作者vi000246 (Vi)
看板Soft_Job
标题[讨论] 是银行安全性有问题吗
时间Wed Feb 10 13:20:47 2021
请见这篇文
http://tinyurl.com/3rta3buv
最近有简讯诈骗 使用者在钓鱼网页输入身份证、帐密
再输入OTP验证码 就会被诈骗集团提领出帐户的钱
以前用线上ATM 都还要插自然人凭证或是金融卡
最近简化成只要身份证、帐密就能登入并转帐
加上使用者开通非约转帐功能
一天就能转出十万 跨日能再转十万
这应该是使用者要自己注意吧
毕竟钓鱼网页也行之有年了 会用到网银的也通常都是年轻人
银行端如果要加强安全性 也只能把网银下架
继续用传统插卡验证了
大家觉得银行会因为这件事改变做法
让网银多加几层验证吗?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.52.126.57 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1612934450.A.874.html
1F:推 now99: 绑定信任载具采用简讯otp,这段改掉就好 02/10 13:31
2F:推 OriginStar: 手机转帐吧,想要方便,验证机制就不能太麻烦 02/10 13:32
3F:→ OriginStar: 原PO说的我也用过,要有电脑、读卡机、金融卡 02/10 13:34
4F:→ OriginStar: 浏览器还要常常更新元件 02/10 13:34
5F:推 alihue: 不会多加吧,走回头路干嘛 02/10 13:34
6F:→ alihue: 每日上限这道坎就让风险保持在一个低点了 02/10 13:35
7F:推 leptoneta: 手机简讯验证码 很多网银都用这一步当验证吧 02/10 13:35
8F:→ leptoneta: 哪需要插卡和读卡机 02/10 13:36
9F:→ MOONY135: 转帐要手机验证码阿 02/10 14:04
10F:→ MOONY135: 是说能用网银app为什麽要在手机上面硬开网页 02/10 14:05
11F:推 leicheong: @now99 这是在说使用者在假网站输入OTP那些, 简讯otp 02/10 14:08
12F:→ leicheong: 对这没帮助. 02/10 14:08
13F:→ leicheong: 如果银行公会自己有RootCA,银行和金融机构都需要用那 02/10 14:10
14F:→ leicheong: 签发出来的cert., 那样可以写浏览器插件来帮用户验证吧 02/10 14:11
15F:推 smalldra: 帐密被盗 哪个会员系统都一样 银行只要求双因 就是otp 02/10 14:48
16F:→ smalldra: 装绑一因子 转帐再生物辨识 就能出去了 02/10 14:49
17F:→ smalldra: 除非金管会强制金流交易一定要过otp 02/10 14:50
18F:→ smalldra: otp一样也能转出去 被骗的user一样能提供otp码 02/10 14:50
19F:推 jack0204: 限制再多也一样,整个流程都是user自己给资料,没的防 02/10 14:55
20F:推 bill0205: 无论加什麽机制都不是重点了 觉得已经是使用者智商要提 02/10 15:05
21F:→ bill0205: 升才能解决 02/10 15:05
22F:→ bill0205: 不然加再多user自己提供认证机制 那有用吗 02/10 15:07
23F:→ ripple0129: 有差喔,使用者有没有做转帐动作差很多,要骗到人转帐 02/10 15:07
24F:→ ripple0129: 这种才是没办法,本人自己转出去的 02/10 15:07
25F:推 kurtsgm: 被钓鱼OTP也是没用吧 除非简讯直接带网址回正确网页? 02/10 15:23
26F:→ rotalume: 简讯带回网址就会回到网址是否是真正网址的回圈 02/10 15:49
27F:→ leo08210917: 一堆银行都推老人家用网银阿 然後家人不懂问年轻人 02/10 19:22
28F:→ leo08210917: 家里有些老人家看到那些钓鱼简讯根本没能力分辨好吗 02/10 19:23
29F:→ ssccg: @leicheong 银行公会当然有RootCA,你以为使用者想用凭证? 02/10 20:39
30F:→ ssccg: 其实最不在意安全的就是使用者,方便大於一切 02/10 20:40
31F:→ ssccg: 被钓鱼再怪资安,其实钓鱼跟资安没什麽关系,会被骗的人再 02/10 20:40
32F:→ ssccg: 复杂的流程都会被骗着去做啊,看看去ATM转帐送钱的 02/10 20:41
33F:→ vi000246: 没错 防呆不防蠢 再复杂的机制 都会有人被骗 02/10 20:51
34F:→ viper9709: 帐密连OTP都给了,那就跟本人一样了阿~这根本没办法防吧 02/10 23:49
35F:推 stock999: 我一天只能转5万。转帐都会通知。 02/11 00:13
36F:推 nicetw20xx: 好奇为什麽渔父会知道电话使用者的银行 02/11 00:30
37F:推 SaltC: sudo做一次,root永留存。 02/11 00:58
38F:→ ssccg: 不用知道啊,钓鱼就是多撒饵,总会碰到刚好能上钩的鱼 02/11 01:40
39F:推 ILYY: 我都跟家人说只要是简讯连结就不要点 02/11 01:44
40F:推 chuegou: 讲到网页 联邦的app是把我导向他们的网页 02/11 01:52
41F:嘘 rebuildModel: 台湾的法律对犯罪者来说是毫无压力造成的,如果这类 02/11 02:57
42F:→ rebuildModel: 诈骗一律改成满清十大酷刑凌迟至死,由车手到首脑 02/11 02:57
43F:→ rebuildModel: 一律同罪,保证很快就没有这类犯罪了。台湾法律真 02/11 02:57
44F:→ rebuildModel: 的是为犯罪者而设立的,而人民也很喜欢没意见呢 02/11 02:58
45F:→ rebuildModel: 都没有政党敢主打杀光犯罪者的主张吗? 太可惜啦 02/11 02:58
46F:推 taipoo: 有OTP,我觉得还算安全 02/11 06:54
47F:→ spfy: 欸不是 法律有比例原则阿 连我法盲都知道 02/11 07:12
48F:→ ChungLi5566: 有OTP就表示是user自己的问题啊 02/11 08:17
49F:→ ChungLi5566: 银行怎麽知道操作app的人是不是本人 02/11 08:18
50F:→ mathrew: 人的问题,系统再强也没用 02/11 09:30
51F:→ mathrew: 智慧型手机是给有智慧的人用的 02/11 09:30
52F:→ guanting886: 我觉得可以做一个假网站发简讯给长辈亲戚做测试..登 02/11 09:58
53F:→ guanting886: 入後提示他们不要相信来历不明的简讯XD 02/11 09:58
54F:推 nikolas: APP绑定特定手机型号 这样至少多一个机制防止别人登入 02/11 10:25
55F:→ bill0205: G大 那样很像某些公司IT会干的事情XDDD 02/11 10:28
56F:→ bill0205: 真的就是...使用者智商要提升 不然再好再严谨的防护都 02/11 10:29
57F:→ bill0205: 无效 但很多人不愿意承认自己智商低... 02/11 10:29
58F:推 nikolas: 这案例不是智商问题吧 是机制没设计好转帐没通知才被转走 02/11 10:32
59F:推 atpx: 不管你怎麽设计, 使用者都会有不知情被诈骗操作的风险 02/11 13:32
60F:→ atpx: 就算不要上网不用ATM临柜领, 一样会有汇款给美军男友的状况 02/11 13:33
61F:→ atpx: 转帐通知user不看也没用 02/11 13:33
62F:推 es8603: 有新的绑定信任载具的时候会通知旧手机示警吗?虽然只是补 02/12 10:09
63F:→ es8603: 救,至少多点时间通知银行做管控 02/12 10:09
64F:→ es8603: 而不是等到发现钱被转了才知道 02/12 10:10
65F:→ s860355: g大说的假网站,就现在很多公部门跟银行对员工做的事情 02/13 15:00