近期有些银行用一次性短信绑定装置的方式
只需要接受第一组OTP密码 绑定后就可以用这台装置自由转帐
我推测以下是近期诈骗集团的手法
请各位小心防范
首先只要让你进到假网站 一旦你输入帐号密码 几乎就上钩了
以下A是你在假网站的操作 B是犯罪集团的行动装置操作
A:请你按接收验证码以完成更新/验证/嘎啦嘎拉..(各种理由)
B:撷取你在假网站输入的帐密 登入真的银行APP
A:按下接收(发送)验证码
B:同步按下申请绑定装置的发送验证码
此时真的短信验证码传到你的手机上
A:在假网站输入真验证码
B:同步得到真验证码=>绑定装置=>开始转钱
快的话可能3分钟内就能转到当日上限的金额
甚至最佳诈骗时机为接近跨日的时候 日期一转换 马上再转一天的限额
当然...短信的连结我平常就死也不会点
但网络的连结要骗你进去的手法就很多元了...
诈骗集团只需要把你引导到"假网站" 就几乎得手8成
因为只要你相信这个是"银行"的网页
网页上要你做什么你都会照做
请各位一定要多加注意
※ 引述《prussian (prussian)》之铭言：
: 帮忙宣导一下, 短信网址不要乱点啊
: 看来还会有好几波，中国骗子真的很烦
: 以市占来看接下来可能是中信? 邮局?
: (内政部警政署 165 全民防骗网)
: https://165.npa.gov.tw/#/article/rumor/80
: 上次是国泰、这次是台新
: 发布日期：2021-02-05 20:05
: 更新日期：2021-02-05 20:11
: 上次是国泰、这次是台新
: 老手法乱枪打鸟
: 您可别误点击、也不要填输任何资料
: 诈骗网址恐一直更新变动
: 请睁大眼睛 OO 勿上当
: https://165.npa.gov.tw/images/E81F7D49A09C7DA445E3FCCAA8329817.png
: https://165.npa.gov.tw/images/3525E3BC2799108DB4D75BF7FF81ABCA.png

所以短信要看清楚 看到OTP短信的每个字都要认真看

如果不取消短信认证，至少要像约定帐户一样，隔天才生效并寄生效通知，这样才有足够时间反应短信内容随便输入什么都可以又没有验证机制，要玩中间人攻击太容易了

网站域名也是 短信里的电话和网址都要先持保留态度

无法验证短信和网站来源的话就像原po讲的，花言巧语骗你唬你吓你去输入otp，中间人攻击都很容易

绑定信任机制有问题啊,金管会还不下架短时间要改成 MobileID 或 AOTP 或 视讯签章 比较难

关闭非约定转帐好了

我认真考虑关闭主要帐户的网络交易功能 留点零用金就好

“超时”是大陆用语吗？台湾通常都用逾时吧

超时有点支语没错平常是用逾期或过期

银行传送的短信或邮件的连结绝对不要直接点击

楼上，问题是银行常这样干阿...

更改装置需要otp email 安全密吗（要求所有人要设）

担心的话就复制贴上无痕式网页点击阿，看看在卖什么药～

卡3关还笨到能丢 也不简单，希望出3重4重5重认证针对改装置加强，应该就能卡很多了，按到钓鱼也不怕

XD这样没遇到钓鱼自己也不想用网银了吧

我建议165应该建立一个诈骗网页黑名单，用浏览器外挂的方式发布出去，提供给民众自己安装。如果民众点到诈骗网页就会自动挡掉。类似Who's call的原理。

说实在银行放弃短信行销就好了,让银行以后不要发短信,这样自然而然让人知道短信的都是诈骗,不过银行不可能会放弃它们恨不得多点管道来行销了怎么可能舍弃

不对吧 是要使用者懂得查证 怎么变成要银行不发短信诈骗电话很多 你就叫政府、银行不要打电话通知民众？行政文书也有伪造过的纪录 以后都不要公文往来了？

政府大多数时候都是寄信或email,没有那个美国时间打电话你试试如何向2300万人宣导注意网址1Il0O的差别?

会被骗的怎么会去装外挂 XD

诈骗集团又不是这两天才有，不应该因噎废食，这样事情都不用做了。

反诈骗不在最聪明的人懂不懂，而是要让老妪都能解如果一个机制很难分辨真假，改良也是必要的无法改良自然就是换招，不然后果谁要承担?被骗的人自己笨所以不需要诈欺罪吗? 这是两回事宣导固然要作，机制可以改进的没有理由不作

把装置绑定之类的验证码改成回拨语音告知，前面加个警语

现在是卡在这个时间点尴尬，阻挡的需求先于接口友善

被骗的回去装盗版的外挂更惨

如果被解除绑定的装置会跳通知应该能第一时间发觉？

至少改成每笔转帐都要OTP，不是绑定一次装置以后随便转

如果已经被诈骗集团改成他门的电话，这样每笔都OTP也无用

会被骗的就是会被骗 因噎废食 讲再多会被说自私

目前otp 修改都要用芯片卡认证，没那么好改

重点是银行短信分不出来啊！跟电话显示号码可改,结果宣导半天诈骗还是居高不下,银行短信号码不时跳来跳去,有人厉害到可以事先分辩出真假吗？又会有人说那不要去点就好,那不就跟现在提醒半天,银行不会用什么电话打来一样,看看现在有多少成效就知道了,短信这种群发没特定性辩别方式的才是最危险的,诈骗集团推成出新的诈骗不就是找各种弱点让人人疏忽,这么大的一个弱点不想改,人家不利用才怪

不长脑被收割也是刚好而已

国外帐户转帐都要用photoTan 去扫码 然后输入产生码才能转OTP实在太容易被中间人窃取了不过基本还是没有警觉 怎么样的防护机制都会有人被骗

银行行销用短信有多危险，除非不看不然留一下银行字样再留个模拟二可的活动文字附连结，这样看很多人就会去点连结，说实在这种缩网址连结要作文章的方法太多了；连在ptt一些po图连结不用.jpg结尾，自己一般也不太想点进去看了喔！尤其又写类似分众只有收到短信的才有，这种分众活动一般都无法用搜寻找到，所以短信这次被诈骗集团利用，显而易见迟早的事

我觉得啦，以后换机就要回网银或实体ATM取得装置认证码，认证再后才可以进行非约定交易，每次都被这些诈骗集团搞得很不方便

这件事跟前阵子各家网银app各种当机卡住有没有关联...?

银行搞那么久kyc了，还是一堆人头帐户

otp有的有前几码是英文让你确认是不是同一个操作动作 这样会比较安全吗？

楼上依照台新受害人的案例，不会有比较安全。

现在很多手机otp 收到以后键盘都直接带出数字，短信内文有些人根本没在看

银行应该要了解到，短信OTP一点都不安全，是时候要想其他更安全的验证方式了

真的otp我觉得没有比较安全

就把主要帐户网络交易关掉就好了

数位帐户没办法线上关，似乎要打给客服

为什么opt不安全啊打错 是otp

留言好多北七XDDDDDD

OTP本身是安控机制 OTP是电信网络P2P安全得很不安全的是使用者y

传输安全和能不能确认对方身份是两回事

当使用者让手机变得不安全成为多数时呢？

讲错 企业短信应该是A2P便利跟安全本来就是一体两面

使用者自己的问题 跟印章被偷却怪用印章不安全一样

自己不小心、不思考，出事怪他人？！凡事都要停看听，尤其是遇到有关钱的事。

搞得各银行广发提醒mail、讯息、短信 这些人真的很棒

非约转应该每次要有OTP！不是绑定装置就可以无脑转，到底是谁发明这漏洞还沾沾自喜认为是新功能？

在资安的世界里，人就是最大的漏洞

绑定装置为了省钱还有防止短信otp转发，不过没料到用短信otp绑定就不安全了

可惜行动金钥.保镖.e码这类型绑定验证app没落了

除非可以将所有人提升到和你一样聪明，随时随地思绪清晰，否则检讨受害人完全无用。防犯措施要考虑的是最糟情况。更何况谁敢打包票自己遇到时百分之百不会被骗?

https://upload.cc/i1/2021/02/10/JFEARz.jpg随便翻一下就能找到一封永丰的短信做举例，用永丰自己官网提醒公告都不会列出自己银行会有的所有网址了，这封短信自己警惕心高点还会去搜寻开头网址确定是永丰缴费网的没错，但如果银行放短网址的话又有谁可以分辨，所以才会说银行短信根本不该放网址连结，一些银行自己一直以来放连结让人习惯了，所以人收到有连结的短信又无法辨别是假的，难免会有人大意之下直接去点，这样假借银行的行销短信会不危险吗？？

手法层出不穷，不愁鱼儿不上钩被骗汇款到国外，用到烂的招还是有人会中

这个otp漏洞蛮强的,一般人会觉得otp很安全,就去输入帐密

绑装置比纯OTP还安全好吗？手机被木马侧录opt每次发也是直接被转光光 绑装置才挡得住 只是太低估白痴使用者 会用网银的人竟然被钓鱼网站骗走帐密而且还会被骗第二次的opt

这次出问题的是“绑定”的步骤，安全性而言和纯OTP一样

诈骗短信1月就有了 没有收到诈骗短信 反而收到一堆银行反诈骗讯息