这个作法实际上对网络钓鱼一点用都没有。
还没有验证码之前,是这个样子
1.使用者输入卡号->钓鱼网站->真的网站
2.使用者收到OTP->钓鱼网站->OTP验证页面
3.钓鱼网站完成盗刷
多了验证码之后变成下面这样
1.使用者输入卡号->钓鱼网站->真的网站
2.钓鱼网站被导向验证页面,把上面的内容抓回来显示给使用者看
3.使用者收到OTP->钓鱼网站(有附加验证码的页面)->OTP验证页面
4.钓鱼网站完成盗刷
基本上钓鱼网站就是中间人攻击的角色,不论你机制怎么改,他都有资料。
改用passkey这种有抗网钓机制的作法才是正解。
※ 引述《pl726 (PL月见草)》之铭言:
: 亲爱的客户,您好:
: 本行自113年月6月中旬起,为强化网络交易安全,当持卡人于网络交易需验证OTP密码时
: ,本行所发送的OTP短信内容将新增一组【网页识别码】。请您于付款页面的四组识别码
: 中,点选与短信内容相符的识别码后,再输入OTP密码。上海银行提醒您,在输入OTP密码
: 前,务必详读短信内容及确认【交易币别及金额】,并应妥善保存信用卡相关资料不随意
: 提供予第三人,以防诈骗。
: https://i.imgur.com/9fgriSc.jpeg
: 注意事项:
: 若付款页面出现以下情形时,恐是钓鱼网页,请立刻停止交易,切勿输入OTP密码。
: 如有任何问题,请电洽本行客服中心。
: 1. 无【网页识别码】选项。
: 2. 有网页识别码选项,但要求输入4个英文字母,而非从4组选项中选1组相同者。
: 3. 有网页识别码选项,但选项内容错误或其他状况。
: ==============================
: 自己在7月初网络消费的时候有发现这个变动,
: 今天才收到上海银行的E-Mail正式通知。
: 现在刷上海卡的3D验证页面会有四组英文,
: 要选择跟OTP短信一样的英文,再输入验证码才算成功。
: 还没听说其他银行把程序改成这样,
: 也不知道这样是否就能降低盗刷诈骗的机会...XD