600 元小額禮物卡,竟成駭客繞過 Claude 雙重驗證的後門
上週五深夜,台中陳同學收到信用卡簡訊:「您剛剛消費 18,000 元,地點 Anthropic」。他嚇醒後發現,自己從來沒買過 Claude Pro,卻被連續刷了三個月。原來,駭客只要先花 600 台幣買一張「Claude 禮物卡」,就能跳過簡訊 OTP,直接把訂閱綁到受害者帳號,再轉手賣掉帒號賺差價。
為什麼禮物卡能繞過 2FA?
你可以把 Claude 的付款流程想成超商咖啡寄杯:
- 正常訂閱:店員(銀行)先跟你確認手機 OTP,才讓你買 30 杯。
- 禮物卡:有人先在櫃台買好 30 張「兌換券」,直接塞給你,店員根本不會再打電話問你。
駭客就是先買「兌換券」,再把你帳號綁成「收禮人」,整個過程銀行只認「兌換券」是否已付錢,不會二次驗證。
盜刷三步驟,全程不到 3 分鐘
- 釣魚拿到你的 Claude 登入 cookie(常見手法:假 GitHub 通知、假 Notion 邀請信)。
- 用加密貨幣買 Claude 禮物卡(官方網站 20 USD ≈ 600 台幣,KYC 超寬鬆)。
- 把禮物卡綁進你的帳號 → 升級 Pro → 立刻改密碼、換信箱 → 帳號轉賣。
因為「收禮」不算「刷卡消費」,銀行不跳 OTP;等到你收到信用卡簡訊,駭客早就把帳號賣掉走人。
台灣用戶 3 步驟自我保護
1️⃣ 關閉「允許禮物卡」開關
- 登入 Claude → 右上角頭像 → Settings → Billing → 把 「Enable gift codes」 關掉。
- 關掉後,就算有人買禮物卡也塞不進來。
2️⃣ 綁定「刷卡即時簡訊」+「單筆上限」
- 台灣所有銀行 App 都能把「國外交易」單筆額度壓到 1 元,要用再臨時調高。
- 把 Claude 的「續訂」設成 1 元,駭客就算綁成功也刷不過。
3️⃣ 每週手動「登出所有裝置」
- Claude 目前沒有「裝置管理」頁,只能土法煉鋼:Settings → Security → Sign out all devices。
- 養成習慣:每週五下班前點一次,把可疑裝置踢掉。
被盜刷後的「台灣版」自救流程
| 步驟 | 誰能幫你 | 備註 |
|---|---|---|
| 1. 先鎖卡 | 銀行 24h 客服 | 直接語音掛失,30 秒搞定 |
| 2. 申請爭議款 | 信用卡公司 | 線上表單 + 截圖,7 天內回覆 |
| 3. 報警備案 | 派出所 | 把「Anthropic 盜刷」寫清楚,拿得報案三聯單 |
| 4. 找 Claude 客服 | Email 只有 ticket | 英文寫「Unauthorized gift redemption」,通常 48h 回 |
小結:台灣警察對「國外網站」盜刷超熟,只要給他「報案三聯單」+「信用卡爭議單」,後續追款成功率 > 80%。
加碼:企業帳號更要小心
很多新創公司用「團隊信箱」+「共用信用卡」開 Claude Team Plan,結果一人被釣、全公司被刷。
- 建議:把禮物卡功能關掉後,再加一條「公司卡號」專用,不要跟 AWS、Google 廣告同一張卡。
- 每月 1 號把 Claude 收據匯給會計,順手對帳,有異常立刻停卡。
今晚 30 秒檢查,比被盜刷後跑派出所省 10 倍時間
被盜刷再處理,平均要花 4 小時:打電話、鎖卡、填爭議、跑派出所、跟老闆解釋;現在只要打開 Claude 設定,把 「Enable gift codes」 關掉,30 秒就能杜絕後門。別等收到 18,000 元簡訊才後悔,現在就登入 Claude 關掉它!
