作者Hseuler (蓝色狸猫)
看板creditcard
标题Re: [心得] 被莫名其妙绑定自己从来不用的 OPEN 钱包
时间Fri Jul 1 23:13:55 2022
我是帮苦主与几位受害者调查与做数位监识此件事情的资安顾问.苦主被盗刷第一时间就
报警并联络我.在这次的事件中我用我的专业谈谈,并把一些版友友兴趣的资讯上色强调:
1.苦主被盗刷的卡是
滙丰银行.
诈骗集团精心伪造某家第三方支付的刷卡页面与3D验证页面,
并不是苦主傻傻把OTP直接交给诈骗集团.大家要小心假冒的第三方支付与3D验证页面!!
最惨的是
因为是绑卡,一次OTP,後面就不需要OTP了,连续盗刷累积十九万
2.盗刷的当下,
汇丰银行告知是7-11线上购物,但实际上并不是(差点误导我调查方向).
我仔细调查後确认是被诈骗集团绑上
小七的OPEN钱包.
3.苦主被绑卡的时候,
验证简讯只显示1元的刷卡OTP,并没有像apple pay或samsung pay显
示是"绑卡".如金管会近日指示,
必须讲清楚到底是"绑卡"的temporary hold,还是真的1元
的消费.光这好步做好就可以阻止不少诈骗了.实际上,这些受害者顶多同意这一笔1元消
费,但可没有同意後面那十几万的盗刷.银行不应让消费者承担那些十几万元使用者没有授
权的盗刷.
4.7-11官方几提供任何有用的资讯给苦主与其他受害者,例如到底是在哪家门市盗刷? 盗
刷什麽东西? 虽然盗刷当下立刻报警,案件转至北市中山分局侦查佐那里後,也很积极处
理,
但7-11拖了一个月,有几家门市的监视录影器已经被洗掉了.
虽然我不是受害者,但其实让我非常不高兴,我协助受害者第一时间通知7-11 OPEN钱包客
服.事发隔天後也调出了门市,不告诉我们就算了,那麽为什麽警方发公文了,却拖这麽久,
拖到影像被洗掉?
5.在7-11官方不愿意提供有用资料的同时,倒是我当时靠另外一位受害者得到了一些关键
资讯,他用国泰世华银行,反而是
国泰世华银行主动告知是在那些7-11门市刷卡.
6.为什麽诈骗集团专攻小七的open钱包而不是其他第三方支付/电子支付?吾人认为理由
有三.
其一,OPEN钱包的异常侦测机制没在这些受害者中没发挥作用.
其二,OPEN钱包在绑一些信用卡时,不会像samsung pay, apple pay的绑卡验证简讯上有明确
表示是绑卡,消费者会以为是一元消费简讯或是刷卡测试.
其三,小七可以买到大量的gash点数洗钱,有兴趣的人可以看看於余丽贞检察长的投书.
实际上,我们资安团队帮这些受害者们
做了不少侦查与数位监识工作,掌握了诈骗集团的重
要数位迹证,已经交给警方,然敌暗我明,故细节不便公开详谈.然而有几点值得改进的是:
a)验证简讯必须讲清楚是绑卡.这点前几日金管会已经发布因应措施.这点蛮感谢立委锺佳
滨委员,因为我本身是技术底出身,法制的部分还是要让专业的来,我们当时通知了不少立
委,只有锺立委回应我们而且非常积极处理.
b)仔细追踪後,我们发现这个诈骗集团已经嚣张多时.如此严重的事情,7-11集团理应要找资
安团队调查,并加强异常侦查系统.
但後来同类型的诈骗手法持续发生於小七的OPEN钱包,
令人遗憾.
c)银行与OPEN钱包的「交易异常侦测系统」要持续强化
传统上的异常交易侦测技术可粗略分为两类:
一、
规则式侦测技术(rule-based method):建立多比盗刷/异常行为规则,即时侦测交易
/刷卡异常。一些银行是采用此传统的老技术.
二、
依靠巨量数据,人工智慧与机器学习(big data, AI and machine learning methods)
建立异常侦测模型:利用过去刷卡与交易纪录的巨量数据,使用时间序列、聚类、深度学
习等机器学习与AI技术,训练出一套侦测盗刷或异常交易的模型,比上述传统的规则式异
常侦测技术来的更为精确有效。使用单位像是玉山银行(2019年後)、Apple Pay, Line
Pay, Google Pay。
这是非常重要的,玉山金控科技长张智星受访时强调:「这种规则式系统,每月需要人
工调整一次规则和参数,不仅难以捕捉快速变化的盗冒行为,还会产出大量异常名单,得
耗费大量人力一一打电话确认。为改善这个问题,玉山发起一项AI专案,要用刷卡历史资
料,训练一套信用卡盗刷侦测模型,来判断盗刷风险。他们想藉此减轻银行人力负荷、提
高辨识准确度。...这套模型在2020年替玉山阻挡了上亿元的损失。」
如果是依靠技术一,其实在open钱包出事後很容易建立一个异常侦测规则来阻止诈骗.如果
是依靠技术二,模型训练的好,诈骗集团连绑卡都绑不上.
总言之:
(1)验证OTP简讯必须讲清楚是绑卡
(2)异常侦测系统抓包到异常行为
这些做好就可以有效阻止这次的诈骗.何况,7-11的open钱包本身是以小额支付为主,他们
的
异常侦测系统竟然没阻止短短几小时内盗刷十几万,实在是不可思议.
(做个比较:一些ATM上限一天上线三万)
在调查过程中,就不得不提
国泰世华银行的机警:其中一位受害者是国泰世华银行的卡被盗
刷.几天後,国泰世华银行便宣布OPEN钱包绑订本行卡於7-11门市交易,单笔限额最高
4,999元.虽然是一个很简单的规则式条件,但是是有效的.如图:
https://i.imgur.com/g3wfzSt.png
最後我希望大家将心比心,毕竟就如我之前提过,这种骗局可持续进化,让你去大网站消费
也被盗刷.一种手法是配合网页渗透与攻击手法,将正规网站的信用卡支付页面狸猫换太
子,成功绑卡後,便可连续(不需要OTP验证)盗刷消费者的信用卡.
下一篇文章,我会谈谈此案更核心的主题:
如何有效地验证你是你?你如何知道来验证你身分的人真的有效的验证者?也就是身分验
证与策略、FIDO联盟识别标准、信赖等级(level of assurance)、密码学身分识别、中间
人攻击(man-in-the-middle attack)等等核心的问题.
实际上,不少专家前辈都曾提及,法规与欧美国家相比,有不少待改善的部分.
可惜说者谆谆,听者藐藐,希望能藉这次苦主的案子加以推动相关法规继续前进.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.24.85.250 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1656688438.A.2E0.html
※ 编辑: Hseuler (114.24.85.250 台湾), 07/01/2022 23:16:16
1F:推 alloc: 感谢分享 希望大家引以为戒 07/01 23:20
2F:推 thomson: open 钱包的地位应该跟 FamiPay/PxPay 相同, 建议拿这两 07/01 23:22
3F:→ thomson: 个做比较 07/01 23:22
4F:推 tonyian: 支持你,open 相关支付本来就很不积极防盗 07/01 23:22
5F:推 bigstudent: 推一下 07/01 23:25
6F:推 zyvupu: 推 07/01 23:25
7F:→ hsinyuan0104: 找个好律师比较重要 07/01 23:26
8F:推 rophynaa: 辛苦了,分享资讯让大家多点警觉QQ 07/01 23:28
※ 编辑: Hseuler (114.24.85.250 台湾), 07/01/2022 23:33:24
9F:推 pushwow: 我真的想知道伪造的刷卡页面跟3D验证页面到底是长怎样 07/01 23:32
10F:推 Go2: 这个闹大之後统一也会逼着做啦 前几年OP点数盗用也封了几年 07/01 23:32
11F:→ Go2: 到现在有换机验证等才再度开放 07/01 23:33
12F:推 kazuC: 推 这篇说的清楚 好多推文都搞错重点 07/01 23:33
13F:推 kimja: 推! 07/01 23:35
※ 编辑: Hseuler (114.24.85.250 台湾), 07/01/2022 23:42:17
14F:→ hicoy: 钓鱼的话 一般人应该是很难不中招 07/01 23:38
15F:推 pushwow: 还有 到底是哪间第三方支付,还有假设我今天买1000 块 07/01 23:38
16F:→ pushwow: 网页上的付款金额到底是多少? 还有收到的简讯是一块钱 07/01 23:38
17F:→ pushwow: 为什麽还会输入 07/01 23:38
18F:→ bullce: OPEN钱包不需要验证信用卡与会员是同一个人吗? 07/01 23:39
19F:推 pushwow: 然後为什麽会觉得是果农在试刷? 07/01 23:41
20F:推 histidine: 推 07/01 23:41
21F:推 kimja: 其实满多支付都不验证这个 像王品疯pay也可以随意绑别人的 07/01 23:41
22F:→ kimja: 卡 07/01 23:41
24F:推 pushwow: 然後导向的3d认证是汇丰的验证页面吗? 07/01 23:44
25F:推 videoproblem: 07/01 23:44
26F:推 eXcFerGodSt: 推 3 跟 a 有抓到重点 07/01 23:45
27F:推 shaoten7: 小弟我之前遇到绑定的都会白烂打假卡号,假的网站无法 07/01 23:46
28F:→ shaoten7: 验证那个国际组织,还是会转跳otp验证页面,假设卡号16 07/01 23:46
29F:→ shaoten7: 个1,也会转跳哦 07/01 23:46
30F:推 RaiGend0519: 这篇讲得非常清楚惹 07/01 23:46
31F:推 Jiapie: 谢谢分享 07/01 23:50
32F:推 pakh: 感谢清楚说明 07/01 23:50
33F:推 LazyICE: 推说明 也希望受害者早日抓到犯人 07/02 00:05
34F:嘘 pushwow: 总言之讲的好棒棒!但是就是不见对使用者的观念建立去宣 07/02 00:08
35F:→ pushwow: 导或是厘清到底使用者哪方面不足需要加强,就连事实假网 07/02 00:08
36F:→ pushwow: 站假的3d验证,都不去检讨,要如何辨别,就是检讨open钱 07/02 00:08
37F:→ pushwow: 包,被绑愚妇给人我的感觉就是吞不下这笔,把原因归於ope 07/02 00:08
38F:→ pushwow: n 钱包的系统不足,怪罪警察系统公文发了,7-11没录影设 07/02 00:08
39F:→ pushwow: 备的保存。 07/02 00:08
40F:推 sanion: 推详细清楚说明,国泰世华这单笔限额4999的规定就做得很 07/02 00:09
41F:→ sanion: 好,会在超商单笔刷超过5000的人少之又少,并且就算超过 07/02 00:09
42F:→ sanion: 也能用实体卡刷 07/02 00:09
43F:→ asd245438: 感觉-4超不积极在处理,是钱包的利润不够吗...... 07/02 00:09
44F:推 maybe2004: 高调推!原文底下一堆文盲检讨被害者有点失焦了 07/02 00:10
45F:推 q2520q: 事实就是事後发生除了国泰有在积极协助之外,op客服7-11店 07/02 00:11
46F:→ q2520q: 家警察每个处理速度慢得要死阿 07/02 00:11
47F:推 gnr1213: 推说明,绑卡要走联卡中心的信用卡辅助持卡人身分验证平 07/02 00:17
48F:→ gnr1213: 台。至於伪冒侦测,这就比较难要求银行了,毕竟每家发卡 07/02 00:17
49F:→ gnr1213: 银行的风险管理机制不同,太严格会限制持卡人消费体验, 07/02 00:17
50F:→ gnr1213: 太松又怕伪冒盗刷 07/02 00:17
51F:→ pushwow: 不检讨被害者怎麽知道到底是哪受骗? 以为大家都有专家? 07/02 00:18
52F:→ pushwow: 苦主可以找资安顾问,可以找立委?其他人呢? 07/02 00:19
53F:→ pushwow: 骗局可以持续进化,使用者不进化行吗? 07/02 00:30
54F:→ love7090303: 卡号已经被泄漏,就是在那里都能够被消费,OP钱包就 07/02 00:31
55F:→ love7090303: 是一个帮忙刷卡的,如果大笔疯狂消费,为甚麽汇丰没 07/02 00:31
56F:→ love7090303: 有侦测到异常挡刷? 07/02 00:31
57F:→ pushwow: 你看看你又在怪银行没帮忙挡刷了 07/02 00:34
58F:推 BalaBaBaBa: 推详细说明!将心比心,如果我是苦主或帮忙的朋友,一 07/02 00:35
59F:→ BalaBaBaBa: 定也会对於统一集团的消极处理感到很不满,摆明就是 07/02 00:35
60F:→ BalaBaBaBa: 不想帮忙找出诈骗集团...同时对国泰世华的好感度大增 07/02 00:35
61F:→ BalaBaBaBa: 是愿意积极处理问题的好银行! 07/02 00:36
62F:推 maybe2004: pushwow您可以去把文章看懂再推文吗?感觉一直在跳针你 07/02 00:39
63F:→ maybe2004: 看不懂的地方 07/02 00:39
64F:推 linlin24: 推 07/02 00:40
65F:→ pushwow: maybe2004 哪里看不懂? 这文就是资安顾问的专业 07/02 00:42
66F:→ pushwow: 事实就是资安顾问只讲後面,以及未来的预防补漏做法 07/02 00:43
67F:→ pushwow: 诈骗日新月异,补救的手法是补的完吗? 07/02 00:45
68F:推 ruam: 感谢分享 07/02 00:45
69F:→ pushwow: 精心伪造的页面,没讲出差异谁知道? 07/02 00:46
70F:推 thomson: 我刚刚试用LP绑卡 也是只要输入OTP就好了 07/02 00:46
71F:推 BalaBaBaBa: 同意骗局可以持续进化,但难道因为这样就不用努力去 07/02 00:46
72F:→ BalaBaBaBa: 抓出诈骗集团吗?不就是因为很少真的被抓到,诈骗才越 07/02 00:46
73F:→ BalaBaBaBa: 来越嚣张吗? 07/02 00:46
74F:→ thomson: 看来LP也有一样的风险 07/02 00:46
75F:→ pushwow: 好比之前假冒银行网银的网页不有北七像? 07/02 00:47
76F:→ thomson: LP也可以允许绑非本人的信用卡 07/02 00:47
77F:→ BalaBaBaBa: 也同意诈骗日新月异,但难道因为问题漏洞补救不完所以 07/02 00:48
78F:→ BalaBaBaBa: 就摆烂不补救吗?这完全不合理吧... 07/02 00:48
79F:→ pushwow: 就觉得愚妇要把问题导向银行,第三方支付。自己免责。 07/02 00:48
80F:→ pushwow: 到底是怎样的精美假冒的网站,连3D认证都很精美! 07/02 00:50
81F:→ pushwow: 我们手边没那麽多资源,如何靠自己避免诈骗不是才是重点 07/02 00:51
82F:推 maybe2004: 够积极的银行我遇过花旗会监控到我的卡有被盗刷情形直 07/02 00:51
83F:→ maybe2004: 接电话联系我跟我确认,然後停卡。汇丰十几万挡不下来 07/02 00:51
84F:→ maybe2004: 银行不用被检讨吗? 07/02 00:51
85F:→ pushwow: 就说检讨银行检讨第三方支付,那都是事後了。 07/02 00:52
86F:→ pushwow: 到底我们如何辨别假冒的网站?难道都一模一样? 07/02 00:53
87F:推 maybe2004: 所以国泰有积极做金额限制,避免被盗但是其他银行呢? 07/02 00:55
88F:→ maybe2004: 真的不检讨吗? 07/02 00:55
89F:→ maybe2004: 狸猫换太子 不要这麽有自信自己不会被钓到 风险控管不 07/02 00:56
90F:→ maybe2004: 单单是消费者,发卡银行和第三方支付都有责任 07/02 00:56
91F:→ maybe2004: 有破洞就是要补起来 07/02 00:57
92F:→ pushwow: 不知道诈骗手法不了解诈骗手法 检讨银行来得及吗? 07/02 00:57
93F:→ pushwow: 对啦对啦 身为消费者的我 希望是先检讨自己 07/02 00:58
94F:推 ppta: 推专业与用心 今天看到富邦新闻说一年诈欺总额是中小型银 07/02 01:00
95F:→ ppta: 行营业额。好多人检讨受伤人 该被遣责的是歹徒才对。否则每 07/02 01:00
96F:→ redcoin: 因为不是银行就是受害者要付钱,所以7-11没有动机去改善 07/02 01:00
97F:→ redcoin: 防盗机制 07/02 01:00
98F:→ ppta: 个罪都能说被害人的错 例如性侵是被害人太裸露 被打是太白 07/02 01:00
99F:→ ppta: 目 激怒别人 酒驾被撞是太晚回家 家暴也是同上 被抢是财 07/02 01:00
100F:→ ppta: 不该露白。 07/02 01:00
101F:→ pushwow: maybe2004 您说的对,风险管控不单单是消费者,问题是 07/02 01:01
102F:→ ppta: 推专业与用心 今天看到富邦新闻说一年诈欺总额是中小型银 07/02 01:01
103F:→ ppta: 行营业额。好多人检讨受伤人 该被遣责的是歹徒才对。否则每 07/02 01:01
104F:→ ppta: 个罪都能说被害人的错 例如性侵是被害人太裸露 被打是太白 07/02 01:01
105F:→ ppta: 目 激怒别人 酒驾被撞是太晚回家 家暴也是同上 被抢是财 07/02 01:01
106F:→ ppta: 不该露白。 07/02 01:01
107F:→ pushwow: 问题是愚妇就是在发卡银行和第三方支付的风险管控 07/02 01:02
108F:推 vyvian: 第三方支付业者单靠OTP简讯来做绑卡身分认证 是事件主因 07/02 01:07
109F:推 aq2272353712: 汇丰刷卡有简讯通知啊~ 07/02 01:07
110F:→ vyvian: OTP简讯会被拦截 转发 钓鱼等等 早就是不安全的认证机制 07/02 01:07
111F:→ vyvian: 不应该继续使用不安全的机制作身分认证 这个金管会应该要 07/02 01:08
112F:→ vyvian: 有所规范。 07/02 01:08
113F:→ aq2272353712: 完全不懂,谈论那麽多,请问要如何从open钱包改进, 07/02 01:08
114F:→ aq2272353712: 每次买东西,验证一次,这就失去一开始绑钱包验证 07/02 01:08
115F:→ aq2272353712: otp被转发,撷取,难道要求每间银行通通从网银app通 07/02 01:10
116F:→ aq2272353712: 知,这样以卡版来说,人人手机安装一堆网银app 07/02 01:10
117F:推 UCCUplz: 推 一堆人一直骂苦主 根本搞不清楚状况 07/02 01:11
118F:→ aq2272353712: 一次被蛇咬,搞死大家的概念,为何不积极抓诈骗,YT 07/02 01:11
119F:→ aq2272353712: 诈骗广告放一年从没消失过 07/02 01:11
120F:推 ppta: 抱歉 app一直显示错误 竟然洗版了 拜托帮忙删除重覆推文 07/02 01:13
121F:→ ppta: 谢谢 07/02 01:13
122F:→ pushwow: 我还是猜不透愚妇不细说如何掉入陷阱的原因? 07/02 01:13
123F:推 vyvian: 不懂身分验证的 可以参考目前国税局报税上的做法 07/02 01:14
124F:推 aq2272353712: 国税局那个验证很扰民,不能用wifi 手机门号要自己 07/02 01:15
125F:→ aq2272353712: 很难用的验证 07/02 01:16
126F:推 aa133456: 我在跟你谈大海,你给我一个漱口杯的问题 07/02 01:19
127F:→ aa133456: 看不懂真的可以不要硬回,自己当个厉害的使用者就好,管 07/02 01:22
128F:→ aa133456: 理者的问题留给管理者自己想吧 07/02 01:22
129F:推 foodspace4u: 话说像LP一样是第三方支付,但绑卡後每一次消费时, 07/02 01:24
130F:→ foodspace4u: 还是要指纹验证才能开启支付系统,OP看起来什麽都没 07/02 01:24
131F:→ foodspace4u: 做啊。 07/02 01:24
132F:→ DogCavy: OPEN钱包也要吧 07/02 01:26
133F:推 BNYMellon: 楼上,OP绑卡後消费也是要密码喔 07/02 01:26
134F:→ flora5028: 强迫验证身份很烦 金管会统一银行OTP格式就能解决问题 07/02 01:27
135F:推 aq2272353712: 有啦,你自己看看,要密码跟人脸啦 07/02 01:27
136F:→ tananadishow: OPEN 钱包不是狭义的「电子支付」,绑卡不会验证持 07/02 01:28
137F:→ tananadishow: 卡人与帐号的ID 07/02 01:28
138F:→ flora5028: 直接定型化防呆防使用者失智的规格化 成本低有效解决 07/02 01:28
139F:推 aragonite: 推 07/02 01:35
140F:推 Ultramarine: 推 07/02 01:37
141F:推 yufat: 所以如果简讯改成绑卡 真的被骗绑卡的人要怎麽立刻解绑? 07/02 01:46
142F:推 healthbuy: 推 07/02 01:47
143F:推 Go2: 有一些卡片锁可以先锁起来 然後找客服挂失吧 07/02 01:53
144F:推 vyvian: 无法解绑,只能请客服先停用。 07/02 02:00
145F:推 RedDux: 我个人是觉得银行确实需要增加一些风控的设定 很多银行 07/02 03:08
146F:→ RedDux: 现在对於点数卡/礼物卡突然大量刷都会警觉 这次问题出在 07/02 03:08
147F:→ RedDux: 银行端第一时间判断成"购物网站"了 07/02 03:08
148F:推 pttabs: 公文都发了,7-11还拖到门市影像被洗掉 07/02 03:49
149F:→ pttabs: 这就是7-11总公司慢不经心处理诈骗的态度 07/02 03:50
150F:推 pttabs: 影像第一时间给不出来,需要公文往返,7-11总公司可以先通 07/02 03:57
151F:→ pttabs: 知门市冻结该时段的影像吧 07/02 03:57
152F:推 asdf159000: 推 07/02 04:28
153F:推 justaID: 推这篇,有些原po没说到的情节(例如假冒otp网页,也可 07/02 04:29
154F:→ justaID: 能是觉得侦查中不敢说太明)这篇说得很清楚,原来有关键 07/02 04:29
155F:→ justaID: 的第一点。也把要点解释得浅显易懂,对银行现行侦测异常 07/02 04:29
156F:→ justaID: 技术的分类长知识了。对那位立委好感度大增,我猜其他立 07/02 04:29
157F:→ justaID: 委不敢接是因为对电子支付制度不熟悉,怕接了应付不了, 07/02 04:29
158F:→ justaID: 吃力不讨好又砸了名声。对国泰、玉山在防堵异常和积极度 07/02 04:29
159F:→ justaID: 的好感度也增加,投入在这种资安资源常被视为成本,没办 07/02 04:29
160F:→ justaID: 法增加银行收益,但其实对客户很重要。针对这次事件对7- 07/02 04:29
161F:→ justaID: 11消极处理的态度满失望的,不管是案件发生後的消极配合 07/02 04:29
162F:→ justaID: ,或是电子钱包绑定机制的不够严谨,统一集团的资讯化程 07/02 04:29
163F:→ justaID: 度应该算很不错,有心要做应该不是做不到,希望不是因为 07/02 04:29
164F:→ justaID: 有利可图而故意纵容(在这个诈骗流程,损失的是银行或受 07/02 04:29
165F:→ justaID: 害者有一方要买单,但在7-11通路消费的收益已经入袋) 07/02 04:29
166F:推 justaID: 有些推文一直咬着检讨被害人,ok,被害人知识不如诈骗集 07/02 04:45
167F:→ justaID: 团吃亏了,该补充知识,但银行端、7-11在这个流程的疏失 07/02 04:45
168F:→ justaID: 就可以忽略吗?我不觉得被害人没在检讨自己,但是检讨自 07/02 04:45
169F:→ justaID: 己的同时,後续持续追查案情,希望补救追讨回钱很正常。 07/02 04:45
170F:→ justaID: 民众知识、银行风控、7-11风控,每一个环节都可以被改善 07/02 04:45
171F:→ justaID: 。希望这个新闻能洗出能见度 07/02 04:45
172F:推 dowbane: 专业推 07/02 04:51
173F:→ kaltu: 假冒的网站可以多像的问题,不考虑法律的话可以做到肉眼看 07/02 05:03
174F:→ kaltu: 起来一模一样喔 07/02 05:03
175F:→ kaltu: 网址可以用西里尔字母弄成肉眼看起来一模一样,网页上的流 07/02 05:03
176F:→ kaltu: 程、文字字型、HTML、CSS和JavaScript全部都只要复制贴上就 07/02 05:03
177F:→ kaltu: 是真的一模一样喔 07/02 05:03
178F:→ kaltu: 用非ASCII字体伪造网域的手法这个到目前为止都无解喔 07/02 05:03
179F:→ kaltu: 什麽SSL凭证之类的反冒充反钓鱼技术都绕得过去喔 07/02 05:03
180F:→ kaltu: 只要人类还存在看到网址就点他而不是自己开另外一台电脑用 07/02 05:03
181F:→ kaltu: 键盘把网址打一遍,或者反过来停止支援已经支援了十几年的U 07/02 05:04
182F:→ kaltu: nicode网址,这种肉眼看起来100%跟真的网站一模一样的钓鱼 07/02 05:04
183F:→ kaltu: 网站就是无解喔 07/02 05:04
184F:→ kaltu: 为什麽资安领域永远不谈检讨使用者,因为使用者永远都是智 07/02 05:07
185F:→ kaltu: 障喔 07/02 05:07
186F:→ kaltu: 再聪明的使用者在肉眼看起来100%一样的攻击看来也是智障喔 07/02 05:07
187F:→ kaltu: 你可以继续检讨使用者,但在资安领域上这是纯粹浪费时间的 07/02 05:07
188F:→ kaltu: 行为喔 07/02 05:07
189F:→ kaltu: 资安上不会谈怎麽处理人为失误喔 07/02 05:09
190F:→ kaltu: 只会谈系统为什麽会给人为失误的空间喔 07/02 05:09
191F:→ kaltu: 因为人就是会失误喔,你允许人失误那是你系统设计的问题不 07/02 05:09
192F:→ kaltu: 是人的问题喔 07/02 05:09
193F:→ asdfghjklasd: 简单说统一从头到尾都烂掉了 07/02 06:29
194F:→ asdfghjklasd: 这根本在设计OPEN钱包时就以挡掉的root cause 07/02 06:30
195F:推 stareye: 很有用的文章 07/02 07:00
196F:推 hideo21: 谢谢,学到很多,希望您继续分享! 07/02 07:39
197F:推 chic9: 大推! 07/02 07:54
198F:推 Truer: 推 07/02 08:04
199F:推 sgxm3: 感谢分享,文章浅简易懂。 07/02 08:07
200F:嘘 willieliu: 推说明,但我认为主要的重点在open钱包与7-11,并不是 07/02 08:07
201F:→ willieliu: 在银行,第一时间HSBC之所以会告知是7-11线上购物,是 07/02 08:07
202F:→ willieliu: 因为在盗刷的当下马上询问,什麽请款资料都没有的情况 07/02 08:07
203F:→ willieliu: 下,银行客服也只能看到大略的资讯吧,虽然不确定他们 07/02 08:07
204F:→ willieliu: 能看到的是什麽,但与後续国泰世华这明显已经出帐的来 07/02 08:07
205F:→ willieliu: 看,能得到的资讯当然比较多。 07/02 08:07
206F:推 willieliu: 补推,国泰世华很热心,但不是应该,当然也不表示滙丰 07/02 08:10
207F:→ willieliu: 银行没这麽做就不行,而且滙丰银行在受害者第一时间询 07/02 08:10
208F:→ willieliu: 问的当下,也确实可能看不到很明确的资料。 07/02 08:10
209F:推 pindar: 其实有一个点也很简单可以抑制诈骗。就是不要开放信用卡 07/02 08:18
210F:→ pindar: 买点数。点数是诈骗最喜欢的虚拟货币,好脱手。记得早期 07/02 08:18
211F:→ pindar: 好像无法信用卡买,因为可以洗优惠等,现在-4开放过头了 07/02 08:18
212F:→ pindar: 。 07/02 08:18
213F:推 Baternest: EZ Way/健保局/国税局都会用手机门号验证 麻烦但有效~ 07/02 08:30
214F:→ hsinyuan0104: 国泰世华很热心?OPEN钱包就是国泰世华写的,统一要 07/02 08:32
215F:→ hsinyuan0104: 卸责,国泰世华也只能自己吞 07/02 08:33
216F:推 hopeemily: 推推,统一的不作为变相助长诈骗猖獗!企业应善尽社会 07/02 08:40
217F:→ hopeemily: 责任!不能只赚钱而不保障消费者权益! 07/02 08:40
218F:推 TCdogmeat: 等等 不是发现是1元的时候就代表有鬼了吗 07/02 08:40
219F:→ TCdogmeat: 还是你的芒果含运真的只要1元? 07/02 08:40
220F:推 iorittn: 推 07/02 08:42
221F:推 blithy: 感谢分享 07/02 08:47
222F:→ hopeemily: open钱包就是国泰世华帮统一做的!合理推断可比别的银 07/02 08:47
223F:→ hopeemily: 行获得更多资讯 07/02 08:47
224F:→ hsinyuan0104: 苦主被盗刷第一时间是连络律师申请保全证据,後续结 07/02 09:06
225F:→ hsinyuan0104: 果大不同 07/02 09:07
226F:嘘 aq2272353712: 欸,为何买点数不能用信用卡,莫名其妙,自己被盗刷 07/02 09:16
227F:→ aq2272353712: ,然後禁止一堆 07/02 09:16
228F:推 willieliu: 网路上也很常出现盗刷 那是不是虾皮要改成只能汇款? 07/02 09:18
229F:推 IS0987: 推 07/02 09:24
230F:推 nmkl: 感谢提醒,op钱包icashpay已解绑不使用了 07/02 09:29
231F:→ hsinyuan0104: 干嘛解绑,绑好绑满别人就无法绑 07/02 09:31
232F:推 MJdavid: 你解绑 结果歹徒用很爽 07/02 09:39
233F:推 YCL13: 如果是做了假的购物刷卡网页来骗人,那又是另外的问题了, 07/02 09:45
234F:→ YCL13: 另外则是不知这诈骗网页是否连网页识别码都正确呢? 07/02 09:45
235F:推 afria: 感谢说明,还上色画重点XD 07/02 09:46
236F:→ temu2015: 同个支付不能绑同张卡在不同帐号下 你解绑OP比绑着风险 07/02 09:47
237F:→ temu2015: 还高…… ICP别人根本绑不了就没差 07/02 09:47
238F:推 nmkl: 很久以前绑的,当然解绑,反正没什麽在用 07/02 09:47
239F:→ nmkl: 顺便换卡号换好换满 07/02 09:49
240F:推 benben994: 推 07/02 09:58
241F:推 kanx: 推 谢谢分享, 这种诈骗Case本来就是人人都有机会遇到 07/02 10:13
242F:推 raythwy: 推推 感谢分享分析很清楚 07/02 10:18
243F:推 MissPigHead: 推!感谢研究及分享 07/02 10:19
244F:推 chobo318: 推专业 诈骗技术愈来愈多元 使用者的确也要跟着进化 并 07/02 10:23
245F:→ chobo318: 不是方便就可以随便 07/02 10:23
246F:推 j49222106: 推 07/02 10:24
247F:嘘 lunatica: social engineering 在使用者自己的警觉之外 没有办法 07/02 10:43
248F:→ lunatica: 用任何的机制来防范 07/02 10:43
249F:推 prowhitej: 推,新闻那篇还一堆人傻傻的.. 07/02 10:57
250F:推 inmee: 滙丰这麽烂喔? 07/02 11:00
251F:→ prowhitej: 其实大公司或政府会有社交工程演练,推广成万安演习不 07/02 11:10
252F:→ prowhitej: 知道会不会比宣导有用,不然就只能像这样实战训练,训 07/02 11:10
253F:→ prowhitej: 练失败钱就没了,跟交通很像啊.. 07/02 11:10
254F:推 rerecros: 推 长知识 07/02 11:14
255F:推 a0356482: 高调推 07/02 11:26
256F:推 monkeyday: 推 07/02 11:40
257F:推 vanll23: 推 07/02 11:42
258F:推 baibaizo: 学习了,感谢PO文 07/02 11:51
259F:推 p520888: 高调推 07/02 11:51
260F:推 annlee0430: 自己看不懂重点跳针就算了还嘘 这种人未来也很容易上 07/02 11:54
261F:→ annlee0430: 当就不要上来哭啊 07/02 11:54
262F:推 j7365763: 推 07/02 12:06
263F:推 yyou: 我想问otp不是还会有识别码吗?这种盗用来绑卡不会号码对不 07/02 12:25
264F:→ yyou: 起来吗? 07/02 12:25
265F:推 evaliao: 推 07/02 12:29
266F:推 jerrywin: 专业推~ 07/02 12:35
267F:推 Lomax: 推…… 07/02 12:50
268F:推 frozenmoon: 推 07/02 13:11
269F:推 sh9129: 推专业分析 还好有找到像原po这样专业的人帮忙协助 07/02 13:12
270F:推 lucky123820: 原po专业跟国泰机警&效率推一个! 07/02 13:13
271F:推 popolili: 谢谢 07/02 13:18
272F:推 sandny: 推 07/02 13:26
273F:推 shuhong: 这些诈骗真是成精了,还设假第三方支付网页,家里老人没 07/02 13:44
274F:→ shuhong: 这麽精的,确实有可能中招。 07/02 13:44
275F:推 a5480277: 可以分享一下那个很精美的诈骗网站吗? 想看一下 07/02 13:48
276F:→ a5480277: 另外说7-11拖了一个月 可以分享一下时程吗? 07/02 13:50
277F:→ a5480277: 看内文感觉是说7-11隔天就知道了哪家门市了 还能这样拖? 07/02 13:51
278F:推 JOYJS: 长知识,推! 07/02 13:53
279F:推 rxers1994: 结论停用open好了 抵制这种消极资安的企业 07/02 14:01
280F:推 iiiiiiii171: 推详细说明 07/02 14:08
281F:推 TCdogmeat: 想知道诈骗网站有多精+1 07/02 14:12
282F:推 samlin0702: 推 07/02 14:13
283F:推 tandzh: 小7不阻止盗刷,它有钱赚干嘛阻止,垃圾 07/02 14:36
284F:推 tandzh: 哪些银行是良心哪些企业只顾赚黑心钱很明显 07/02 14:38
285F:推 Alllllogo: 推分享 07/02 14:42
286F:推 uegajde: 推这篇,以及推楼主为这个事件所做的工作 07/02 14:53
287F:推 tonylaio: 烂7-11给他爆上新闻 07/02 15:09
288F:→ dogzi: 验证简讯要做到写明是绑卡其实不太可能,现行机制都是使用 07/02 15:12
289F:→ dogzi: 3DS验证方式,除非国际组织调整规格,让全世界发卡行配合 07/02 15:12
290F:→ dogzi: 调整,不然这点就做不到,APPLE PAY他们可以写明的原因, 07/02 15:12
291F:→ dogzi: 是因为他们是跟银行逐一串接,除非现行的绑卡支付服务商, 07/02 15:12
292F:→ dogzi: 也愿意改用这种模式进行串接,不然理论上就只是金管会做做 07/02 15:12
293F:→ dogzi: 样子而已,而且简讯就算写再多资讯,会被骗的人还是会被骗 07/02 15:12
294F:→ dogzi: ,不然怎麽会有人相信网银的转帐功能,可以开启和关闭一些 07/02 15:12
295F:→ dogzi: 隐藏服务 07/02 15:12
296F:推 labo: 推楼上 目前第三方支付普遍不限定发卡行 07/02 15:19
297F:→ labo: 而Apple Google的感应付款只使用合作的发卡行的卡片 07/02 15:20
298F:推 labo: 电子支付能有效防范 但是用户对提供身份证给业者常有疑虑 07/02 15:24
299F:→ labo: 电子支付除了限定本人卡片,也有每月收付额度限制 07/02 15:27
300F:推 a5480277: 会认为简讯写清楚就不会被骗的 坦白说我只能呵呵... 07/02 15:48
301F:推 dandandance: 谢谢分享 辛苦了 07/02 15:49
302F:→ a5480277: 使用者就是不懂相关资讯不是嘛 写个XXX绑卡 难道就会立 07/02 15:50
303F:→ a5480277: 刻开窍懂了绑卡是什麽? 07/02 15:51
304F:推 Kazamatsuri: 写了至少有机会让更多人去问或警觉不是吗? 07/02 15:53
305F:→ bluesky1130: 好人一生平安 07/02 15:55
306F:→ a5480277: 没错 有写有帮助 但不代表写了就能杜绝问题发生 就这样 07/02 15:56
307F:推 a5480277: 你自己看今天这例子 他是透过钓鱼网站输入资讯的 我们先 07/02 15:59
308F:→ a5480277: 不论网站的精美程度有多高 你在网站上转帐金额难道是填 07/02 15:59
309F:→ a5480277: 1元吗? 你网站上填的金额是自己想要付的总额吧 07/02 16:01
310F:→ a5480277: 收到的简讯如果是显示1元,跟金额不符的话,就该警觉吧 07/02 16:01
311F:推 papac: 推! 07/02 16:07
312F:推 InInIn: 谢谢分享 07/02 16:09
313F:推 JUNKERS: 推这篇,问题商家该改进,另外检讨被害人很好笑 07/02 16:25
314F:推 linlin24: 目前有遇到诈骗集团骗得款项後确实转入类似支付系统洗钱 07/02 16:26
315F:→ linlin24: 相信这类的诈骗确实已经演变越来越多 07/02 16:26
316F:推 Kazamatsuri: 当然有写出来是治标 但在治本方式出来前总是多少有 07/02 16:30
317F:→ Kazamatsuri: 帮助啦~ 07/02 16:31
318F:推 waterseen: 推国泰玉山 技术都有在进步 之前被盗刷也是马上协助止 07/02 17:34
319F:→ waterseen: 付停卡 07/02 17:34
320F:推 wisteriachi: 感谢分享 07/02 18:14
321F:推 refanna: 推 07/02 18:26
322F:推 uj2003: kaltu大哥,社交工程一直是资安的一环啊 07/02 18:49
323F:推 proletariat: 感谢分享防范资讯 07/02 19:14
324F:推 ayumiray: 推 07/02 19:23
325F:推 UCCUplz: 不管怎麽样都会有人被骗没错 07/02 19:59
326F:→ UCCUplz: 但是银行多做一些处置 就可以让被骗的人变少不是吗? 07/02 19:59
327F:推 percentoff: 哇专业 谢谢分享 07/02 20:04
328F:推 UCCUplz: 一直在那边检讨受害人,听别人检讨系统就叫叫叫,老实说 07/02 20:04
329F:→ UCCUplz: 挺白痴的 07/02 20:04
330F:推 vyvian: 遇到诈骗,每个人都可能是下个受害人。检讨制度才是正解 07/02 20:12
331F:推 Jiapie: 关於验证简讯的OTP我试了一下同样是OPEN钱包,国泰世华的 07/02 20:26
332F:→ Jiapie: 信用卡很明确的说是APP绑定用,另一家则只是发送验证码用 07/02 20:26
333F:→ Jiapie: 途没有多说。 07/02 20:26
335F:推 a7708101: 推 并不是每家公司都有相关的课程告诉你这些东西... 07/02 20:29
336F:→ hsinyuan0104: OPEN钱包是国泰世华写的.国泰世华当然可判别,但其他 07/02 20:38
337F:→ hsinyuan0104: 银行要如何判断,要国泰世华告诉他们 07/02 20:39
338F:推 nerda: LP不能绑非本人的信用卡吧?之前试过不给绑啊 07/02 21:19
339F:推 peiningyu: 推详细解说 07/02 21:23
340F:推 tbrs: 本来就没很爱用统一家的 为了回馈我还是不得不用而这次让我 07/02 21:28
341F:→ tbrs: 学乖 不能再增加股债以外的诈骗债了 只能绑安全系数较高不 07/02 21:28
342F:→ tbrs: 银行这样 额度不要超过一万 07/02 21:28
344F:→ Kazamatsuri: 玉山联邦国泰世华富邦连线才有限要跟留存在银行的电 07/02 21:30
345F:推 tbrs: 我赖佩用 连线银行自己家的卡片 07/02 21:30
346F:→ Kazamatsuri: 话一致的帐号才能绑 其他银行不限 07/02 21:30
347F:推 nightA: 看了推文後认同k大的说法,因为只要是人,都会有人为疏忽 07/02 21:31
348F:→ nightA: 的可能,所以我们才要建立有效的系统去防范这些漏洞,以 07/02 21:31
349F:→ nightA: 减低跟避免这些问题 07/02 21:31
350F:→ tbrs: 难怪我没用过三维验证 07/02 21:31
351F:→ tbrs: 难怪我因为疫苗没百分之百有效 就不打半剂疫苗 一小步我都 07/02 21:32
352F:→ tbrs: 不想跨 07/02 21:32
353F:→ tbrs: 因效废疫的我 07/02 21:33
354F:推 Kazamatsuri: 如果因为不能百分百预防就不做 那不如就不要出门了 07/02 21:34
355F:→ flora5028: 金管会统一简讯开头格式揭露4样时间-金额-行为-店家 07/02 21:40
356F:→ flora5028: 能防堵99%钓鱼诈骗 现简讯没统一使用者看数字就急着输 07/02 21:42
357F:→ flora5028: 强迫验证本人绑卡1支1人不太好 电支有人因验证就拒用 07/02 21:44
358F:推 Kazamatsuri: 撇开不稳定因素 看看多少人因为要上传身份证而不想改 07/02 21:46
359F:→ Kazamatsuri: 用全盈的? 科科 07/02 21:47
360F:→ asdfghjklasd: 一个简单可以从源头就管好的,还替-4讲话 07/02 21:48
361F:推 tbrs: 全盈确实很方便 但是她让我诟病的就是 我原本的全家配就被 07/02 21:58
362F:→ tbrs: 改成次要了 不像统一集团能自由选择爱金配 还欧本佩 07/02 21:58
363F:→ tbrs: 每次切换 指纹还总是在那时感应不良多次 07/02 21:59
364F:→ DogCavy: 可以把FamiPay单独拉捷径出来 07/02 22:05
365F:推 Kazamatsuri: FamiPay在中间酷碰券右边的「全家支付」 但要用全盈 07/02 22:10
366F:→ Kazamatsuri: 的密码登入 XD 07/02 22:10
367F:推 crazycy: 推 07/02 22:12
368F:推 tbrs: 居然藏那麽里面 找好几次都没找到 07/02 22:28
369F:推 tbrs: 毕竟太多项目了 07/02 22:35
370F:推 poui0567: 推 07/02 22:44
371F:推 hahananav: 谢谢分享 07/02 22:54
372F:推 cka: 只要排除非本人信用卡绑定帐户这麽简单的小事7-11不愿意也是 07/02 23:09
373F:→ cka: 很怪,橘子支付就有排除 07/02 23:09
374F:推 a19851106: 推~~ 07/02 23:11
375F:推 barttien: 从此对小七的印象大大折扣,统一真的糟透了 07/02 23:16
376F:推 pipiiii777: 推 07/02 23:42
377F:推 kevin963: 现在都尽量避免去711 烂透的公司 07/03 00:23
378F:推 billiechick: 推!!!!!!!!!!! 07/03 00:35
379F:推 hihihiccc: 辛苦了 07/03 00:39
380F:推 tbrs: 不痛不痒 照样爽赚点数发大财 07/03 00:40
381F:→ tbrs: 赚钱的最大 07/03 00:40
382F:推 jerrykyo: 感谢专家提供宝贵建议 希望政府官员能好好听进去 07/03 00:42
383F:→ kkkk1234: @tbrs 3D验证什麽时候变三维验证了 3D是指三分 07/03 00:50
385F:推 erty2852: 干,跪了 07/03 00:54
386F:推 tbrs: 喔是三方 不是三维 英文名词简称太多了 07/03 03:21
387F:→ darkMood: 要求修法诈骗集团首脑一律公开鞭刑至死才是解决之道 07/03 03:39
388F:推 chocopie: 推 07/03 04:17
389F:推 ivi: 推 一堆人怪消费者被骗根本脑残 07/03 07:32
390F:→ louiseyeyen: 有个疑问,跳转验证的网页不是操作人才会收到吗? 07/03 10:00
391F:→ louiseyeyen: 原原po是给诈骗集团otp号码,还是自己输入进假网页 07/03 10:00
392F:→ louiseyeyen: ? 07/03 10:00
393F:推 thisgo: 谢谢分享 07/03 10:02
394F:→ goodnu2: 假网站的刷卡金额不会是$1吧?收到银行简讯说要刷$1不觉 07/03 10:57
395F:→ goodnu2: 得奇怪吗? 07/03 10:57
396F:推 ricshi: 推 07/03 11:38
402F:推 nalthax: 推 07/03 11:42
403F:推 mrshort: 推 07/03 12:52
404F:推 zj765523: 推し 07/03 12:55
405F:推 tinahou: 国泰世华加分加到爆 07/03 13:48
406F:推 eayterrr: 推个 07/03 14:16
407F:推 lkj12tw: 好文帮推 07/03 16:33
408F:推 warrigal: 推这一篇 07/03 16:55
409F:嘘 oliverroli: 为什麽买芒果需要试刷1元?买什麽东西需要试刷?一直 07/03 17:36
410F:→ oliverroli: 以来不是只有绑卡才要试刷吗? 07/03 17:36
411F:→ oliverroli: 前一篇和这一篇都没有回答到这个问题…… 07/03 17:36
412F:推 houjay: 所以金管会在干嘛? 07/03 18:20
413F:嘘 itismimi: 409楼讲到重点,为什麽要刷1元去验证,到底想要验证什麽 07/03 19:08
414F:→ itismimi: 东西呢? 07/03 19:08
415F:→ hsinyuan0104: 大概就跟订旅馆入住时被要求试刷信用卡 07/03 19:37
416F:推 wattswatts: 虾皮刷卡购物输入卡号就会有信用卡试刷机制,买完删 07/03 19:54
417F:→ wattswatts: 除卡号没被盗刷过 07/03 19:54
418F:→ labo: 虾皮刷卡是绑定虾皮的第三方支付,所以需要试刷 07/03 21:38
419F:推 zoe888: 推详细 07/03 21:57
420F:推 dtdon1699: 推好文 盗刷一元跟绑定不同 小七拖时间很有问题 07/03 23:48
421F:推 sara820820: 详细给推 07/04 00:35
422F:推 facelift5615: 推 07/04 05:13
423F:推 anomaly: 我觉得就算otp里面加上绑卡两个字,会被骗的还是会被骗 07/04 08:25
424F:→ a9910330: 拖到监视器洗掉没证据,被害人无证据只能认赔~小7计画通 07/04 08:27
425F:推 yuuirain: Push 07/04 09:49
426F:推 ChingLan326: 感谢分享 07/04 13:41
427F:推 kissrain: 游戏点数五万十万买,什麽游戏那麽迷人 07/04 17:43
428F:推 kissrain: 政府实在该管管游戏点数 07/04 19:25
429F:推 sfwejfish: 感谢分享 07/04 19:32
430F:推 aicaca: 感谢分享 07/05 00:34
431F:推 UCCUplz: “因为100个里面只能救到70个,救不到全部,所以决定一 07/05 00:47
432F:→ UCCUplz: 个也不救了。” 07/05 00:47
433F:→ UCCUplz: 赞ㄛ 07/05 00:47
434F:推 stinginhell: 觉得这篇讲的很清楚了还是有人要跳针 07/05 10:24
435F:推 dogzi: 最好笑的还是很多人客诉OTP密码没办法出现在简讯首行,让 07/05 11:09
436F:→ dogzi: 他们还得先跳去简讯APP开启简讯,才能输入验证 07/05 11:09
437F:推 dogzi: 或是客诉为什麽不能自动填入OTP密码的,坦白说现在在场各 07/05 11:33
438F:→ dogzi: 位可能会记得要注意OTP内容,但人都是健忘且懒散的,简讯 07/05 11:33
439F:→ dogzi: 注明再多内容,真的有在看内容的持卡人有多少,如果有在看 07/05 11:33
440F:→ dogzi: ,那麽国泰的持卡人根本没道理会被骗 07/05 11:33
441F:推 rene0716: 比较惊讶玉山居然有训练ai 模型防诈骗 这成本不低啊 07/05 13:15
442F:→ kaltu: 成本不低也不会比盗刷自己吞盗刷款的成本高 07/05 13:31
443F:→ kaltu: 就算可以转嫁给保险,系统有成效之後也有数据去谈保险金额 07/05 13:32
444F:→ kaltu: 的降低 07/05 13:32
445F:→ kaltu: 特别是台湾的软体工程师世界有名的廉价,金融业开的薪水又 07/05 13:33
446F:→ kaltu: 远低於软体公司行情,我是不信成本会能多高 07/05 13:33
447F:推 a12375111: 统一的i cash pay 也只能绑本人的卡 没想到op 钱包没这 07/05 13:34
448F:→ a12375111: 限制? 07/05 13:34
449F:推 Kazamatsuri: 一个是电子支付 一个是第三方支付 适用法规不同 07/05 14:50
450F:→ Kazamatsuri: 就像全盈+Pay与FamiPay一样 07/05 14:51
451F:推 flatfish2717: 感谢分享 07/05 15:27
452F:→ milk0611: 感谢分享 07/05 15:35
453F:推 goldie: 感谢分享 07/05 17:43
454F:推 arl616: 推 07/05 19:36
455F:推 alien818: 感谢分享 07/06 11:23
456F:推 Violet25: 喜欢kaltu大回应的态度XD 07/07 01:49
457F:推 cklan: 推分享。想知道伪造刷卡页面 07/09 11:31
458F:推 xhung : 推 7-11集团要负最大责任 也推国泰快速反应 08/11 02:26