大災難總會因你一時疏忽而發生
經歷分享
2024 年 5 月 12 日早上,即如往常走進辦公室,一邊吃早餐一邊滑手機看 LINE 訊息。突然發現中國信託的刷卡通知訊息:「您的信用卡已完成一筆海外交易」。😱😱我愣了幾秒:凌晨三點?iStock 平台?我根本沒買過任何東西啊!那一刻我驚覺:我的信用卡被盜刷了。
採取行動
發現被盜刷後,我立刻採取以下行動:
步驟 1:在銀行 App 提出「刷卡疑問」:打開中國信託 App → 信用卡 → 即時消費明細 → 點選被盜刷的那筆交易 → 「刷卡疑問」→ 勾選「非本人交易」並送出。
步驟 2:撥打銀行客服(24 小時服務):我撥打中國信託客詳細說明交易平台是iStock,透過 PayPal 扣款,並告知這筆扣款交易非本人操作,請協助處理。
👩💻客服人員立刻幫我通報,停用舊卡防止繼續被盜刷。銀行也會補發新卡,預計 7 -10 工作天內寄到。
步驟 3:更改 PayPal 密碼,解除信用卡綁定:處理完銀行端,我立刻登入 PayPal,更改密碼(改成複雜密碼),並且把綁定的信用卡全部移除。
結果:大約兩週後,銀行Email 通知我調查確認這些交易確實非本人消費,已經撤銷扣款。錢全部追回,沒有損失。🎉🎉🎉
自我檢討:為什麼會被盜刷?
疏失 1:PayPal 綁定信用卡,但沒有設定交易防護
前幾年網路接案需求,老外老闆們習慣用 PayPal 付款,所以我也申請了帳號。後來發現在國外網站(如 eBay、Amazon)購物時用 PayPal 很方便,就把信用卡綁定上去。然而,我卻疏忽了一件事:只要綁定,駭客就能透過「非實體交易」刷走我的錢。還好是信用卡不是VISA金融卡,被盜刷容易追回 (更多的閱讀)。
行動建議:
✔ 徹底檢查所有綁定的信用卡
✔ 停用海外刷卡(平常不用就關閉)
✔ 停用自動扣款功能
可能困擾與解決方法:我執行這些設定後,,我發現一些訂閱服務 (例如:youtubePremium、cloudways 主機 等) 因信用卡扣款失敗導致服務受影響。還好我每天都會定時檢查Email ,如果網站服務扣款失敗會發送Email 通知。我收到通知後,再暫時開啟刷卡功能讓它扣款,扣完再關閉。💪💪雖然有點麻煩,但為了安全,這點麻煩是值得的。
疏失 2:Email 沒有分離使用
不曉得這個是否被盜刷原因,不過我也會納入檢討範圍。我的 PayPal、購物網站、社群平台,全都用同一個 Email 註冊。這代表什麼?如果這個 Email 的密碼外洩(例如某個購物網站被駭),駭客就能用憑證填充(Credential Stuffing)攻擊嘗試登入我的其他帳號,包括 PayPal。因此,個人認為:專用Email 和 娛樂Email 不應該並用。
註:憑證填充(Credential Stuffing): 駭客利用使用者在不同系統上,重複使用相同帳號密碼的習慣,來竊取使用者帳號的網路攻擊手法。
金融帳號、政府機關網站只有我知道,我會提供專用Email,其包括:銀行、健保快易通、政府報稅平台等。至於一般登入(購物、創作、社群),我會使用另外一組Email 帳號。
這樣做的好處:
✔ 娛樂性網站資安機制未必嚴謹,一旦被駭也不會波及我的金融帳戶
✔ 主要帳戶的 Email 不會被垃圾信干擾
總結
因為我有開啟銀行 「即時消費推播」App 設定,所以這次盜刷能即時發現。其實我有惰性,也有理所當然的壞習慣。這次盜刷讓我學到一個教訓:我們隨便給了駭客方便。隨便綁定信用卡,隨便讓瀏覽器記住密碼,隨便開通海外交易和非實體交易。因為我的隨便,成了駭客容易攻擊的破口。經過這次教訓,我也正視自己帳號管理策略:「被盜刷不可怕,可怕的是下次還用同樣方式被盜第二次」
