防行動支付綁卡盜刷 金管會出招
金管會指出,前10大發卡機構10月底前已完成相關係統調整並開始實施,其餘髮卡機構若有與國際Pay合作者,要在12月28日前完成調整,若未能依限完成者,也要採取相應配套措施,保障持卡人權益。
近期很多民衆被釣魚簡訊及一頁式廣告詐騙,即點入簡訊超連結或廣告購物時,留下自己的個資及信用卡號,又提供一次性密碼,讓詐團成功將信用卡綁入他人的手機支付中,之後被盜刷,持卡人都不會收到任何通知。
爲因應這類新式詐術,金管會已督導銀行公會針對國際行動支付服務供應商(如Apple Pay、Samsung Pay或Google Pay等)研訂防範盜刷措施,一是強化手機綁定信用卡時的身分確認機制。國際pay廠商如有提供申請人手機門號給髮卡機構,髮卡機構應確認該門號與信用卡申請人留的手機號碼一致,才能進行後續發送一次性驗證密碼(OTP)、驗證簡訊等相關身分驗證程序,以完成綁定。
二是強化綁定完成的提醒通知機制。髮卡機構在持卡人完成綁定後,即時以簡訊或電子郵件等方式,提醒持卡人已有行動裝置綁定其信用卡,該行動裝置已具信用卡感應支付功能,並加入防詐警語。
金管會認爲,由於OTP驗證簡訊在持卡人進行網路交易或綁定信用卡過程中,是確認身分的重要認證方式,因此髮卡機構發送的OTP內容要含括三項資訊,一「簡訊目的」及「防詐警語」;二如爲消費,內容應包含刷卡消費金額;三如爲綁卡,內容須揭示爲綁定信用卡驗證,供民衆加以辨識。