作者vi000246 (Vi)
看板Soft_Job
标题[请益] 网银很好骇吗?
时间Thu Nov 12 11:54:23 2020
看到这篇新闻
https://news.ltn.com.tw/news/society/breakingnews/3349255
有人说他网银自动转出几十万 周遭朋友也有人被盗
警察说可能是手机被骇
我觉得这跟软工版比较有关 发在这边讨论
想问手机的网银很好骇吗
以我用过的几个网银
都是输入帐密就能登入 也没有记忆帐密的功能
新闻写说有开启生物辨识
难道生物辨识是个漏洞?
待在银行界的朋友有听到相关消息吗?
还是只是这报案民众在乱掰?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.248.88.1 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1605153265.A.04D.html
※ 编辑: vi000246 (60.248.88.1 台湾), 11/12/2020 11:55:06
1F:→ fishloveeat: 可能跟他小孩有关 11/12 12:02
2F:推 geroge0820: 小秘密被骇 11/12 12:26
3F:推 king22649: 最大的漏洞是人 11/12 12:29
4F:推 alihue: 不是网银吧 通常是 client 被第三方软体偷到帐密之类的 11/12 12:30
5F:→ alihue: 如果是网银,通常是通案早就大乱了 11/12 12:30
6F:→ meowyih: 乱掰不至於, 但是甚麽都扯 "骇客" 有点好笑, 通常都是自 11/12 12:31
7F:→ meowyih: 己的问题 11/12 12:31
8F:→ alihue: 新闻说朋友很奇怪,最好那麽刚好机率大到都是你朋友发生 11/12 12:33
9F:→ alihue: ,然後侧录资料方面在 app 比较难发生,安卓苹果应该早就 11/12 12:33
10F:→ alihue: 挡了,我猜可能是被小孩偷转等机率比较大 11/12 12:33
11F:→ alihue: 或是出事的是网页版,因为很多钓鱼extension 会偷 11/12 12:35
12F:→ alihue: session cookie 11/12 12:35
13F:→ alihue: ig 被盗通常都是装 extension 惹的祸 11/12 12:35
14F:推 now99: 简讯转发/远端遥控手机之类的,等警方公布详细讯息吧 11/12 12:44
15F:→ now99: 就算启用生物间接辨识,还是可以改用密码图形锁绕过啊 11/12 12:45
16F:推 sniper2824: 要是这麽好盗早就爆开了 11/12 13:05
17F:推 newnovice: client通常是最大问题 11/12 13:49
18F:推 RINPE: fb最好骇了XDD 三不五时就有人出来说帐号被盗 才发些反社会 11/12 14:23
19F:→ RINPE: 的言论 11/12 14:23
20F:推 jack0204: 最常出现的就是中国了,小孩各种刷爆都说被盗 11/12 15:04
21F:→ stillcolor: 网银被骇 vs. 帐号被盗,是完全两码子事 11/12 15:53
23F:→ det6875: 转走这麽多应该是连手机都被改了? 11/12 19:19
24F:→ ssccg: 网银的生物辨识都只是方便不用输密码,并没有增加安全性 11/12 20:15
25F:→ ssccg: 要强制2-factor的生物辨识才有差,不过密码被改了生物辨识 11/12 20:17
26F:→ ssccg: 没失效这点明显有问题 11/12 20:18
27F:→ ssccg: 基本上网银安全性就一个帐密,就最低等级的安全性,但是转 11/12 20:19
28F:→ ssccg: 帐到非约定帐号应该需要另外OTP 11/12 20:20
29F:→ abccbaandy: 非约不是都有双验证? 我怎麽记得是规定... 11/12 20:52
30F:推 mathrew: 反正自己的问题都先怪骇客就对了 11/12 21:10
31F:推 simon1203: 银行後端应该都有纪录 调出来查一下就知道问题出在哪 11/12 21:18
32F:→ simon1203: 了 11/12 21:18
33F:推 atpx: 没那麽简单, 要转钱要有2阶段验证, 不管是另外打密码还是 11/12 21:51
34F:→ atpx: 指纹还是OTP, 反正不会是光能登网银就转得出去, 这些都是基 11/12 21:51
35F:→ atpx: 本的保护措施, 而且是规定 11/12 21:52
36F:→ atpx: 网银就算被骇也动不了核心帐务, 要转帐还是会另外检查约定帐 11/12 21:54
37F:→ atpx: 号 11/12 21:55
38F:推 atpx: 很大机率最後不了了之, 因为银行也不想让当事人太难看 11/12 22:04
39F:推 atpx: 如果真的有集团能够打通整条路外加造假帐务绕过核心帐务系统 11/12 22:06
40F:→ atpx: 骗过核心帐务系统, 那也不会对区区26万下手 11/12 22:07
41F:推 imreader: 若用桌机做非约定转帐,还要插入读卡机, 11/12 23:27
42F:→ imreader: 有些银行手机 App 做非约定转帐,根本不需这些步骤 11/12 23:27
43F:→ imreader: 若密码被侧录。在远端下载同个 App, 11/12 23:27
44F:→ imreader: 一样能做非约定转帐。 11/12 23:28
45F:推 atpx: 如果这位使用者网银+SSL两道密码都能泄漏的话, 我看乾脆别 11/12 23:35
46F:→ atpx: 申请网银了, 以後只靠临柜办理, 反正再给你10道防线也是泄漏 11/12 23:36
https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1605194025.A.ADC.html
有其他苦主发文
看来有可能是真的?
※ 编辑: vi000246 (219.68.118.128 台湾), 11/13/2020 00:19:24
47F:→ x000032001: 不能排除是server端的问题 11/13 01:05
48F:推 bill0205: 不是什麽知名人物 通常都是人为 身边的人 不然就是自己 11/13 08:11
49F:→ bill0205: 忘记 11/13 08:11
50F:→ bill0205: 八成跟使用习惯有关 11/13 08:12
51F:推 tennyleaz: 简讯验证应该是两阶段里面最好骗到的地方 11/13 08:17
52F:→ ChungLi5566: 很多app会偷剪贴簿跟简讯的资料做使用分析 11/13 08:38
53F:→ jobintan: 如果是server端的问题,那client端即便有SSL也没用。 11/13 15:26
56F:推 tothat: 被骇的话不会只有他被骇好吗 11/13 22:42
57F:嘘 patrick19: 最妙的是最後一道otp怎麽骇?连手机sim卡都能盗?! 11/15 13:17