作者jamupme (james)
看板Bank_Service
标题Re: [情报] 上次是国泰、这次是台新
时间Tue Feb 9 22:40:49 2021
近期有些银行用一次性简讯绑定装置的方式
只需要接受第一组OTP密码 绑定後就可以用这台装置自由转帐
我推测以下是近期诈骗集团的手法
请各位小心防范
首先只要让你进到假网站 一旦你输入帐号密码 几乎就上钩了
以下A是你在假网站的操作 B是犯罪集团的行动装置操作
A:请你按接收验证码以完成更新/验证/嘎啦嘎拉..(各种理由)
B:撷取你在假网站输入的帐密 登入真的银行APP
A:按下接收(发送)验证码
B:同步按下申请绑定装置的发送验证码
此时真的简讯验证码传到你的手机上
A:在假网站输入真验证码
B:同步得到真验证码=>绑定装置=>开始转钱
快的话可能3分钟内就能转到当日上限的金额
甚至最佳诈骗时机为接近跨日的时候 日期一转换 马上再转一天的限额
当然...简讯的连结我平常就死也不会点
但网路的连结要骗你进去的手法就很多元了...
诈骗集团只需要把你引导到"假网站" 就几乎得手8成
因为只要你相信这个是"银行"的网页
网页上要你做什麽你都会照做
请各位一定要多加注意
※ 引述《prussian (prussian)》之铭言:
: 帮忙宣导一下, 简讯网址不要乱点啊
: 看来还会有好几波,中国骗子真的很烦
: 以市占来看接下来可能是中信? 邮局?
: (内政部警政署 165 全民防骗网)
: https://165.npa.gov.tw/#/article/rumor/80
: 上次是国泰、这次是台新
: 发布日期:2021-02-05 20:05
: 更新日期:2021-02-05 20:11
: 上次是国泰、这次是台新
: 老手法乱枪打鸟
: 您可别误点击、也不要填输任何资料
: 诈骗网址恐一直更新变动
: 请睁大眼睛 OO 勿上当
: https://165.npa.gov.tw/images/E81F7D49A09C7DA445E3FCCAA8329817.png
: https://165.npa.gov.tw/images/3525E3BC2799108DB4D75BF7FF81ABCA.png
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 125.230.229.47 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1612881651.A.9BF.html
1F:推 temu2015: 所以简讯要看清楚 看到OTP简讯的每个字都要认真看 02/09 22:46
2F:推 prussian: 如果不取消简讯认证,至少要像约定帐户一样,隔天才生 02/09 22:47
3F:→ prussian: 效并寄生效通知,这样才有足够时间反应 02/09 22:47
4F:→ prussian: 简讯内容随便输入什麽都可以又没有验证机制,要玩中间 02/09 22:47
5F:→ prussian: 人攻击太容易了 02/09 22:47
6F:→ temu2015: 网站域名也是 简讯里的电话和网址都要先持保留态度 02/09 22:47
7F:→ prussian: 无法验证简讯和网站来源的话就像原po讲的,花言巧语骗 02/09 22:50
8F:→ prussian: 你唬你吓你去输入otp,中间人攻击都很容易 02/09 22:50
9F:推 now99: 绑定信任机制有问题啊,金管会还不下架 02/09 23:05
10F:→ now99: 短时间要改成 MobileID 或 AOTP 或 视讯签章 比较难 02/09 23:06
11F:推 banana321: 关闭非约定转帐好了 02/09 23:09
※ 编辑: jamupme (125.230.229.47 台湾), 02/09/2021 23:25:31
12F:→ jamupme: 我认真考虑关闭主要帐户的网路交易功能 留点零用金就好 02/09 23:29
13F:→ minijin: 「超时」是大陆用语吗?台湾通常都用逾时吧 02/09 23:57
14F:推 HMKRL: 超时有点支语没错 02/10 00:03
15F:→ HMKRL: 平常是用逾期或过期 02/10 00:04
16F:推 whocare96: 银行传送的简讯或邮件的连结绝对不要直接点击 02/10 00:24
17F:推 abccbaandy: 楼上,问题是银行常这样干阿... 02/10 00:27
18F:→ shengyong: 更改装置需要otp email 安全密吗(要求所有人要设) 02/10 00:33
19F:推 TZUYIC: 担心的话就复制贴上无痕式网页点击阿,看看在卖什麽药~ 02/10 00:34
20F:→ shengyong: 卡3关还笨到能丢 也不简单,希望出3重4重5重认证 02/10 00:34
21F:→ shengyong: 针对改装置加强,应该就能卡很多了,按到钓鱼也不怕 02/10 00:36
22F:推 carolchiou: XD这样没遇到钓鱼自己也不想用网银了吧 02/10 00:47
23F:推 vyvian: 我建议165应该建立一个诈骗网页黑名单,用浏览器外挂的 02/10 01:00
24F:→ vyvian: 方式发布出去,提供给民众自己安装。 02/10 01:01
25F:→ vyvian: 如果民众点到诈骗网页就会自动挡掉。 02/10 01:01
26F:→ vyvian: 类似Who's call的原理。 02/10 01:02
27F:→ usedata: 说实在银行放弃简讯行销就好了,让银行以後不要发简讯,这 02/10 01:13
28F:→ usedata: 样自然而然让人知道简讯的都是诈骗,不过银行不可能会放弃 02/10 01:15
29F:→ usedata: 它们恨不得多点管道来行销了怎麽可能舍弃 02/10 01:16
30F:嘘 lianpig5566: 不对吧 是要使用者懂得查证 怎麽变成要银行不发简讯 02/10 01:39
31F:→ lianpig5566: 诈骗电话很多 你就叫政府、银行不要打电话通知民众? 02/10 01:40
32F:→ lianpig5566: 行政文书也有伪造过的纪录 以後都不要公文往来了? 02/10 01:40
33F:→ prussian: 政府大多数时候都是寄信或email,没有那个美国时间打电话 02/10 01:41
34F:→ prussian: 你试试如何向2300万人宣导注意网址1Il0O的差别? 02/10 01:42
35F:→ flypenguin: 会被骗的怎麽会去装外挂 XD 02/10 01:43
36F:推 TZUYIC: 诈骗集团又不是这两天才有,不应该因噎废食,这样事情都不 02/10 01:44
37F:→ TZUYIC: 用做了。 02/10 01:45
38F:→ prussian: 反诈骗不在最聪明的人懂不懂,而是要让老妪都能解 02/10 01:45
39F:→ prussian: 如果一个机制很难分辨真假,改良也是必要的 02/10 01:45
40F:→ prussian: 无法改良自然就是换招,不然後果谁要承担? 02/10 01:46
41F:→ prussian: 被骗的人自己笨所以不需要诈欺罪吗? 这是两回事 02/10 01:47
42F:→ prussian: 宣导固然要作,机制可以改进的没有理由不作 02/10 01:47
43F:→ sydwuz: 把装置绑定之类的验证码改成回拨语音告知,前面加个警语 02/10 01:47
44F:→ prussian: 现在是卡在这个时间点尴尬,阻挡的需求先於介面友善 02/10 01:48
45F:推 cytochrome: 被骗的回去装盗版的外挂更惨 02/10 01:49
46F:→ flypenguin: 如果被解除绑定的装置会跳通知应该能第一时间发觉? 02/10 01:51
47F:推 a08155556: 至少改成每笔转帐都要OTP,不是绑定一次装置以後随便转 02/10 02:14
48F:→ ivanami: 如果已经被诈骗集团改成他门的电话,这样每笔都OTP也无用 02/10 02:18
49F:→ ayulovem: 会被骗的就是会被骗 因噎废食 讲再多会被说自私 02/10 03:02
50F:推 whocare96: 目前otp 修改都要用晶片卡认证,没那麽好改 02/10 03:13
51F:→ usedata: 重点是银行简讯分不出来啊!跟电话显示号码可改,结果宣导 02/10 04:00
52F:→ usedata: 半天诈骗还是居高不下,银行简讯号码不时跳来跳去,有人厉 02/10 04:01
53F:→ usedata: 害到可以事先分辩出真假吗?又会有人说那不要去点就好,那 02/10 04:03
54F:→ usedata: 不就跟现在提醒半天,银行不会用什麽电话打来一样,看看现 02/10 04:05
55F:→ usedata: 在有多少成效就知道了,简讯这种群发没特定性辩别方式的才 02/10 04:07
56F:→ usedata: 是最危险的,诈骗集团推成出新的诈骗不就是找各种弱点让人 02/10 04:09
57F:→ usedata: 人疏忽,这麽大的一个弱点不想改,人家不利用才怪 02/10 04:11
58F:推 PAYPASS: 不长脑被收割也是刚好而已 02/10 04:24
59F:推 jhay: 国外帐户转帐都要用photoTan 去扫码 然後输入产生码才能转 02/10 04:36
60F:→ jhay: OTP实在太容易被中间人窃取了 02/10 04:36
61F:→ jhay: 不过基本还是没有警觉 怎麽样的防护机制都会有人被骗 02/10 04:38
62F:→ usedata: 银行行销用简讯有多危险,除非不看不然留一下银行字样再 02/10 04:38
63F:→ usedata: 留个模拟二可的活动文字附连结,这样看很多人就会去点连 02/10 04:38
64F:→ usedata: 结,说实在这种缩网址连结要作文章的方法太多了;连在ptt 02/10 04:38
65F:→ usedata: 一些po图连结不用.jpg结尾,自己一般也不太想点进去看了 02/10 04:38
66F:→ usedata: 喔!尤其又写类似分众只有收到简讯的才有,这种分众活动 02/10 04:48
67F:→ usedata: 一般都无法用搜寻找到,所以简讯这次被诈骗集团利用,显 02/10 04:48
68F:→ usedata: 而易见迟早的事 02/10 04:48
69F:推 orange21: 我觉得啦,以後换机就要回网银或实体ATM取得装置认证码 02/10 07:30
70F:→ orange21: ,认证再後才可以进行非约定交易,每次都被这些诈骗集 02/10 07:30
71F:→ orange21: 团搞得很不方便 02/10 07:30
72F:→ ali210: 这件事跟前阵子各家网银app各种当机卡住有没有关联...? 02/10 07:43
73F:→ peterkan: 银行搞那麽久kyc了,还是一堆人头帐户 02/10 08:38
74F:推 mx5021: otp有的有前几码是英文让你确认是不是同一个操作动作 这 02/10 08:50
75F:→ mx5021: 样会比较安全吗? 02/10 08:50
76F:→ peterkan: 楼上依照台新受害人的案例,不会有比较安全。 02/10 08:58
77F:推 whocare96: 现在很多手机otp 收到以後键盘都直接带出数字,简讯 02/10 09:05
78F:→ whocare96: 内文有些人根本没在看 02/10 09:05
79F:推 akakapo: 银行应该要了解到,简讯OTP一点都不安全, 02/10 10:00
80F:→ akakapo: 是时候要想其他更安全的验证方式了 02/10 10:01
81F:推 banana321: 真的otp我觉得没有比较安全 02/10 10:06
82F:推 siopp: 就把主要帐户网路交易关掉就好了 02/10 10:08
83F:推 banana321: 数位帐户没办法线上关,似乎要打给客服 02/10 10:16
84F:推 nightA: 为什麽opt不安全啊 02/10 10:42
85F:→ nightA: 打错 是otp 02/10 10:42
86F:嘘 tomap41017: 留言好多北七XDDDDDD 02/10 11:14
87F:→ ericsg: OTP本身是安控机制 OTP是电信网路P2P安全得很 02/10 12:00
88F:→ ericsg: 不安全的是使用者y 02/10 12:01
89F:→ prussian: 传输安全和能不能确认对方身份是两回事 02/10 12:02
90F:→ akakapo: 当使用者让手机变得不安全成为多数时呢? 02/10 12:04
91F:→ ericsg: 讲错 企业简讯应该是A2P 02/10 12:04
92F:→ ericsg: 便利跟安全本来就是一体两面 02/10 12:08
93F:推 pio: 使用者自己的问题 跟印章被偷却怪用印章不安全一样 02/10 13:22
94F:→ RJYB: 自己不小心、不思考,出事怪他人?!凡事都要停看听,尤其 02/10 13:26
95F:→ RJYB: 是遇到有关钱的事。 02/10 13:26
96F:→ PAYPASS: 搞得各银行广发提醒mail、讯息、简讯 这些人真的很棒 02/10 13:40
97F:推 capacitor: 非约转应该每次要有OTP!不是绑定装置就可以无脑转, 02/10 15:27
98F:→ capacitor: 到底是谁发明这漏洞还沾沾自喜认为是新功能? 02/10 15:27
99F:推 osk2: 在资安的世界里,人就是最大的漏洞 02/10 15:32
100F:推 now99: 绑定装置为了省钱还有防止简讯otp转发,不过没料到用简讯ot 02/10 16:42
101F:→ now99: p绑定就不安全了 02/10 16:42
102F:推 keyman2: 可惜行动金钥.保镖.e码这类型绑定验证app没落了 02/10 16:56
103F:→ prussian: 除非可以将所有人提升到和你一样聪明,随时随地思绪清 02/10 17:15
104F:→ prussian: 晰,否则检讨受害人完全无用。防犯措施要考虑的是最糟 02/10 17:15
105F:→ prussian: 情况。更何况谁敢打包票自己遇到时百分之百不会被骗? 02/10 17:15
107F:→ usedata: 随便翻一下就能找到一封永丰的简讯做举例,用永丰自己官 02/10 20:02
108F:→ usedata: 网提醒公告都不会列出自己银行会有的所有网址了,这封简 02/10 20:02
109F:→ usedata: 讯自己警惕心高点还会去搜寻开头网址确定是永丰缴费网的 02/10 20:02
110F:→ usedata: 没错,但如果银行放短网址的话又有谁可以分辨,所以才会 02/10 20:02
111F:→ usedata: 说银行简讯根本不该放网址连结,一些银行自己一直以来放 02/10 20:02
112F:→ usedata: 连结让人习惯了,所以人收到有连结的简讯又无法辨别是假 02/10 20:02
113F:→ usedata: 的,难免会有人大意之下直接去点,这样假借银行的行销简 02/10 20:02
114F:→ usedata: 讯会不危险吗?? 02/10 20:02
115F:→ wawa69: 手法层出不穷,不愁鱼儿不上钩 02/11 00:03
116F:→ wawa69: 被骗汇款到国外,用到烂的招还是有人会中 02/11 00:04
117F:推 aspeter: 这个otp漏洞蛮强的,一般人会觉得otp很安全,就去输入帐密 02/11 01:47
118F:→ paimin: 绑装置比纯OTP还安全好吗?手机被木马侧录opt每次发也是 02/12 08:01
119F:→ paimin: 直接被转光光 绑装置才挡得住 只是太低估白痴使用者 会用 02/12 08:01
120F:→ paimin: 网银的人竟然被钓鱼网站骗走帐密而且还会被骗第二次的opt 02/12 08:01
121F:→ prussian: 这次出问题的是「绑定」的步骤,安全性而言和纯OTP一样 02/12 09:56
122F:推 ah11851152n: 诈骗简讯1月就有了 没有收到诈骗简讯 反而收到一堆银 02/13 02:08
123F:→ ah11851152n: 行反诈骗讯息 02/13 02:09