整个流程是这样
受害者到钓鱼网站输入帐密
钓鱼网站马上到真实银行输入帐密
这时候就会发OTP短信到受害者手机
受害者在钓鱼网站输入OTP
钓鱼网站等同也拿到OTP能登入了
整个最大的问题是
为什么每一笔转帐没有OTP
这是Richard的问题了
基本上我使用的银行
每次转帐都是需要再输入OTP的
不过要Richard赔有点难
作者:
now99 (陈在天)
2021-02-10 13:41:00旧设备绑定机制用otp验证绑定,之后交易都透过手机app和推播验证
我用其他家的都有,台新只是消费卡 只会用在pchome购物或者买车票 没啥用台新的转帐机会
作者:
nikolas (你花多少时间?)
2021-02-10 16:39:00这个案子 受害者的OPT没有绑手机 所以她没有输入OTPotp发去帐户 而帐户也被登入 所以才被盗转
作者: sunpc 2021-02-10 20:22:00
作者:
ssccg (23)
2021-02-10 20:44:00每笔转帐都要OTP难道不能再骗使用者输入一次? 都上当了哪有差几次的,二阶段验证的验证是对server去认client的用的使用者被钓鱼,就真的使用者,跟验证方式无关
作者: underwater (underwater) 2021-02-10 21:15:00
不管验证机制怎么样,被骗的人都照做号不是一样
作者:
ilv221 (Ming)
2021-02-11 00:32:00资安的议题本来就是 一半在系统一半在使用者的资安观念啊
作者:
ssccg (23)
2021-02-11 01:40:00钓鱼本来就不是靠资安机制,要靠资安教育啊
作者:
Abbee (阿比)
2021-02-12 18:14:00同意楼上