擁有600萬會員的電子支付平台「全支付」(PxPay Plus),近期爆發了多起盜刷案,一名用戶在外送平台Foodpanda上綁定的全支付帳戶遭駭,短短時間內被連續刷走20多筆交易,損失金額超過新台幣8萬元,甚至根本追不回來。更令人擔憂的是,暗網上疑似出現了全聯及全支付的相關會員或管理員資料庫在兜售,讓這起事件的資安疑雲迅速升溫。
全支付被盜刷20筆、資料都刪除,8萬存款恐追不回
一名網友在Threads上表示,駭客利用其綁定的全支付及銀行帳戶進行盜刷,短短時間內在Foodpanda上進行了20多筆交易,金額總計超過8萬元。當原PO向Foodpanda文字客服反應,客服也回應「帳號從來沒有交易紀錄,盜用帳號的人把所有資料都刪除」。
此外,因為原PO是「綁定玉山銀行帳戶」作為付款方式,再把全支付授權到Foodpanda帳號作為付款工具,因此向玉山銀行反映時,被告知款項難以追回,「因為已經扣款了」。原PO表示,全支付、銀行以及Foodpanda三方之間互推責任,導致求償困難,目前已報警處理。
原PO提醒,「非常可怕的是…我確定我沒有點任何連結,包括信件、簡訊,我連疑似詐騙電話都沒有接,所以大家真的要提高警覺!」
全支付「釣魚網站」詐騙
貼文更有人留言分享,自己是點了全支付「釣魚網站」被騙,「苦主在此⋯ 收到繁體中文的E-mail,沒仔細評估就按下連結,輸入全支付資訊,帳戶裡的2萬多元被盜刷(已165報案) 希望不要再有人受騙了」。
也有網友在Threads指出「一定記得收信檢查寄件人E-mail」,詐騙集團用某種手段拿到全支付客戶的email清單,發釣魚信給所有客戶,被信件釣到的全支付客戶點釣魚信上的網頁進去,寫了驗證碼等等的重要資訊導致被盜刷,「全支付的過失是洩露email,但看信不檢查就點連結填個資的消費者也是要付一點責任」。
暗網買的到全支付用戶的個資?
社群傳出:全聯/全支付的會員資料庫在暗網上販售
詐騙集團疑似透過釣魚攻擊瞄準其超過600萬的會員,有網友分享到Threads表示,有知名投資人透過 Telegram 群組發佈警告資訊,稱「全聯/全支付的會員資料庫(DB)已在暗網上售賣」,原PO提醒,「剛看到有人喊暗網有在販售全聯/全支付的使用者資料庫,包含信用卡……看來是整個資料庫洩漏了」。
根據東森新聞報導,資安專家劉彥伯表示,「大概在幾個月前PXPay的一個測試環境,相關的(人員帳號)權限,還有一些(數據)環境,事實上在暗網上都已經被披露出來,去推測是不是有可能,是支付平台業者(全支付),他們在前陣子一些測試帳號,環境(數據庫)外洩情況,所以導致這次的資安事件。」資安專家懷疑,是駭客在做攻擊前測試,鎖定的是哪個平台,警方仍在調查。 (相關報導: 全聯用「全支付」綁信用卡沒回饋!內行曝付款用這2招最划算,很多人不知道 | 更多文章 )
全支付回應
全支付發布聲明表示,近日社群網路出現多則不實貼文及未經查證的言論,對全支付品牌進行不負責任的詆毀行為。
全支付澄清,相關貼文內容並非事實,例如所謂暗網銷售相關個資,經每筆查詢皆為各種個資拼湊而成,錯誤百出,例如有男性資料身分證第一碼為2者,所謂資料身分證號碼與個資實際無關,另資料部分顯示為簡體字等,以上種種對公司及員工名譽造成不當損害,同時提醒轉載不實暗網銷售相關個資可能已構成犯罪行為。
針對不實言論部分,全支付已載取相關社群畫面,將保留依法進行告訴權利,呼籲社群已轉載人員立即刪除相關文字,也呼籲外界勿再散播、轉傳或引用不實資訊,以免觸法。
同時,針對近期媒體報導的詐騙事件,全支付說明,該事件為外部詐騙集團近期假冒多家知名品牌或金融機構名義,製作極為相似的釣魚網站或傳送假活動連結,引導民眾輸入個資、OTP驗證碼或信用卡資料,進而造成盜刷等損失。此事件與全支付系統安全無關,更非全支付資料外洩所致。
