用Apple Pay被盜刷心好痛…嫌犯輕鬆過3關全因你傻傻洩個資

2017-08-26 10:00:00聯合報記者孫中英、沈婉玉／台北報導

用LINE傳送

銀行提醒持卡人，不管是使用行動支付或傳統支付，都要妥善保管個人卡片或手機。圖／... — 銀行提醒持卡人，不管是使用行動支付或傳統支付，都要妥善保管個人卡片或手機。圖／萬事達卡提供。

今年3月29日才登台，才剛要滿5個月，台灣就傳出Apple Pay盜刷事件。Apple Pay已在全球21個市場發行，「盜刷」事件並非首例，在日本就發生過盜取他人信用卡資訊，「綁到自己iPhone上」的Apple Pay盜刷案，與昨天遭到逮捕的黃琪犯案手法幾乎如出一轍。

銀行說，這起盜刷案用白話說，就是這位黃姓嫌疑人「盜取他人實體信用卡，綁在自己的iPhone手機上，然後盜刷」；本案至少有3個要命關卡，值得行動支付族注意，免得成為下一個受害者。

第一要命：受害者「整張卡片資訊都被盜」

「綁過」信用卡的消費者都知道，不管是「國際3大Pay（Apple Pay、Samsung Pay、Android Pay）」或國產的台灣Pay，這些所謂的「行動支付」，銀行並非再新發一張卡，而是民眾自行將既有卡片「綁到手機內」。

綁卡的基本動作，是持卡人「自填資料」，包括「填卡號（可用拍照）、填到期日」，還有最關鍵的信用卡「末3碼」；卡片末3碼在信用卡「背面」，受害者若不是把皮夾或卡片「交給別人」，別人怎麼會有你卡片的末3碼？

台灣首宗Apple Pay盜刷案，犯案手法是將「他人的實體信用卡」綁在自己的 i... — 台灣首宗Apple Pay盜刷案，犯案手法是將「他人的實體信用卡」綁在自己的 iPhone手機上盜刷。記者孫中英／攝影

第二要命：你的生日、小學讀哪…嫌犯也明瞭

很多人會納悶，為何要改號碼。很簡單，因為銀行為確保是「持卡人本人綁卡」，會發出一組「動態簡訊密碼（OTP）」到持卡人手機上，要持卡人輸入，以確認身分。而刷Apple Pay等行動支付，必須透過iPhone7等合格載具，且是用「指紋」替代密碼刷卡，所以盜刷者一定要用自己的iPhone手機「才能盜刷別人的信用卡」。

因為要「綁別人的卡」在自己的手機上，所以盜刷者必須先找銀行，將被害持卡人留在銀行的電話，改成自己的手機號碼，等收到銀行傳來的OTP後，即可透過自己的手機確認，成功綁定受害人卡片。

但打電話去客服更改個人資料，銀行為求慎重起見，都會「考」當事人一堆問題，例如問你「身分證末4碼為何、你就讀的小學、有幾張附卡、最常用的繳費管道是什麼」等。據了解，這位黃姓嫌疑人在回答銀行客服專員詢問時，「每題統統都答對」，銀行不疑有他，自然改了電話號碼。