PTT評價

Re: [情報] 上海銀行刷卡OTP簡訊新增網頁識別碼

看板creditcard標題Re: [情報] 上海銀行刷卡OTP簡訊新增網頁識別碼作者
vyvian
(vyvian)
時間推噓 4 推:6 噓:2 →:7

這個作法實際上對網路釣魚一點用都沒有。

還沒有驗證碼之前,是這個樣子

1.使用者輸入卡號->釣魚網站->真的網站

2.使用者收到OTP->釣魚網站->OTP驗證頁面

3.釣魚網站完成盜刷

多了驗證碼之後變成下面這樣

1.使用者輸入卡號->釣魚網站->真的網站

2.釣魚網站被導向驗證頁面,把上面的內容抓回來顯示給使用者看

3.使用者收到OTP->釣魚網站(有附加驗證碼的頁面)->OTP驗證頁面

4.釣魚網站完成盜刷


基本上釣魚網站就是中間人攻擊的角色,不論你機制怎麼改,他都有資料。

改用passkey這種有抗網釣機制的作法才是正解。



※ 引述《pl726 (PL月見草)》之銘言:
: 親愛的客戶,您好:
: 本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時: ,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼: 中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼: 前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意: 提供予第三人,以防詐騙。
: https://i.imgur.com/9fgriSc.jpeg

: 注意事項:
: 若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。
: 如有任何問題,請電洽本行客服中心。
: 1. 無【網頁識別碼】選項。
: 2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。
: 3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。
: ==============================
: 自己在7月初網路消費的時候有發現這個變動,
: 今天才收到上海銀行的E-Mail正式通知。
: 現在刷上海卡的3D驗證頁面會有四組英文,
: 要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。
: 還沒聽說其他銀行把程序改成這樣,
: 也不知道這樣是否就能降低盜刷詐騙的機會...XD

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 163.22.18.21 (臺灣)
PTT 網址

lf2net4589 07/19 18:26這個方式只是要用戶再一次確認自己要刷什麼而已,不

lf2net4589 07/19 18:26是用來抗盜刷的,簡單來說就是銀行卸責用的

BlueBird556607/19 18:41這本來就不是用來防釣魚

kkkk1234 07/19 20:18推原po 這就是防釣魚網站 但中間人什麼都拿得到 所

kkkk1234 07/19 20:18以完全沒用

abccbaandy 07/19 21:30純推passkey,不知為啥金融業都沒人用

cityport 07/19 22:08台灣金融業跟主管機關基本沒腦子,才會搞這些花招

andy0055 07/19 22:33passkey 太貴了…

andy0055 07/19 22:33我們公司也說要用的人自己買,沒辦法申請!

brokeback 07/19 22:42再怎麼防也防不了自以為聰明的蕭癱巨嬰

flypenguin 07/19 23:41passkey 國泰以前好像能自費申辦?

now99 07/20 01:53走FIDO2吧,passkey密鑰備份過不了安控基準

darkMood 07/21 03:54詐騙集團一律公開鞭刑後五馬分屍告誅九族最有效啦

darkMood 07/21 03:54其餘都是屁啦。

Kazamatsuri 07/21 10:45請立委繼續推動修法啊~XD