你的信用卡陷入「被盜刷」風暴中？小心做了這動作

「凌晨三點，手機簡訊上出現了一行字：因您的信用卡在海外交易有異常，已暫停交易，請來電確認。」K小姐說，她一早七點才發現、自己信用卡在凌晨時被盜刷了，銀行也傳簡訊來告知，但是，誰凌晨三點會看簡訊？

K小姐還說，她被盜刷的交易，詐團一開始是測試刷30元，之後就在短短一秒內，「秒刷」了十筆，每筆都是990元，就如同啟動程式交易一般，換言之，就算她半夜不睡覺，也根本無法攔阻最後這近一萬元的盜刷款。

被盜刷的K小姐，不是第一個、也不可能是最後一個人。

常見卡號、個資外洩破口有三大類

那麼，到底個資、卡號從哪裡外洩的？K小姐說，她這張信用卡從未用在網購、也沒綁卡在任何一個行動（手機）裝置上，最近「醫指付」App疑洩個資、百萬卡友遭盜刷，她赫然想起，她曾將該卡綁在醫指付的App上，即便將App刪除了，但卡號可能早已被外洩，原來「破口」在這裡。（延伸閱讀：醫指付APP爆盜刷 誰外洩個資？ 金管會要釐清）

銀行主管說，只要有「綁卡」這一個動作，包括商家開發的App上、或是綁在電子支付上，都可能成為卡號、個資外洩的破口。

該主管說，就目前常見卡號、個資外洩破口有三大類：

一、某商店的App，或是如委外開發、營運的醫指付App上，因為卡號都存留在App上，這類App資料一旦外洩，災情就會很慘重，就算把App刪掉也沒用。

二、民眾自己誤點或誤信釣魚網站，例如詐團以「中華電信點數按連結兌換」、「假遠通E-TAG知名，騙取民眾裝APP輸入個資和卡號」、或點選來路不明的繳稅費連結等。

三、網購，包括詐團透過臉書做假網購、假網頁、或是民眾在國外網站購物等，只要一輸入個資、卡號，詐團幾乎可以同步取得資料。

各大百貨的APP也成詐騙新手法

甚至因為民眾當下要交易，會取得銀行給OTP一次性密碼，這時候，盜刷集團就會同步利用假網頁取得民眾的個資、卡號，再加上最後關鍵的OTP密碼後，迅速綁定在盜刷集團人員的手機上，並即大肆通過遊戲點數、虛擬貨幣、或其他變現性較高的商品作盜刷，換取不法獲利再快速移轉所得。

聯卡中心日前也提醒，盜刷集團除了鎖定Apple Pay、Google Pay和Samsung Pay等行動（手機）裝置感應支付外，最近連各大百貨商場的App會員支付也不放過。

聯卡中心主管解釋，民眾網購交易時，都會輸入3D交易驗證碼（即交易時、銀行會傳一組OTP交易驗證碼），如果後續被盜刷，民眾、商家可以各向發卡銀行、及收單銀行主張是爭議款。

但一些百貨商場App會員支付，為了方便民眾快速交易，因此是以轉換為QR Code做交易，但依照信用卡國際組織作業規範，因該項QR Code交易因未有交易驗證碼，發卡銀行可以逕行發起扣款需求，導致百貨商場無法正常請款、最壞情況下，恐只能「自吞損失」，已引起商家嚴重關切。

一旦被盜刷 都得自負「舉證責任」

至於對持卡人來說，不論是網購或是實體商家交易，一旦被盜刷，都得自負「舉證責任」，才能免於損失。

為避免詐團盜冒綁卡、進而大量盜刷，銀行公會已要求各發卡行，一旦綁卡人的手機門號，與當初留存在發卡行的手機門號不一致時，將無法完成綁卡，持卡人得致電發卡行再做身分確認。

其次，當持卡人完成綁定後，發卡行還得即時以簡訊、App推播或e-mail等方式通知持卡人，提醒持卡人其手機已經開通Apple Pay等其他國際Pay感應支付功能並加入防詐警語，這兩大措施，最晚需在今年底前完成系統調整。

也就是說，例如老婆要將老公的信用卡、綁在自己的Apple Pay上，因非持卡人，未來老公得親自致電發卡行做確認；又或是自己有兩隻手機，若綁卡手機與當初留存給發卡行手機門號不一致時，也得親自致電。

三招避免「綁卡」盜刷

那麼，民眾到底要如何避免「綁卡」盜刷？除了自己要小心、別誤信釣魚網站外，銀行也教戰三招：一、民眾在網購時，避免使用懶人密碼，例如相同帳密用在各種網購平台，很容易盜刷集團破解一個、就等同破解全部。

二、許多網購商家都有綁定信用卡功能，但網購交易最好別綁定信用卡號、或是同意商家將該次的交易紀錄留存，做為下次的交易資料，藉此避免自己個資留存在商家或網購平台。

三、設定即時消費訊息通知，多家發卡行都有提供綁定LINE個人化服務，加入銀行官網好友並完成綁定後，就可以筆筆收到消費通知。