硬是要學

螢幕超便宜?你的信用卡資料已經外洩了!

最近網路上流傳一個購物網站只要用 329 元的價格就能買到一台原價 3288 元的 22 吋液晶螢幕,一傳出後許多網友完全不管網站真偽就直接下單訂購,甚至在 Facebook 上與好友分享,一同搶購這得來不易的優惠,但是經過我們實際測試,該網頁的信用卡交易系統不但沒有加密,隨便輸入資料都可以通過審核,說直接一點,說它是一個誆詐信用卡資料的網頁也不為過,請看我們幫大家整理的內容…

首先在各大討論區上開始有網友推薦這款螢幕,並且標示買到賺到,很多人以為挖到寶,於是開始把這訊息擴散出去

打開網頁一看,價格真的好便宜,329元就可以下單訂購螢幕,而且還有貨。

其實到這裡很多人已經開始起了疑心,不知道能不能拿到貨,但是有很多人抱著有試有機會的心態就直接下單了。

我們在 PChome 上搜尋同款商品的價格,一般售價是 3288 元,也就是說上面的網頁整整把產品打了 1 折在銷售,就算是福利品出清也很難有這麼低的折扣,不過部份網友看到價格就像斷了理智線,哪管得了去判斷這些事情

我們繼續往下看 …

 

事隔一天,知名論壇上面有網友發文表示已經下單但似乎無法再訂購,底下跟帖的的網友因為沒訂到而深感遺憾,但是事實上仍然可持續下單,不過站方至今仍未更改售價或發布相關公告。

我們實際測試下單流程,發現站方”貼心”的設計了貨到付款的選項,意圖在下單步驟降低網友的疑慮,有些人總是說「沒關係,貨到再付款就好,沒到也不會損失」,不過事實上如果在這步驟給了您的地址和聯絡資料,資料外洩算不算是損失呢?我們把訂購流程走完…

下單完成後系統就要你支付貨運費用了,雖然只要150元,但這150元將會讓你付出慘痛的代價。依照網頁上的連結點擊前往貨運付費系統

很簡易的付款畫面,看起來有模有樣,我們填入信用卡號產生器產生的虛擬卡號,其他資料完全任意輸入後發現…竟然可以通過檢測

如果隨便輸入信用卡號它還會嚇嚇你(只有卡號會驗證)。總而言之我已經完成了這筆交易,除了信用卡資料可亂填外,這之間還有其他疑慮嗎?有的。

回到剛才輸入信用卡號的網頁,網址列上完全沒有任何經過授權、驗證和加密的標示,也就是說你輸入的資料會直接送到對方的資料庫,而安全的信用卡交易系統會先將你的信用卡資料先行加密,接著送到擁有解密鑰匙的機構還原使用,中間就算被第三方攔截下來也無法解開內容。

下圖才是標準的信用卡交易系統應有的資訊,包括有 SSL 加密驗證、 SHA1 訊息驗證及 RSA 金鑰交換機制等等,最簡單的判斷方式可以看網址是否以 https 開頭,若沒有,那這個交易頁面100%有問題,答案已經很明顯。

如果你已經填入資料,請先打電話向發卡銀行掛失,並且像這位網友一樣跑趟銀行換發新卡吧!

總結這個案例,歸納出以下幾點:

  1. 不要貪小便宜,特價總會有個底
  2. 注意網路信用卡交易的潛在危險性,尤其留意加密傳輸
  3. 如果已經提交信用卡資料,請立刻、馬上掛失 

近期熱門 Facebook 詐騙案例:

Exit mobile version