一卡通導入行動身分識別，靠電信門號身分驗證強化電支交易安全

過去曾發生不法分子透過釣魚簡訊或假冒客服，引導用戶點擊造假網站並輸入OTP驗證碼，進而接管其電支帳戶，並在用戶不知情下完成裝置綁定或支付工具重設；另有一些案例是利用「換機登入」流程漏洞，在取得帳密後嘗試重新綁定裝置，導致受害用戶原有的金融設定遭解除，增加資金被盜刷風險。這些攻擊多半繞過傳統簡訊驗證的保護機制，使OTP逐漸暴露出易被攔截或誘騙的弱點。

在上述的詐騙手法中，由於電支帳戶仰賴帳密、OTP簡訊驗證，歹徒取得被害者的手機門號，就能以騙取得手的帳密、OTP簡訊驗證，在新的行動裝置上設定綁定被害人的電子支付帳戶，導致被害者遭盜刷。

一卡通為防範上述手法，原本設定iPASS MONEY用戶在更換行動裝置登入「一卡通iPASS MONEY」APP 時，系統會自動解綁「銀行帳戶」及「信用卡」等金融設定，並要求用戶重新進行綁定流程，如此一來雖然強化帳戶安全，但用戶汰換新手機就需要重新綁定銀行帳戶、信用卡，對用戶而言並不方便。

這次導入行動身分識別機制強化電支帳戶安全，一卡通形容此措施將傳統的數位驗證提升至「電信實體認證」。

新機制目前已導入一卡通旗下720萬電支用戶，透過TWCA Mobile ID，涵蓋中華電信、遠傳、台灣大哥大三大行動電信業者。當使用者汰換手機，將原有的個人SIM卡插入新的行動裝置，同意進行行動身分辨識，SIM卡即透過電信基地臺進行身分驗證，確認為本人操作後，原有的電支帳戶金融設定可直接延續，大幅降低用戶重新綁定設定的操作成本，同時減少遭詐騙集團利用帳戶冒用帳戶盜刷的風險。

在技術上，這項行動身分識別整合2個關鍵驗證機制。首先是「門號資料核實」，透過電信端即時比對用戶留存資料，以降低歹徒利用人頭門號進行詐騙或非法轉帳的可能性。

第二是「裝置確認（Mobile ID）」，以實體SIM卡作為認證憑證，讓帳戶與特定裝置進行物理性綁定。相較於傳統簡訊OTP驗證，此類電信驗證不易被釣魚網站或是中間人攻擊攔截，防護強度更高。

TWCA提供的行動身分識別服務，實際上是透過電信網路完成「人、門號、裝置」三者一致性驗證，成為近幾年金融與數位服務導入的重要防詐技術之一。此類機制也被視為補足OTP驗證不足的重要手段，適用於帳戶異動、裝置更換等高風險操作情境。

在既有資安架構上，iPASS MONEY也導入FIDO2無密碼驗證標準，以「身分」、「設備」與「行為」為核心的多重信任機制，目前已通過數發部數位信任場域驗證。新的措施導入電信級身分識別，再進一步提升電支帳戶的防詐機制。

未來將持續根據詐騙手法的態勢調整風控策略，導入進階資安技術。隨著電子支付用戶規模擴大，如何在用戶無感體驗下提升安全強度，已是數位金融服務競爭的關鍵。