Re: [情報] 上海銀行刷卡OTP簡訊新增網頁識別碼
這個作法實際上對網路釣魚一點用都沒有。
還沒有驗證碼之前,是這個樣子
1.使用者輸入卡號->釣魚網站->真的網站
2.使用者收到OTP->釣魚網站->OTP驗證頁面
3.釣魚網站完成盜刷
多了驗證碼之後變成下面這樣
1.使用者輸入卡號->釣魚網站->真的網站
2.釣魚網站被導向驗證頁面,把上面的內容抓回來顯示給使用者看
3.使用者收到OTP->釣魚網站(有附加驗證碼的頁面)->OTP驗證頁面
4.釣魚網站完成盜刷
基本上釣魚網站就是中間人攻擊的角色,不論你機制怎麼改,他都有資料。
改用passkey這種有抗網釣機制的作法才是正解。
※ 引述《pl726 (PL月見草)》之銘言:
: 親愛的客戶,您好:
: 本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時: ,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼: 中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼: 前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意: 提供予第三人,以防詐騙。
: https://i.imgur.com/9fgriSc.jpeg
: 若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。
: 如有任何問題,請電洽本行客服中心。
: 1. 無【網頁識別碼】選項。
: 2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。
: 3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。
: ==============================
: 自己在7月初網路消費的時候有發現這個變動,
: 今天才收到上海銀行的E-Mail正式通知。
: 現在刷上海卡的3D驗證頁面會有四組英文,
: 要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。
: 還沒聽說其他銀行把程序改成這樣,
: 也不知道這樣是否就能降低盜刷詐騙的機會...XD
--
這個方式只是要用戶再一次確認自己要刷什麼而已,不
是用來抗盜刷的,簡單來說就是銀行卸責用的
這本來就不是用來防釣魚
推原po 這就是防釣魚網站 但中間人什麼都拿得到 所
以完全沒用
純推passkey,不知為啥金融業都沒人用
台灣金融業跟主管機關基本沒腦子,才會搞這些花招
passkey 太貴了…
我們公司也說要用的人自己買,沒辦法申請!
再怎麼防也防不了自以為聰明的蕭癱巨嬰
passkey 國泰以前好像能自費申辦?
走FIDO2吧,passkey密鑰備份過不了安控基準
詐騙集團一律公開鞭刑後五馬分屍告誅九族最有效啦
其餘都是屁啦。
請立委繼續推動修法啊~XD
![[情報] 上海銀行刷卡OTP簡訊新增網頁識別碼](https://i.imgur.com/9fgriScb.jpeg "[情報] 上海銀行刷卡OTP簡訊新增網頁識別碼")
72
[問卦] 被詐騙六萬塊前陣子很紅的釣魚簡訊 我也中招了 馬上報警列爭議款 最近銀行發訊息說爭議款被駁回了 因為OTP驗證碼是自己填的 這六萬塊要自己吞了 幹![[問卦] 被詐騙六萬塊](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLje8A2mYb6__tF7oCSdwhgpI6Y6Dw-CaxAdWVpYKJWdRzZ34rVYDPjyaqrx0GWQjU9JgVCS8F-6v0Z5s2-5ZOmwLEatdBVmURgQLS2Ud0Zm15j5_CUFhzKO0dkXqp4337Tt0T-zosaxUTXkgJyGHmy7S0qdqxNtBx4aiZqjbIthER0O4M_MKRSLER/w1200-h630-p-k-no-nu/%E8%87%BA%E7%81%A3%E5%98%89%E7%BE%A9%E5%9C%B0%E6%96%B9%E6%B3%95%E9%99%A2_20120712.jpg "[問卦] 被詐騙六萬塊")
71
Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包首先感謝當事人和處理的資安專家分享細節, 讓大家可以在學到經驗,或許可以避免發生類似慘劇。 -- 回顧這件事,在目前的制度下, 唯一能完全預防的,就是別給任何人 OTP 密碼。![Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包](https://img.youtube.com/vi/SAjzDWviQao/mqdefault.jpg "Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包")
37
Re: [新聞] 盜刷新招 慎防1元消費簡訊這幾位苦主出事,並不是自己蠢到把OTP告訴別人 而是詐騙集團精心偽造出一個刷卡頁面(偽裝成某家第三方支付) 讓你刷卡後 再跑出偽造的3d驗證頁面 讓你乖乖把OTP輸入上去 這次的詐騙不是買什麼一頁式購物詐騙![Re: [新聞] 盜刷新招 慎防1元消費簡訊](https://i.imgur.com/BsrFc3qb.jpg "Re: [新聞] 盜刷新招 慎防1元消費簡訊")
18
[討論] 是銀行安全性有問題嗎請見這篇文 最近有簡訊詐騙 使用者在釣魚網頁輸入身份證、帳密 再輸入OTP驗證碼 就會被詐騙集團提領出帳戶的錢 以前用線上ATM 都還要插自然人憑證或是金融卡12
[討論] Google Pay 取得綁定驗證碼的方式剛在隔壁板看到有人的信用卡被綁到別人的手機的 GP 裡 延伸閱讀: #1Yqg1_8K (creditcard) 於是想到綁定 GP 時通常都是本人使用並傳驗證碼簡訊至本人的手機 但還有一種方式是撥打銀行客服索取綁定的驗證碼, 如下圖:![[討論] Google Pay 取得綁定驗證碼的方式](https://i.imgur.com/4WVrUnsb.jpg "[討論] Google Pay 取得綁定驗證碼的方式")
7
Re: [討論] 是銀行安全性有問題嗎我沒有用richart,有點難想像richart轉帳不需要OTP。 可否請問richart可以用OTP綁定特定手機, 之後在綁定的手機上進行非約轉都不需要再用OTP驗證一次? 如果真的是這樣,這個情況有點有趣,這個機制不能說違反安控基準,但安全性相對較低吧。 如果"每一次"非約轉都必須要做一次OTP驗證,加上非約轉的單筆/每日限額,4
Re: [討論] 是銀行安全性有問題嗎有些人不懂認證機制,回文說說幾次OTP認證都沒有用使用者都會照輸入,是錯誤的認知。 釣魚簡訊網路第一次可以騙使用者認證碼是因為使用者要更新資料,第一次登入同樣要認證 。 今天如果轉帳有OTP認證就不會被盜,使用者登入假的網站後,假的網站用你的帳號去真的 網銀轉帳發OTP到你的手機,請問你沒有操作轉帳功能,你在假網站會再次輸入認證碼?4
Re: [討論] 是銀行安全性有問題嗎整個流程是這樣 受害者到釣魚網站輸入帳密 釣魚網站馬上到真實銀行輸入帳密 這時候就會發OTP簡訊到受害者手機 受害者在釣魚網站輸入OTPX
Re: [問題] 信用卡被釣魚綁定三星pay盜刷OTP認證是目前最安全的認證方式 3D認證如果電腦記住你的認證密碼,電腦又被駭就可以被盜刷了 傳統卡號+有效日期+3碼檢查碼就更容易被盜刷了 如果沒有使用3D跟OTP認證,被盜刷持卡人不用負責 但如果使用3D跟OTP,則等同本人刷卡,被盜刷用戶要自己吞
![Re: [討論] 是銀行安全性有問題嗎](https://i.imgur.com/xlCkPCdb.jpg02/10 "Re: [討論] 是銀行安全性有問題嗎")
![[情報] CUBE卡有6%回饋券](https://i.imgur.com/4OznwxYb.jpeg "[情報] CUBE卡有6%回饋券")