Re: [討論] 是銀行安全性有問題嗎
我沒有用richart,有點難想像richart轉帳不需要OTP。
可否請問richart可以用OTP綁定特定手機,
之後在綁定的手機上進行非約轉都不需要再用OTP驗證一次?
如果真的是這樣,這個情況有點有趣,這個機制不能說違反安控基準,但安全性相對較低吧。
如果"每一次"非約轉都必須要做一次OTP驗證,加上非約轉的單筆/每日限額,
要騙到幾十萬,對END USER來說,是滿誇張的 (一直操作OTP都不會覺得奇怪?)
但若只要騙到一次OTP進行裝置綁定,門檻就降低很多,畢竟網站做的跟真的一樣,
一般民眾根本不會去看domain name,也看不懂domain name的差異。
好多年前銀行公會有要求各銀行要去"管理"有沒有冒名自己的釣魚網站,
站在銀行的角度,我是覺得很扯,到底要怎樣才能去主動發現釣魚網站。
可是如果是銀行自己把安全機制設計的比較差,難道完全沒有責任,都是民眾的責任嗎?
符合安控基準應該只是電子銀行的最低標準,而非最高標準吧
※ 引述《ripple0129 (perry tsai)》之銘言:
: 整個流程是這樣
: 受害者到釣魚網站輸入帳密
: 釣魚網站馬上到真實銀行輸入帳密
: 這時候就會發OTP簡訊到受害者手機
: 受害者在釣魚網站輸入OTP
: 釣魚網站等同也拿到OTP能登入了
: 整個最大的問題是
: 為什麼每一筆轉帳沒有OTP
: 這是Richard的問題了
: 基本上我使用的銀行
: 每次轉帳都是需要再輸入OTP的
: 不過要Richard賠有點難
--
兆豐也沒OTP...
符合安控其實是很高的標準了,只是一般民眾的一點小錢只算
低風險,寧可方便就好
User責任在單筆轉帳五萬,畢竟帳號密碼一次OTP都給出去了,
但是暴衝到四十萬這三十五萬差距是驗證機制設計瑕疵,台新
要付很大的責任,現在上新聞這五萬是不是也凹台新吞了xd
而且還攻破轉帳限額單月二十萬,只因為限額by 帳戶不是by U
serId xddd
還好不是再跨月攻擊,不然可以爆衝到八十萬
其實滿多沒 OTP 的,合庫也沒 OTP...
手機綁定加生物辨識就不用otp啦
生物辨識間接驗證無法綁定手機,要過一次電信通路
目前好的解法就是走 mobile id 或 aotp
走 PKI 或 FIDO 也是一樣問題
FIDO UAF還是fishable, 要FIDO U2F或FIDO2才是射進來阻止
釣魚網站攻擊
...設計來....orz
4
有些人不懂認證機制,回文說說幾次OTP認證都沒有用使用者都會照輸入,是錯誤的認知。 釣魚簡訊網路第一次可以騙使用者認證碼是因為使用者要更新資料,第一次登入同樣要認證 。 今天如果轉帳有OTP認證就不會被盜,使用者登入假的網站後,假的網站用你的帳號去真的 網銀轉帳發OTP到你的手機,請問你沒有操作轉帳功能,你在假網站會再次輸入認證碼?18
首Po請見這篇文 最近有簡訊詐騙 使用者在釣魚網頁輸入身份證、帳密 再輸入OTP驗證碼 就會被詐騙集團提領出帳戶的錢 以前用線上ATM 都還要插自然人憑證或是金融卡4
整個流程是這樣 受害者到釣魚網站輸入帳密 釣魚網站馬上到真實銀行輸入帳密 這時候就會發OTP簡訊到受害者手機 受害者在釣魚網站輸入OTP
![Re: [討論] 是銀行安全性有問題嗎](https://i.imgur.com/xlCkPCdb.jpg02/10 "Re: [討論] 是銀行安全性有問題嗎")
74
[問題] 信用卡詐騙盜刷出庭問題謝謝大家,不好意思,已調整。 整理文章內容 原告:國泰世華銀行 被告:長輩 訴訟類型:民事![[問題] 信用卡詐騙盜刷出庭問題](https://i.imgur.com/ZJp0muFb.jpg "[問題] 信用卡詐騙盜刷出庭問題")
71
Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包首先感謝當事人和處理的資安專家分享細節, 讓大家可以在學到經驗,或許可以避免發生類似慘劇。 -- 回顧這件事,在目前的制度下, 唯一能完全預防的,就是別給任何人 OTP 密碼。![Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包](https://img.youtube.com/vi/SAjzDWviQao/mqdefault.jpg "Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包")
48
[心得] 出國記得帶一張otp能用email寄出的信用卡最近出國 有些東西要app綁定信用卡或上網刷信用卡 銀行一定寄otp認證 結果簡訊收不到 sim卡已換 好險帶國泰cube有email otp驗證44
[討論] 各行動支付綁定之相關心得看到OPEN錢包盜刷案件有立委要求綁行動支付的OTP簡訊必須明示是綁定支付之試刷 小弟我今天就把我手邊所有的掃碼行動支付及授權扣款APP都解綁再重新綁定 來看看各個支付的授權名稱做得如何 本次測試使用Richart VISA金融卡(BIN: 466726)進行測試 雖非信用卡 但應有相近之結果23
[問題] 玉山銀行主綁完成 無法設定共同綁定(已解決)手機排版敬請見諒 不好意思,想請教一些共同綁定的問題 我在使用玉山銀行的系統完成自己的綁定之後,想要將家人綁在我的名下 前往政府的網站 進行共同綁定,全程皆使用健保 OTP 簡訊認證 昨天晚上約莫 10 點左右 & 今天早上都顯示綁定失敗:![[問題] 玉山銀行主綁完成 無法設定共同綁定(已解決)](https://i.imgur.com/aUawPKSb.jpg "[問題] 玉山銀行主綁完成 無法設定共同綁定(已解決)")
8
[請益] 全家Family APP安全性問題今天用新手機不小心登錄舊的全家手機會員, 發現登錄成功後綁定的信用卡也會一併在新手機上, 請問這是正常的嗎? 因為印象中像街口如果新裝置登入會解除所有 綁定的信用卡跟銀行帳戶,應該所有第三方支付都會有![[請益] 全家Family APP安全性問題](https://i.imgur.com/wHMbOaDb.png "[請益] 全家Family APP安全性問題")