【大纪元2月14日报导】(中央社记者孙承武台北十四日电)刑事局侦九队今天侦破国内首宗骇客透过“无线溢波”盗刷信用卡的犯罪集团,这种犯案手法只要信用卡可以使用,就可盗刷成功,嫌犯因此设计“连环计”避开银行追查。显示国内银行对于网路银行服务的申办,在风险控管上有着很大的漏洞,以致不法集团有机可趁。
目前线上付款网站的信用卡认证机制,若盗刷金额过高就会被限制,而这次遭刑事警察局侦九队逮捕的庄适宗先透过“无线溢波”避开警方追查网址,并从设法破解线上付款网站的信用卡认证机制着手。
原来线上付款网站的信用卡认证机制是依赖一组由系统发出的四位数“确认码”,但这套系统并未限制输入这四位数“确认码”的错误次数。庄嫌就利用“算号机器人”软体,以“暴力破解法”轻易破解线上付款网站信用卡认证机制,并一举将可刷信用卡额度扩张到新台币四十万元以内 (以未超过持卡人信用额度为限),然后大肆向网路商家购物转卖销赃。
在刷卡风险控管方面,目前线上刷卡若单笔金额超过新台币数万元,信用卡发卡公司会拨打刷卡消费所留电话确认。但侦九队三组干员说,庄嫌会假冒原持卡人向发卡银行申请信用卡网路银行服务,只需以持卡人申请时的资料注册后,即可利用网路银行功能变更原先所留的联络电话,因此当发卡银行打电话照会时,其实是打到庄嫌变更后的行动电话。
甚至庄嫌还会以网路银行功能取消寄送信用卡实体账单的服务,以致原持卡人无法收到当月信用卡账单,而未即时向发卡银行反应,换言之,只要盗刷不要刷爆信用卡额度,嫌犯在隔月仍可继续盗刷。
警方发现嫌犯从网路上购得的信用卡资料,有些是当初持卡人申请“以卡办卡”所留下的信用卡与证件正反面影本,虽然这类资料可能因时间久远,造成信用卡使用有效年限已经过期。不过通常银行的有效月份不会改,改的只是顺延有效年份,而通常是往后延加三年到五年,非常容易猜测。
显见国内银行对于网路银行服务的申办、使用与安全,未能提供足够的安全机制,让不法集团可轻易的冒名申请并任意变更持卡人相关资料。
因此面对骇客与信用卡伪卡集团挂勾犯案,刑事警察局预防科提醒民众在申请信用卡时,应避免利用“以卡办卡”方式申办信用卡,以免个人资料及信用卡资料遭不肖的信用卡代办公司卖给不法集团,进而遭伪卡集团在网路上盗刷。
此外应立即向信用卡发卡银行注册个人信用卡网路银行功能,避免个人信用卡网路银行账号遭不法集团先行注册使用,进而随意变更持卡人个人资料,以致损及持卡人权益。若持卡人不愿使用信用卡网路银行服务,也应向发卡银行声明这张信用卡不得申请网路银行服务。
