兼善天下的心情故事

        我今天寫這封意見書，主要是因為在今年四月時，誤信某簡訊而連結到釣魚網站。起初只想購物，輸入信用卡資料後卻導致短時間內遭多筆盜刷。雖然及時與銀行人員取得聯繫，告知應該為盜刷；但經報警、委由銀行當作爭議款處置數月後，銀行表示絕大多數被盜刷之款項無法追回，希望我繳清付款。

        在此反映此案件，望 主管單位善盡評鑑、督導之責。

1. 對於蘋果公司建置於iphone 手機之apple pay，個人發現有安全缺失，造成出乎本人意料之外的損失。

2. 本人遭盜刷的信用卡屬『聯邦銀行』。個人對其風險控管過程有所疑義，覺得相較於其他銀行更加寬鬆，使本人遭受更多損失。

前因後果：

        本人於今年手機合約到期，由中華電信(使用二十餘年)轉換為台灣大哥大。在轉換門號後幾天，正巧某日收到簡訊，內容大約是告訴我說「有中華電信的剩餘點數，希望近期盡快用掉」。

        由於時機湊巧，我也一時沒細想是否中華電信長期用戶可能有點數(畢竟以前沒注意過)，是否可能為詐騙訊息？再看加價購之物品價格不高、大約數百元，於是順手拿出信用卡(本文所提之聯邦銀行信用卡)，輸入卡號，然後照說明輸入收到之驗證碼，心想就是一般的單筆網購而已。

        誰知沒隔多久，手機跳出一筆上萬元的消費！我驚覺金額不對，該不會是被盜刷了？還在想要打電話給聯邦銀行客服，第二筆盜刷又出現了！金額更高、、、。

        一時完全不知發生甚麼事？盜刷集團怎麼可能連刷兩筆？因為我都沒收到第二筆驗證碼啊！

        台灣各大銀行客服一向難打，尤其適逢連假，人力更少。我焦急地打聯邦銀行客服，在等待客服接通過程，又持續有盜刷訊息傳入我手機，真是心亂如麻。

        後來我手機先響起，對方自稱是聯邦銀行風險控管人員(詳細職務我不記得，但大概是負責盜刷這方面的)，問我是否正在連續高額消費？

        我連忙說：「不是，我只是要網購而已，不知為何連續被盜刷？」

        對方馬上說，我應該是卡號被盜用了，會幫我終止刷卡。

        不過在我們通話過程，持續刷卡的訊號仍然在我手機響起。

        最後我總共收到七筆盜刷訊息。

        我不放心地問：「這樣已經終止刷卡了嗎？前面的錢會不會拿不回來？」銀行人員卻絲毫不鬆口；讓我隱約覺得大事不妙。

        銀行人員要我先去報案，他們會把盜刷款項先列為爭議款，暫不需繳款。但我去警察局報案時，警察卻愛理不理，希望我先跟銀行要各筆詳細消費明細、時間(精確到秒)方能報案。

        我只好再度致電銀行。客服表示確實的請款單位、甚至在國內或國外刷都還不清楚，更別說得知對方盜刷甚麼物品了！當時無法提供給我。客服還是希望我先跟警方報案。

        兩方推來推去，最後我只好求助於165詐騙專線。165接線人員問清原委，委婉地幫我先跟當地警察局通話後，警察才受理我的案件。

        此後數個月真是煎熬。銀行要我等待，先提供遭盜刷簡訊及相關資料、警方報案書等等；此外並要我簽下委任書，全權授權銀行代為向歹徒刷卡之商家說明原委。但我這段時間度日如年，因為資訊完全不透明，也無從查證，只能完全信任銀行說甚麼。

        最近銀行通知我，我遭到盜刷的七筆，只有其中一筆的商家沒在期限內回應銀行，所以他們對該筆消費止付。但是其餘六筆（在同一商家刷的），商家以當時盜刷者已經取走商品為由，不願認賠。所以這些錢我仍得付、、、約四十餘萬。

我要反映的問題：

之一：關於apple pay 存在的規則漏洞

        Apple pay鼓吹行動支付安全，我也一直都相信。而且我認為如同常理，一張信用卡只能綁在一隻手機上。要換手機時，就得先把舊手機的卡片刪掉，才能在新手機上綁定該張信用卡。

        以另一種第三方支付line pay為例，我有好幾張使用line pay有回饋的信用卡，我太太只有一張。

        我有次把一張我的信用卡先在我手機上移除，然後去綁在我另一隻公務手機上。當輸入卡號、及我手機上收到的驗證碼後，line pay顯示「這支手機號碼不是此信用卡所有者在銀行登記的電話，請去電銀行改電話」，所以我碰壁。

        但是我因此知道line pay有把關，信用卡只能本人、且限登記號碼的那一支手機才能使用，就算是我的第二支手機也不能用。

        我個人本來百思不得其解，「連續盜刷數筆」到底如何辦到的？經過銀行人員解說後，其實我被盜刷當天以為只是一般網路購物，結果詐騙集團是騙取我的卡號，OTP驗證碼(其實是綁定apple pay的驗證碼)，直接把這資料改綁在他的手機上（形同換綁在新手機），完全不需我同意、或需要我的舊手機上先刪除此信用卡才能執行、、、他就能另綁手機了。

        我原本手機上的這張卡就立即失效了，此後也不會再收到OTP驗證碼了！形同把那張信用卡無償轉送他人大刷特刷。

        這是apple pay設計上的大漏洞！不能說它自豪的安全密碼被破解，但絕對會讓詐騙集團有可趁之機。

        雖說是我自己誤上釣魚網站，須負絕大多數的責任，但apple pay仍是一個助長詐騙歪風的漏洞。金管會身為主管單位，應該大肆向民眾宣導，並且要求apple pay修正安全性！才能避免無知民眾受害。

之二：關於聯邦銀行的風險把關疑慮

        其次，提到我使用聯邦銀行信用卡的經驗。

        聯邦銀行是我出社會以來二十多年，持有第二久的信用卡銀行。它不能說表現前段班，網路上也有負評，但至少在我身上沒發生甚麼大問題，所以我未曾剪卡，迄今有四張聯邦信用卡。

        那天會被詐騙完全是出乎意料。自己貪小便宜、疏於細想固然是主因，也無法預期到會是海外盜刷消費。但整件事情發展到此，也讓我細想，如果我平日往來的銀行是另外一家，當天購物時選擇的信用卡是另一家銀行，同樣不幸遭受盜刷時，會不會讓我的損失更少？

        經過銀行人員解說，我才知道有詐騙集團利用apple pay設定上的漏洞來盜刷。只是我過去往來的銀行，當遇到不正常的大筆金額刷卡、或是海外異常刷卡時，多是先行擋下、傳簡訊(甚至來電)確定是否持卡人正在海外、或是正在大額消費，確定再放行。

        舉三家銀行，自身經驗如下：

例一，我2018年去泰國，因為沒帶現金，嚐試用元大信用卡在ATM機台試看看能否預借現金(泰銖)。因為沒經驗，ATM顯示提領失敗後，我竟然馬上接到元大銀行人員從台灣打來的電話，問我是否人在泰國？嚐試借錢？我尷尬地告知「是」。他們隨即告知我，在台灣未經申請，無法在海外借錢。

例二：我隔年去東南亞開會。回國後一周，手機突然出現一筆台新銀行消費訊息，看來是海外消費。我還沒打給台新客服，銀行便先來電詢問。我表明我目前已經回國一週，銀行即刻判定那是卡片被盜刷，可能是在海外被側錄了，會換新卡給我；不用擔心這筆盜刷款。

例三：最近我想購買某海外公司的雲端硬碟，需網路刷卡。我使用永豐銀行信用卡刷卡，顯示交易失敗(擋刷)；隨即收到永豐傳簡訊到我手機。大意是：

你是否正嚐試刷海外交易？

是的話，回傳簡訊AAA（舉例）+身份證末四碼

不是的話，回傳簡訊BBB+ 身份證末四碼

我傳回「是」之後，銀行再回傳簡訊，同意放行，請我十分鐘後再刷一次。

        雖說本次使用聯邦信用卡而遭詐騙情況與過去經驗不盡相同，歹徒情節也較為惡劣。但聯邦銀行卻是在人員與我通話之後，確定這一系列刷卡消費非我意願，整起事件發展到最後仍然讓詐騙集團得逞，只有最後一筆是因為對方商店沒有回應，所以不用我負責(根據銀行說法)；其餘盜刷完全無法阻止，仍需消費者負擔所有損失。

        這點讓我深感困惑與懊惱。

        我以為只要銀行方及時按下一個鍵，就能最大可能中止這個盜刷犯罪過程才對？然而迄今，所有無法阻止的盜刷，商家宣稱的損失，還是要消費者全額負擔？銀行內部完全不須檢討內部控管流程是否失當？問心無愧？

        家人最初罵我，安全警覺性太低的銀行，就不要再使用它家的信用卡了！想想也是。

        我在案件發生初期還告訴家人：「遇見盜刷，每家銀行反應應該都差不多啦！」現在卻寧願當天順手掏出來的信用卡，是平日把關比較嚴格的那幾家銀行們。這樣雖然我刷海外的款項時覺得會綁手綁腳、感到麻煩，卻至少不會在真正遇到詐騙時，眼睜睜看著連續被盜刷好幾筆卻無力阻擋，可能頂多被盜刷一筆就打斷了。

        當銀行都宣稱沒辦法阻止盜刷了，身為卡友的消費者能依靠誰？只能少用信用卡了。

望 金管會身為主管單位，應督促銀行強化風險控管，善盡監督之職，才能減少詐騙憾事一再重演。

註：金管會回信

金管會不會對單一案件作評論，會將民眾陳情案件轉交給當事者，吽該機構向民眾協調說明。最後結果也必須將副本上傳金管會。

補充：

112.9.13 聯邦銀行來電

        今天傍晚接到聯邦銀行來電，人員語氣不卑不亢。他客氣的說明自己是負責盜刷部分的人員。該銀行已經收到金管會轉寄，關於我陳情的信件，並就我提出的疑點，一一說明。

        他一開始講apple pay的設定。我打斷他說：「apple pay不是應該apple 公司回應嗎？怎麼是你在回應？」

        他說明，各銀行都各自與apple 開會商定apple pay 的使用範圍與權益。但因為蘋果生態鏈裡，iphone、ipad 和iwatch都可以使用apple pay (註：我此刻才知道原來不只iphone 可以做行動支付)。所以它們認定只要是同一人的行動裝置，其中手機綁定apple pay，其他沒sim卡的裝置也同樣可以刷卡。

        這就難怪apple pay當時沒完全認定是使用者擁有的手機才能綁定了。

        但對方又說，鑒於此類綁定盜刷案件越來越多，它們銀行在8/22 有開會(不知是與金管會、或是和apple？或所有銀行？)，以後對於apple pay的認證會趨嚴格，就是一定要原來信用卡所留的電話號碼的手機才能綁定apple pay。

        那我就插話問：「照你這樣講，我的案件如果是最近才發生，應該歹徒就不會得逞了？因為apple pay會確認不是卡片所有人的手機號碼、就無法綁定？」。他說「是」。

        但我聽起來，各銀行對於apple pay的把關嚴格程度還是不同。例如我記得台新、中國信託等銀行，就必須先打電話跟客服說，你手機要綁定apple pay，他確認你身分後才開放綁；有的銀行是如同一般綁卡一樣，只要輸入的卡號對、驗證碼通過，就順利綁成功了，想綁幾張都行。

        接著他和氣地說明，我對於聯邦銀行的風險控管有疑義部分。他說，他們銀行自詡有密切監控，對於我提出的三家其他銀行對於盜刷或疑似盜刷的案例反應，無論是(元大銀行)在海外試圖ATM借款；或是(台新銀行)突然收到海外盜刷、主動攔截；或是(永豐銀行)刷一筆海外的消費時先被擋刷，確定身分後再開放刷卡、、、、他說：「如果是你描述的這三種情況，我們銀行也會是一樣的做法。」

        對於我明指聯邦銀行風險控管不如其他銀行的舉例，客氣的澄清。

        但我反問：「那為何我被連續盜刷了好幾筆，你們才有反應？然後儘管有反應，卻還是讓歹徒刷了七筆？」他就沒正面回答我，只說各銀行都有自己的口袋黑名單，針對常被盜刷的店(例如海外賭博性網站、購物網站、高獲利套現產品的店家)都會監控，遇到可疑刷卡會及時處理。

        那我又問：「所以我運氣比較差？或是歹徒太厲害，挑選盜刷的店都剛好避開你們眼中常常被罪犯光顧的店就是了？？」行員就默認不語、、、

        那我還是不太爽。「我自己誤上釣魚網站，一定要負絕大多數責任。但我所遇過的別的銀行，多在可疑或是高額的第一筆、或是不符合消費者平日習慣的購物途徑，就先擋下再說。我最無法接受的，是你們已經知道我是被盜刷了，卻讓我被連續盜刷了七筆；最後一筆款項還是商家沒回應才作罷。你們還會覺得自己風險控管好嗎？」

        對方就很客氣地說，依據信用卡條款XX條、、、、、大意就是說，有些損失是有但書的。比方說你的ATM和密碼被拿走去提款、你的卡號及驗證碼都對，或是手機上有綁apple pay 成功、、、那些情況領到錢或刷卡，銀行會視同是正常交易，放行；萬一事後發現因此有損失，都不是銀行理賠的責任範圍。

        我就有點情緒來了，但還是試圖保持鎮定說：「譬如我看棒球賽來說，銀行是防守方，歹徒是攻擊方。但當我看球賽，別的隊伍頂多被連續打出一、兩支安打就中斷攻勢了，你們被連續打出六支安打，最後還是跑者自己失誤跌倒才終止攻勢。你們要聲稱自己是受過良好訓練的隊伍，我沒意見；但是我心裡會有自己的觀感，球隊實力還是有高下之分的。」

        他大概也知道我就是發洩情緒，靜靜聽我講；我事實上也只能這樣罵幾句，於事無補。

        我後來覺得對他發牢騷也無濟於事，說：「我知道你們是銀行政策，我也不想為難你這種基層員工；但是這樣發展，銀行完全沒有錯，也永遠不會虧錢，消費者很心灰意冷。」

       對方馬上澄清說：「我們所有處理盜刷案件的都是主管，不會是基層員工。我也是主管。我們銀行一向很在意消費者權益。」

       最後他很客氣說，「我們銀行已經盡了最大努力，能做的就是幫你減免國外刷卡的手續費。然後、、、不是歧視你，如果你資金調度規劃暫時有困難，我們可以讓你分期零利率，最多分三十期。」

       伸手不打笑臉人。我想想說：「算了，我只想早點結束和你們的關係。我趕快把錢還一還，之後把你家信用卡片剪光，帳戶關掉，永遠不再來往就是。」

        這是我最後所能做的，對銀行無關痛癢的抗議。