作者ljf0030 (肥宅工程师)
看板Soft_Job
标题Re: [讨论] 是银行安全性有问题吗
时间Thu Feb 11 11:21:27 2021
有些人不懂认证机制,回文说说几次OTP认证都没有用使用者都会照输入,是错误的认知。
钓鱼简讯网路第一次可以骗使用者认证码是因为使用者要更新资料,第一次登入同样要认证
。
今天如果转帐有OTP认证就不会被盗,使用者登入假的网站後,假的网站用你的帐号去真的
网银转帐发OTP到你的手机,请问你没有操作转帐功能,你在假网站会再次输入认证码?
这次苦主晚上8点登入完,11点多才被盗领转帐,转帐多一个认证码,这个盗领根本不会成
功。
这个跟被诈骗自己操作把钱转出去行为是不一样的,所以根本是银行本身网银转帐的安全机
制没作好的漏洞才出现的问题。
※ 引述 《vi000246 (Vi)》 之铭言:
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.242.126.254 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1613013689.A.FF6.html
1F:推 nikolas: 我也很纳闷 一堆人还笑 使用者智商问题 明明就机制太烂 02/11 11:28
2F:推 ALiangLiang: OTP啦02/11 11:29
3F:→ nikolas: 而且这里还是软体版 都软体工程师02/11 11:32
4F:→ freef1y3: 感觉银行的软体都鸟鸟的02/11 11:44
5F:推 sunpc: OTP终究还是fishable,钓鱼手法推出新,能被钓鱼攻击攻破02/11 12:49
6F:→ sunpc: 的机制就是这样,难道说你输入OTP错误或timeout,就骗不到02/11 12:49
7F:→ sunpc: 人再输入一次吗?02/11 12:49
※ 编辑: ljf0030 (27.242.126.254 台湾), 02/11/2021 13:32:03
8F:推 atpx: 相信我, 真的想钓, 他可以用各种各样的理由让user再输入一次02/11 13:38
你说连续骗OTP人本次案例8点登入,11点才转帐也不会成功。
你的简讯是更新资料,不是转帐,想要连续骗认证码,使用者不会觉得怪,哪有这个简单。
你也可以说找各种理由可以来骗郭董5仟万,我知道就难度问题而已。
9F:推 ripple0129: 资方本来就没有100%防护,我们就是要努力达到100%不是02/11 13:42
10F:→ ripple0129: 说反正做90%一样会被骗做80%就好02/11 13:42
11F:→ ripple0129: 防护高,被骗机率就是会下降,还是会有人被骗但是人02/11 13:43
12F:→ ripple0129: 数会降低02/11 13:43
※ 编辑: ljf0030 (27.242.126.254 台湾), 02/11/2021 14:23:57
13F:→ shadow0326: 诈骗集团花样很多啦 跟你讲说前次验证失败请你重新输02/11 15:00
14F:→ shadow0326: 入 或是用一些复杂的文字骗你要再次验证 有些麻瓜使用02/11 15:00
15F:→ shadow0326: 者就傻傻填两次了02/11 15:00
照你的说法OTP认证码,如果怎麽好骗现在早就一堆案例了。
现在诈骗集团干嘛要花时间打电话扮检察官骗人把钱转帐出去给别人,发几万通简讯骗OTP
不就好了,他们吃饱太闲?
简单说就是骗呆瓜去操作转帐比骗OTP机制认证码还容易,就是难度问题。
※ 编辑: ljf0030 (27.242.126.254 台湾), 02/11/2021 15:21:54
16F:推 tsao1211: 有些人到现在还看不懂是怎样被骗的 02/11 15:24
17F:嘘 hiiir5566: 原po有去银行做资安的潜力,不用考虑其他面向 02/11 18:53
18F:嘘 lspci: 事後诸葛文02/13 23:11
19F:→ lspci: 你怎麽不说每次转帐要输入三次otp确定是本人转帐02/13 23:12
别的银行转帐,有的都要再作一次认证了,已经是线上交易机制了,这叫事後诸葛?
批评别人事後诸葛,你很会,哪你提个事前诸葛的solution来看看,只会打嘴炮的酸民多的
是,不缺你一个。
※ 编辑: ljf0030 (39.10.190.23 台湾), 02/15/2021 19:49:54
※ 编辑: ljf0030 (39.10.190.23 台湾), 02/15/2021 20:55:35