2024-01-12 假網站攻擊的更人性化手法

假網站攻擊近10年一直是全球銀行業的頭痛問題，過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。

有一定年資的網購使用者，對於使用保安編碼器會有點印象，但成本太高，而且每天要帶着外出也十分不便(也容易出現遺失的風險)，近年智能手機普及，很多銀行已經轉用mobileapp作為主要保安編碼器，但這段時間仍然比較流行的就是使用手機短訊的one time password (OTP)。

簡單地說，手機技術上，因為SIM卡難以複制，亦不能同時兩張SIM卡登入手機網絡，所以被認為是難以模仿。而手機短訊亦可以根據手機網絡的基礎技術，進行無法轉發的限制，於是可以得出「OTP手機短訊不能轉發亦不容易被中間人截取」的結論。(儘管一是100%不能，但至少不是容易做到的)

但昨天香港有一單新聞，是關於有受害人被虛假網站騙取了信用卡資訊，但仍然收到真實那個網站送薄餅的新聞。

其實這種虛假網站十分常見，如下面的去年新聞也有：

https://www.channelnewsasia.com/singapore/fake-dominos-pizza-websites-new-phishing-scam-police-warning-3993731

昨天新聞的情況(只有中文版)：

https://finance.mingpao.com/fin/instantf/20240111/1704957806329/%E7%B6%B2%E6%B0%91%E8%AA%A4%E5%85%A5%E8%A9%90%E9%A8%99%E7%B6%B2%E7%AB%99%E8%A8%82phd-pizza-%E6%85%98%E9%81%AD%E7%9B%9C%E7%94%A8%E4%BF%A1%E7%94%A8%E5%8D%A1%E9%9A%AA%E5%A4%B12-57%E8%90%AC%E5%85%83

讀者可能會問，為何騙徒要多做這些額外動作，真的要送薄餅到受害人那兒？其實很簡單，這是騙徒希望減低受害人發現的機會或拖延時機，以進行更多交易或避免銀行凍結該卡的時間。

攻擊流程

如果我是受害人，在虛假網站購買產品後即時收到一次性密碼(One-time Password, OTP)短訊，我也不虞有詐。如果騙徒這時利用受害人信用卡去另一網站購買20000.00元的其他貨品，再利用其他受害人的信用卡去替這位受害人購買200.00的貨品。在Card Not Present (CNP)通知時，很多受害人也未必會看得出來。

而很多時，我們會單純認為銀行、發卡機構如Visa、Mastercard都會實行更高防護的一次性密碼要求。但原來這些都沒有強制要求的，換句話說，會否在網上購物時使用到一次性密碼，取決於網店本身的選擇，而不在於銀行或發卡系統。凟者可以回想一下，你使用同一張信用卡也有可能有時有OTP，有時沒有OTP的情況。

在這種客製化的虛假網站攻擊，就算有OTP的多一層防護，如果受害人沒有核對，仍然有機會自己將收到的OTP拱手提供給騙徒。這情況，很多銀行可能會將責任歸究於卡使用者本身，並不會對損失作任何賠償。

要做好信用卡的保安，可以透過以下步驟提升安全性：

1. 避免使用搜尋器去搜尋網站

2. 留意網購的接連是否平常去的網域

3. 使用一些有自設交易限額的信用卡

4. 使用一些可以隨時鎖卡的信用卡

筆者幾乎只使用可以鎖卡的信用卡，每次要使用才在手機app上解鎖，而且預設交易限額也設得極低，以防止被盜用，或在出事時可以將損失減至最低。雖然這些解鎖上鎖很煩人，也試過鬧笑話在餐廳結帳忘了解鎖，但我覺得是必需的措施。

慶幸的是，這次的受害人因為信用卡有限額，而騙徒也太貪心了，所以這次大額交易並沒有成功完成，避免了損失。