请见这篇文
http://tinyurl.com/3rta3buv
最近有短信诈骗 使用者在钓鱼网页输入身份证、帐密
再输入OTP验证码 就会被诈骗集团提领出帐户的钱
以前用线上ATM 都还要插自然人凭证或是金融卡
最近简化成只要身份证、帐密就能登入并转帐
加上使用者开通非约转帐功能
一天就能转出十万 跨日能再转十万
这应该是使用者要自己注意吧
毕竟钓鱼网页也行之有年了 会用到网银的也通常都是年轻人
银行端如果要加强安全性 也只能把网银下架
继续用传统插卡验证了
大家觉得银行会因为这件事改变做法
让网银多加几层验证吗?
作者:
now99 (陈在天)
2021-02-10 13:31:00绑定信任载具采用短信otp,这段改掉就好
手机转帐吧,想要方便,验证机制就不能太麻烦原PO说的我也用过,要有电脑、读卡机、金融卡浏览器还要常常更新元件
作者:
alihue (wanda wanda)
2021-02-10 13:34:00不会多加吧,走回头路干嘛每日上限这道坎就让风险保持在一个低点了
作者:
leptoneta (台湾高山族自治区书记)
2021-02-10 13:35:00手机短信验证码 很多网银都用这一步当验证吧哪需要插卡和读卡机
转帐要手机验证码阿是说能用网银app为什么要在手机上面硬开网页
@now99 这是在说使用者在假网站输入OTP那些, 短信otp对这没帮助.如果银行公会自己有RootCA,银行和金融机构都需要用那签发出来的cert., 那样可以写浏览器插件来帮用户验证吧
帐密被盗 哪个会员系统都一样 银行只要求双因 就是otp装绑一因子 转帐再生物辨识 就能出去了除非金管会强制金流交易一定要过otpotp一样也能转出去 被骗的user一样能提供otp码
作者:
jack0204 (Jarbar王朝)
2021-02-10 14:55:00限制再多也一样,整个流程都是user自己给资料,没的防
作者:
bill0205 (善良的小孩没人爱)
2021-02-10 15:05:00无论加什么机制都不是重点了 觉得已经是使用者智商要提升才能解决不然加再多user自己提供认证机制 那有用吗
有差喔,使用者有没有做转帐动作差很多,要骗到人转帐这种才是没办法,本人自己转出去的
被钓鱼OTP也是没用吧 除非短信直接带网址回正确网页?
作者:
rotalume (rotalume)
2021-02-10 15:49:00短信带回网址就会回到网址是否是真正网址的循环
一堆银行都推老人家用网银阿 然后家人不懂问年轻人家里有些老人家看到那些钓鱼短信根本没能力分辨好吗
作者:
ssccg (23)
2021-02-10 20:39:00@leicheong 银行公会当然有RootCA,你以为使用者想用凭证?其实最不在意安全的就是使用者,方便大于一切被钓鱼再怪资安,其实钓鱼跟资安没什么关系,会被骗的人再复杂的流程都会被骗着去做啊,看看去ATM转帐送钱的
帐密连OTP都给了,那就跟本人一样了阿~这根本没办法防吧
作者:
stock999 (史托克柰褦錼)
2021-02-11 00:13:00我一天只能转5万。转帐都会通知。
作者: nicetw20xx (哇爱台湾) 2021-02-11 00:30:00
好奇为什么渔父会知道电话使用者的银行
作者:
SaltC (真理守护者)
2021-02-11 00:58:00sudo做一次,root永留存。
作者:
ssccg (23)
2021-02-11 01:40:00不用知道啊,钓鱼就是多撒饵,总会碰到刚好能上钩的鱼
作者:
ILYY (毅力)
2021-02-11 01:44:00我都跟家人说只要是短信连结就不要点
作者:
chuegou (chuegou)
2021-02-11 01:52:00讲到网页 联邦的app是把我导向他们的网页
作者: rebuildModel (重新建构) 2021-02-11 02:57:00
台湾的法律对犯罪者来说是毫无压力造成的,如果这类诈骗一律改成满清十大酷刑凌迟至死,由车手到首脑一律同罪,保证很快就没有这类犯罪了。台湾法律真的是为犯罪者而设立的,而人民也很喜欢没意见呢都没有政党敢主打杀光犯罪者的主张吗? 太可惜啦
作者:
taipoo (要成功要积极)
2021-02-11 06:54:00有OTP,我觉得还算安全
作者:
spfy (spfy)
2021-02-11 07:12:00欸不是 法律有比例原则阿 连我法盲都知道
有OTP就表示是user自己的问题啊银行怎么知道操作app的人是不是本人
作者:
mathrew (Joey)
2021-02-11 09:30:00人的问题,系统再强也没用智慧型手机是给有智慧的人用的
作者: guanting886 (Guanting) 2021-02-11 09:58:00
我觉得可以做一个假网站发短信给长辈亲戚做测试..登入后提示他们不要相信来历不明的短信XD
作者:
nikolas (你花多少时间?)
2021-02-11 10:25:00APP绑定特定手机型号 这样至少多一个机制防止别人登入
作者:
bill0205 (善良的小孩没人爱)
2021-02-11 10:28:00G大 那样很像某些公司IT会干的事情XDDD真的就是...使用者智商要提升 不然再好再严谨的防护都无效 但很多人不愿意承认自己智商低...
作者:
nikolas (你花多少时间?)
2021-02-11 10:32:00这案例不是智商问题吧 是机制没设计好转帐没通知才被转走
作者:
atpx (秋雨的心情)
2021-02-11 13:32:00不管你怎么设计, 使用者都会有不知情被诈骗操作的风险就算不要上网不用ATM临柜领, 一样会有汇款给美军男友的状况转帐通知user不看也没用
作者:
es8603 (绯色之翼)
2021-02-12 10:09:00有新的绑定信任载具的时候会通知旧手机示警吗?虽然只是补救,至少多点时间通知银行做管控而不是等到发现钱被转了才知道
作者: s860355 (小宏) 2021-02-13 15:00:00
g大说的假网站,就现在很多公部门跟银行对员工做的事情