了，持卡

→

yoshinobu 06/01 01:33人自己同意後送出，等同同意這筆交易，不算持卡人

→

yoshinobu 06/01 01:33的要算誰的？

噓

yoshinobu 06/01 01:37什麼叫作"本質上就不是你本人進行交易而是詐騙集團

→

yoshinobu 06/01 01:37刷的"？？到底在說什麼？

→

bbcer 06/01 01:39如果OTP本身不夠安全,麻煩銀行改用其他驗證方式

→

cityport 06/01 05:163D驗證在美國現在完全不存在

→

cityport 06/01 05:17美國的銀行好像以前被告過然後輸了..銀行就全部停用

→

cityport 06/01 05:18其中一個原因是電信商在法院作證說SMS是不安全的

→

cityport 06/01 05:18然後銀行就輸了官司

推

asahi98 06/02 07:27其實OTP有風險，之前我記得有新聞說能夠攔截別人簡

→

asahi98 06/02 07:27訊，假裝基地台發送簡訊出去騙被害人。電信詐騙偽

→

asahi98 06/02 07:27裝自己是基地台的模式發送給範圍內的手機門號，看

→

asahi98 06/02 07:27誰中招。這樣很難防

推

sorawang 06/02 15:16每次都有人說opt可以被攔截，啊實際上拿例子又舉不

→

sorawang 06/02 15:16出來

推

jakkx 06/02 19:14上面那個應該是記錯了。是免費WIFI吧

→

even0213 06/03 05:35試論卡號效期CVV +OTP同時被截取的機率是?

→

even0213 06/03 05:39一堆講OTP不安全.倒是找個現實實例來看看? OTP有時

→

even0213 06/03 05:40效限制.安卓手機預設不安裝未知應用程式.銀行有3千

→

even0213 06/03 05:41刷卡簡訊、EMAIL、推播.電支本身也有推播.多到不行

→

even0213 06/03 05:42的刷卡通知.然後OTP不安全? 講個18-80都適用的安全

→

even0213 06/03 05:42機制.不能太麻煩的老人會用又要夠安全的

→

even0213 06/03 05:44一堆優秀的死ABC 愛說國外如何優秀好棒棒倒是舉幾

→

even0213 06/03 05:45個像台灣的銀行,還得請警察到場阻止被騙匯出的CASE

→

even0213 06/03 05:46一堆巨嬰.打著受害者旗子.淨想著打造一個信用卡烏托

→

even0213 06/03 05:56快去一人一信金管會.實施你們心中安全又方便的機制

其他人也閱讀了

PTT 熱門相關