PTT評價

[情報] 上海銀行刷卡OTP簡訊新增網頁識別碼

看板creditcard標題[情報] 上海銀行刷卡OTP簡訊新增網頁識別碼作者
pl726
(PL月見草)
時間推噓16 推:18 噓:2 →:58

親愛的客戶,您好:

本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意提供予第三人,以防詐騙。

https://i.imgur.com/9fgriSc.jpeg


注意事項:
若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。
如有任何問題,請電洽本行客服中心。

1. 無【網頁識別碼】選項。
2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。
3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。


==============================


自己在7月初網路消費的時候有發現這個變動,
今天才收到上海銀行的E-Mail正式通知。

現在刷上海卡的3D驗證頁面會有四組英文,
要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。

還沒聽說其他銀行把程序改成這樣,
也不知道這樣是否就能降低盜刷詐騙的機會...XD

--
回到自己以前待過的地方,什麼事情讓你最吃驚?
1. 以前為你拉小提琴送別的女生,在學校一見面就給你一巴掌
2. 開朗活潑的兒時玩伴,一句話都不說就跟她弟弟私奔
3. 素不相識的小學女生,要你幫忙跟自己的朋友告白
4. 小時候給過你牛奶糖的大姐姐,變成班上的導師
5. 對你很好的班級委員,居然是陷害自己朋友的兇手

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 136.226.240.92 (臺灣)
PTT 網址

brokeback 07/19 16:49永豐也開始了

Friday 07/19 16:51識別碼的原理是什麼呢? 為何這樣能避免釣魚網站

Kazamatsuri 07/19 16:53之前有新聞了,這個算通知晚了

Kazamatsuri 07/19 16:54應該6月中大家都上線了

找到新聞了

https://www.cna.com.tw/news/afe/202405290371.aspx

前陣子用國泰、玉山、華南網購,OTP都還是純驗證碼 原來永豐也跟上了(只用AP刷Sports卡XD)  

※ 編輯: pl726 (136.226.240.92 臺灣), 07/19/2024 16:59:14

Kazamatsuri 07/19 16:57#1cLq5yco (creditcard) 5月底的新聞

Kazamatsuri 07/19 16:57至少我這陣子有線上刷卡發OTP的都有這個機制

Kazamatsuri 07/19 17:02我這陣子用台中銀刷也有選擇驗證碼的選項了

vyvian 07/19 17:06既然顯示於網頁上,表示釣魚網站就能抓到資料

vyvian 07/19 17:07所以一樣防不住釣魚網站,只是讓釣魚工作變麻煩而已

KAOKCH 07/19 17:09不,網頁識別碼技術是唯一的,詳細記錄該網站資訊,以

KAOKCH 07/19 17:09此辨識釣魚網站

vyvian 07/19 17:50使用者->釣魚網站->真的網站 這是輸入卡號階段

vyvian 07/19 17:50然後系統發送OTP給使用者,網頁導向驗證頁面。

vyvian 07/19 17:51釣魚網站可以拿到這個驗證頁面。再顯示給使用者看

vyvian 07/19 17:52所以一樣防不了網路釣魚

vyvian 07/19 17:53人家都要淘汰簡訊OTP了。我們還在用不安全的東西

sggs 07/19 17:54網頁驗證碼只有銀行跟使用者的簡訊有,釣魚網站要

sggs 07/19 17:54拿到要另外想方法

vyvian 07/19 17:56你輸入完卡號之後,就會跳去驗證頁面,上面就顯示

vyvian 07/19 17:57網頁驗證碼了,這不就被釣魚網站拿走了嗎?

vyvian 07/19 17:57因為你卡號就已經給了釣魚網站,他當然可以拿到

nanababa 07/19 18:24感覺比較不會被盜刷

cytochrome 07/19 18:48好的不學學一堆智障的東西

cytochrome 07/19 18:48以後乾脆叫使用者在刷卡授權驗證頁面手動輸入要刷

cytochrome 07/19 18:48的幣別和金額好了

cytochrome 07/19 18:48低能惡搞消費者的政策,愈活愈回去

jack168168tw07/19 19:42永豐也有

cityport 07/19 22:06一點用處都沒有的東西

cityport 07/19 22:26驗證碼如果用商家的名字,四個商家選一個,當你沒看

cityport 07/19 22:26到真實網站的名字,你就會知道中了釣魚網站,硬點下

cityport 07/19 22:26去就強制跳到聯信資料庫裡的網址,釣魚網站就釣不到

cityport 07/19 22:27國外都改成直接識別商家,台灣還在史前遺跡驗證碼

andy0055 07/19 22:31再怎麼防都防不了人心!萬惡之源[我以為]

Kazamatsuri 07/19 22:42商家不用OTP最好

flypenguin 07/19 23:42OTP 越來越浪費時間了…能不能導入綁定裝置確認就好

QQ5566 07/20 00:56討論資安沒用 太深入的東西沒人願意懂

Kazamatsuri 07/20 01:55叫商家跟支付不要再用OTP線上交易或綁卡啊~

aiyowaya 07/20 02:14就是要防止上次那個3d認證但還是被冒用的問題啊

aiyowaya 07/20 02:14但總覺得道高沒有魔高啦

terfd 07/20 12:46只是拖慢被釣的速度而已 乾脆回答10個問題才能付款

away612101 07/20 13:39畢竟太好用,只要OTP就能甩鍋,當然要爆改假裝安全

away612101 07/20 13:42商家怎麼可能不用,只要交易手續費沒差別

away612101 07/20 13:42連交易資訊都不用留,出事就只要一句,是OTP

cytochrome 07/20 14:06要求使用者挑選消費商家的名字真的是個好主意耶!

Kazamatsuri 07/20 14:09照某些邏輯 把驗證碼改為商家名一樣會被攔截釣魚啊~

paul40807 07/20 14:50永豐遇過啊

kaltu 07/21 02:04無法辨識opt是否有被攔截的機制一直改東改西到底有

kaltu 07/21 02:04什麼意義

kaltu 07/21 02:04現在的問題是opt只要被盜,銀行就會主動配合詐騙集

kaltu 07/21 02:04團出金

kaltu 07/21 02:04網頁識別碼這種識別刷卡商家的東西又不是主要問題,

kaltu 07/21 02:04而且擷取網頁識別碼又不是多難辦到的事情

kaltu 07/21 02:04與其搞手動opt不如把opt打包起來用手機的生物認證或

kaltu 07/21 02:04pass key

kaltu 07/21 02:04要消費的時候手機銀行App確認指紋或臉部掃描授權,

kaltu 07/21 02:04通過了才在後台用密碼學機制跟銀行回報通過,包含幾

kaltu 07/21 02:04點幾分哪個pass key裝置用什麼生物認證授權的,這樣

kaltu 07/21 02:04遠比隨便都被盜的opt更符合那什麼鬼「不可否認性」

kaltu 07/21 02:04概念和架構跟opt一樣唯一的差別是使用者從頭到尾都

kaltu 07/21 02:04不知道opt是多少,所以也根本沒有機會被盜走

kaltu 07/21 02:04而且因為這種opt一刻都沒有離開過銀行控制的系統(

kaltu 07/21 02:04簡訊、email、使用者的大腦、輸入的瀏覽器)這樣還

kaltu 07/21 02:04被盜就100%是銀行的鍋

kaltu 07/21 02:07沒手機的商業客戶也可以要求用預先綁定好的Windows

kaltu 07/21 02:07Hello之類的臉部IR和指紋

kaltu 07/21 02:07手動動態密碼這種東西真的該淘汰了

cytochrome 07/21 02:28樓上的構想很好,但基於個人資料保護及其他法規的

cytochrome 07/21 02:28大架構下,這涉及太多個人資料蒐集處理利用及與法

cytochrome 07/21 02:28遵的議題

cytochrome 07/21 02:28實際生活中,有些人手機裡留存就超過“一個人”以

cytochrome 07/21 02:28上的指紋了,大科技提供終端裝置對於“使用者人”

cytochrome 07/21 02:28的識別及驗證,在實際法律上是否具有足夠的不可否

cytochrome 07/21 02:28認性,在法律攻防上應該是個值得討論的主題,除非

cytochrome 07/21 02:28使用一樣會被詐騙集團濫用的(行動或實體)自然人憑

cytochrome 07/21 02:28證,經電子簽署後才具有不可否認性

cytochrome 07/21 02:28BTW,有人被詐騙集團叫去辦自然人憑證就真的跑去辦

cytochrome 07/21 02:28,辦完之後把卡片和密碼給詐騙集團,怪誰?