現在很多服務都會使用一次性簡訊密碼做認證,尤其是以線上刷卡消費時,最常出現輸入卡號、送出訂單時就要求輸入 OTP 簡訊驗證密碼,而且幾乎全台的銀行都有這樣的認證機制。
但你知道 OTP 簡訊認證早從 2017 年起就被美國標準檢驗技術研究院、趨勢科技…等多個技術單位、資安團隊認定並不安全,並且呼籲儘早拋棄改用更安全的驗證方式。
甚至最近有網友就發生類似的事情,而遭到銀行認定不屬於盜刷。
網友信用卡遭盜刷、銀行認定 OTP 驗證過所以認列帳款
昨天晚上在看 PTT 信用卡版的時候,就看到一篇文章,裡面網友說自己最近收到一個 OTP 驗證要求的簡訊,但是自己當下並沒有進行任何的線上刷卡行為,因此他認為信用卡資料遭外流,有人利用他的信用卡號線上刷卡,還好有 OTP 幫他擋下,所以當下並沒有理會這個 OTP 驗證簡訊,並且也打電話告知銀行自己的信用卡遭盜刷並掛失。
照理說這筆刷卡應該就不會刷過了,但後來網友的帳單上還是出現了這筆十萬以上異地異常消費紀錄,儘管網友強調這個不是他刷的、也報了掛失,但銀行端查詢後,發現 OTP 簡訊驗證已經通過,因為 OTP 簡訊只會傳送到信用卡持卡人的手機,對銀行來說,有 OTP 認證通過一定就是信用卡持卡人輸入了簡訊上的認證碼,所以要求網友還是要支付這筆款項。
OTP 簡訊驗證碼為什麼不安全?
看到這裡你抓到重點了嗎?
只要你的卡號不慎遭到外流,然後詐騙集團用這個卡號去刷卡,你以為還有 OTP 簡訊當最後一道把關的防線,結果對方還是有辦法弄到你的 OTP 簡訊認證碼,那這筆盜刷的金額你還是得付!
OTP 簡訊密碼仍然有被竊取的可能
OTP 簡訊驗證碼原始的用意就是當你的卡被人撿走,對方拿這張卡去刷,發卡銀行會發送一個簡訊給你,但這個簡訊對方收不到,所以就無法完成刷卡驗證的流程,這樣就不會被盜刷。
但是!
美國標準檢驗技術研究院、趨勢科技等資安團隊在 2017 年就發現並且不斷提醒,如果駭客在你的手機植入木馬、利用漏洞…等方式就可以遠端竊取你收到的那封 OTP 簡訊內容,這樣他們就能夠取得刷卡時要求的那組 OTP 驗證碼。
OTP 電子郵件同樣有可能被竊取
除了 OTP 簡訊驗證碼以外,有的銀行還會很好心的發送 OTP 電子郵件,雙管齊下以防你收不到 OTP 簡訊,但 OTP 電子郵件只要在傳輸過程中沒有做好加密、保護,就更容易遭到駭客竊取,2023 年永豐銀行就發生過類似的事情。
使用無密碼驗證方式才是更安全的方法
近來,有很多企業都在推行 PassKey 無密碼的驗證方式,包含 Apple、Google….等,這種驗證方式比較安全,畢竟無密碼驗證過程中完全沒有密碼,駭客就算真的從中攔截了你網路資料,他也沒有任何可以登入、驗證的資訊可以拿去用。
如果你想了解更多這種比較安全的無密碼驗證資訊,可以看我之前寫過的《PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全》以及《Google 宣布支援支援密碼金鑰 Passkey,設定與使用方法完整教學》這兩篇。
使用 OTP 驗證碼該如何避免被駭客竊取、盜刷?
上面雖然說無密碼的驗證方式比較安全,但這個部分就必須要由企業、銀行….等單位主動修改驗證方式並提供這樣服務,以台灣目前的銀行幾乎都有使用 OTP 簡訊驗證碼的機制來說,我們也不可能看到這樣的事件然後就說我要關閉信用卡刷卡的 OTP 驗證,這樣我們該如何避免被駭客竊取、盜刷?
下面整理幾個可以避免簡訊驗證碼被竊取的方法。
只從官方商店下載 App
OTP 被竊取通常是因為手機被植入木馬,而木馬最容易藉由 App 的安裝進入到手機裡面,所以不要安裝來路不明的 App,不要從 App Store、Google Play 商店以外的地方安裝 App。
改用 App 通知的 OTP 一次性驗證
現在有很多 App 的登入、交易驗證都改透過 App 通知來傳送 OTP 驗證碼,這樣的傳送方式比較不會被駭客有機會竊取到你的驗證碼。
以合作金庫 App 為例,轉帳時的 OTP 驗證碼就可以改用 App 的通知來獲取比較安全。
取消 Email 的 OTP 驗證碼
Email 相對簡訊而言更容易被駭客竊取,如果有設定 Email 同步接收 OTP 驗證碼的話,建議也盡快取消。
暫時關閉線上交易、國外交易功能
有些信用卡可以關閉線上交易、國外交易功能,如果詐騙集團來自境外,就可以完全避掉這個風險,甚至也可以關閉線上交易功能,如果你自己有需要線上交易的話,再提前手動開啟。
關閉線上交易功能、有需要再開啟雖然會比較麻煩,卻是目前如果一定得使用 OTP 的情況下最安全的做法;但如果你有綁定信用卡自動扣款的話,可能就要問一下關閉線上交易功能會不會有影響。
設定信用卡交易額度
雖然每張信用卡都有額度上限,但有些銀行可以讓你在 App 設定針對信用卡的交易額度,可以把這個額度調低一點,只要刷太大額的消費會失敗,這樣也可以降低被盜刷但銀行又不認列市盜刷交易時的損失;當然如果自己要刷大筆消費時再暫時取消這個額度限制就可以了。
透過上述這幾個方法,就可以避免在一定要使用 OTP 簡訊驗證碼當作認證機制的情況下,讓 OTP 簡訊驗證碼有機會被駭客當作是盜刷的幫手,尤其是關閉線上交易功能,只要你確定卡片沒有不見,那應該就不會發生被盜刷的狀況。
延伸閱讀》
- 玉山信用卡用戶發生 Apple Pay 遭自動設定!是卡片資料外流被盜刷嗎?
- 遠東 Bankee 數位帳戶是老鼠會詐騙嗎?活存利率多少?優點、缺點評價一次看
- 郵局數位帳戶有什麼好處?利率多少?開戶申請流程與注意事項一次看
- 遠傳宣布退出的「開放銀行」是什麼?對你我有影響嗎?一次解釋讓你懂
如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、加入官方 Line 帳號、訂閱 IG、YouTube 以及 Telegram。
OpenAI 發表 Voice Engine:15 秒語音 AI 生成不同內容,甚至還能口譯翻譯
OpenAI 近期推出了一項創新的 AI 語音合成技術 Voice Engine。這項技術能夠透過一段 15 秒的聲音樣,創造出接近真人的自然語音並且唸出其他的文字,或是用不同的聲音重新詮釋同一段內容。這意味著,只需一小段語音,Voice Engine 就能生成完全不同且逼真的聲音。
OpenAI 還展示了幾種不同的應用方式,這裡帶大家快速來了解一下。
01. 用 Voice Engine 重新詮釋另外的內容
OpenAI 展示的第一個範例,就是讓一位使用者先唸出一段文字,然後再讓 Voice Engine 利用這個聲音去生成不同的語音內容。
這是使用者親自唸出來的原始聲音內容:
下面這是利用這位使用者的聲音搭配 Voice Engine 所生成出來、不同內容的聲音。
生物學內容:
化學內容:
數學內容:
簡單來說就是 Voice Engine 可以用你的聲音去生成其他的語音內容,即便你沒有講過這些話,還是很像你親自講的一樣。
02. 利用 Voice Engine 生成多國語音
也可以讓使用者用英文唸出一段話,然後透過 Voice Engine 用相同的口音唸出不同語言的內容,簡單說就是讓 Voice Engine 當成一位口譯人員。
原始唸出的英文內容:
