Re: [情報] 上海銀行刷卡OTP簡訊新增網頁識別碼

看板 creditcard
作者 vyvian (vyvian)
時間 2024-07-19 18:06:03
留言 17則留言 (7推 2噓 8→)

這個作法實際上對網路釣魚一點用都沒有。 還沒有驗證碼之前,是這個樣子 1.使用者輸入卡號->釣魚網站->真的網站 2.使用者收到OTP->釣魚網站->OTP驗證頁面 3.釣魚網站完成盜刷 多了驗證碼之後變成下面這樣 1.使用者輸入卡號->釣魚網站->真的網站 2.釣魚網站被導向驗證頁面,把上面的內容抓回來顯示給使用者看 3.使用者收到OTP->釣魚網站(有附加驗證碼的頁面)->OTP驗證頁面 4.釣魚網站完成盜刷 基本上釣魚網站就是中間人攻擊的角色,不論你機制怎麼改,他都有資料。 改用passkey這種有抗網釣機制的作法才是正解。 : 親愛的客戶,您好: : 本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時 : ,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼 : 中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼 : 前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意 : 提供予第三人,以防詐騙。 : https://i.imgur.com/9fgriSc.jpeg
: 注意事項: : 若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。 : 如有任何問題,請電洽本行客服中心。 : 1. 無【網頁識別碼】選項。 : 2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。 : 3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。 : ============================== : 自己在7月初網路消費的時候有發現這個變動, : 今天才收到上海銀行的E-Mail正式通知。 : 現在刷上海卡的3D驗證頁面會有四組英文, : 要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。 : 還沒聽說其他銀行把程序改成這樣, : 也不知道這樣是否就能降低盜刷詐騙的機會...XD --
※ 批踢踢實業坊(ptt.cc), 來自: 163.22.18.21 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1721383565.A.340.html

lf2net4589 : 這個方式只是要用戶再一次確認自己要刷什麼而已,不 07/19 18:26

lf2net4589 : 是用來抗盜刷的,簡單來說就是銀行卸責用的 07/19 18:26

BlueBird5566: 這本來就不是用來防釣魚 07/19 18:41

kkkk1234 : 推原po 這就是防釣魚網站 但中間人什麼都拿得到 所 07/19 20:18

kkkk1234 : 以完全沒用 07/19 20:18

abccbaandy : 純推passkey,不知為啥金融業都沒人用 07/19 21:30

cityport : 台灣金融業跟主管機關基本沒腦子,才會搞這些花招 07/19 22:08

andy0055 : passkey 太貴了… 07/19 22:33

andy0055 : 我們公司也說要用的人自己買,沒辦法申請! 07/19 22:33

brokeback : 再怎麼防也防不了自以為聰明的蕭癱巨嬰 07/19 22:42

flypenguin : passkey 國泰以前好像能自費申辦? 07/19 23:41

now99 : 走FIDO2吧,passkey密鑰備份過不了安控基準 07/20 01:53

darkMood : 詐騙集團一律公開鞭刑後五馬分屍告誅九族最有效啦 07/21 03:54

darkMood : 其餘都是屁啦。 07/21 03:54

Kazamatsuri : 請立委繼續推動修法啊~XD 07/21 10:45

Friday : 詐騙就鞭刑,關起來做勞務還錢,還完才能出獄 07/22 14:45

Friday : 還完錢才放出來,保證詐騙會少很多 07/22 14:46

您可能感興趣