整件事其實就是有一個人點了好幾次詐騙信件,自己要送錢給人,支付方式還選了從銀行帳戶直接扣款,而非透過信用卡,所以取消訂單的退款,錢就直接被指定到詐騙集團的帳戶去,實際上平台跟支付都沒欠被害者半毛錢。
但這幾天的新聞,不外乎是「盜刷潮」「暗網賣管理員帳密」等等攻擊全支付的,其實多比對一下,就會發現是無腦抹黑造謠,大家只需提防以往的釣魚信跟電腦木馬軟體就好。
首先這幾天就只有一個人在狂點詐騙信,沒別的相同受害者,所以也沒大型資安漏洞,只是剛好挑中了全支付。(另一個說人在日本被盜刷的則是沒附任何證據就先當成空氣不理)
再來是暗網買賣的東西,沒給你看內容物,搞不好是騙錢的黑吃黑,或有人故意放上去擷個圖就開始寫作文,或根本是沒什麼實際權限的帳密,不然真有洩漏,被害規模應該要更嚴重,會直接要求會員變更或強制重置密碼。(我猜到這又會有傻子被嚇到收了詐騙信就點擊內容上到假網站填資料給人盜)
回頭看這件事,把資訊限定在 11/4 這天的新聞報導,「全支付爆遭盜刷 民眾被刷20筆損失達8萬元」,乍看起來好像是全支付出了什麼天大的漏洞,可以不經任何操作就給人偷刷,但實際上就是傳統幾十年來的詐騙釣魚郵件,點進去上了假網站,傻傻照著操作,放不法人士輕易入侵你的帳號。
整起事件要檢討的大概就兩點。一是釣魚信跟假網站,再傻你也要好好看看瀏覽器的網址的警告,看不懂的只能接下一步。二是你就不要綁定銀行帳戶直接扣款,因為現在為了方便你輸入一次性認證碼,系統會代替你自動填完,要是你還裝了惡意軟體或上了假網站,他們就能直接劫走認證碼來操作了,所以寧願把傷害留在信用卡的範圍內不要擴大。
不過到今天 11/6 了,一樣是在講全支付盜刷潮,實際上真的受害者只有那一個人,其他人看到詐騙信可能都直接刪掉,或郵件系統直接過濾,或被瀏覽器跟 VPN 直接擋下來。
今天要是換成別的支付也出一樣的事,頂多就是提醒一下會有類似攻擊頻發,不會每天新聞都像有新的受害者,這背後故意攻擊全聯的操作,只會讓人覺得是不是神經病發作。
0 comments:
張貼留言