楼主:
ljf0030 (小小工程师)
2021-02-11 11:21:27有些人不懂认证机制,回文说说几次OTP认证都没有用使用者都会照输入,是错误的认知。
钓鱼短信网络第一次可以骗使用者认证码是因为使用者要更新资料,第一次登入同样要认证
。
今天如果转帐有OTP认证就不会被盗,使用者登入假的网站后,假的网站用你的帐号去真的
网银转帐发OTP到你的手机,请问你没有操作转帐功能,你在假网站会再次输入认证码?
这次苦主晚上8点登入完,11点多才被盗领转帐,转帐多一个认证码,这个盗领根本不会成
功。
这个跟被诈骗自己操作把钱转出去行为是不一样的,所以根本是银行本身网银转帐的安全机
制没作好的漏洞才出现的问题。
※ 引述 《vi000246 (Vi)》 之铭言:
作者:
nikolas (你花多少时间?)
2021-02-11 11:28:00我也很纳闷 一堆人还笑 使用者智商问题 明明就机制太烂
作者: ALiangLiang (阿良良) 2021-02-11 11:29:00
OTP啦
作者:
nikolas (你花多少时间?)
2021-02-11 11:32:00而且这里还是软件版 都软件工程师
作者: sunpc 2021-02-11 12:49:00
OTP终究还是fishable,钓鱼手法推出新,能被钓鱼攻击攻破的机制就是这样,难道说你输入OTP错误或timeout,就骗不到人再输入一次吗?
作者:
atpx (秋雨的心情)
2021-02-11 13:38:00相信我, 真的想钓, 他可以用各种各样的理由让user再输入一次
资方本来就没有100%防护,我们就是要努力达到100%不是说反正做90%一样会被骗做80%就好防护高,被骗机率就是会下降,还是会有人被骗但是人数会降低
诈骗集团花样很多啦 跟你讲说前次验证失败请你重新输入 或是用一些复杂的文字骗你要再次验证 有些麻瓜使用者就傻傻填两次了
作者:
tsao1211 (Sunday)
2021-02-11 15:24:00有些人到现在还看不懂是怎样被骗的
作者: hiiir5566 2021-02-11 18:53:00
原po有去银行做资安的潜力,不用考虑其他面向
作者:
lspci (awk sed echo)
2021-02-13 23:11:00事后诸葛文你怎么不说每次转帐要输入三次otp确定是本人转帐