作者pl726 (PL月见草)
看板creditcard
标题[情报] 上海银行刷卡OTP简讯新增网页识别码
时间Fri Jul 19 16:47:05 2024
亲爱的客户,您好:
本行自113年月6月中旬起,为强化网路交易安全,当持卡人於网路交易需验证OTP密码时
,本行所发送的OTP简讯内容将新增一组【网页识别码】。请您於付款页面的四组识别码
中,点选与简讯内容相符的识别码後,再输入OTP密码。上海银行提醒您,在输入OTP密码
前,务必详读简讯内容及确认【交易币别及金额】,并应妥善保存信用卡相关资料不随意
提供予第三人,以防诈骗。
https://i.imgur.com/9fgriSc.jpeg
注意事项:
若付款页面出现以下情形时,恐是钓鱼网页,请立刻停止交易,切勿输入OTP密码。
如有任何问题,请电洽本行客服中心。
1. 无【网页识别码】选项。
2. 有网页识别码选项,但要求输入4个英文字母,而非从4组选项中选1组相同者。
3. 有网页识别码选项,但选项内容错误或其他状况。
==============================
自己在7月初网路消费的时候有发现这个变动,
今天才收到上海银行的E-Mail正式通知。
现在刷上海卡的3D验证页面会有四组英文,
要选择跟OTP简讯一样的英文,再输入验证码才算成功。
还没听说其他银行把程序改成这样,
也不知道这样是否就能降低盗刷诈骗的机会...XD
--
回到自己以前待过的地方,什麽事情让你最吃惊?
1. 以前为你拉小提琴送别的女生,在学校一见面就给你一巴掌
2. 开朗活泼的儿时玩伴,一句话都不说就跟她弟弟私奔
3. 素不相识的小学女生,要你帮忙跟自己的朋友告白
4. 小时候给过你牛奶糖的大姐姐,变成班上的导师
5. 对你很好的班级委员,居然是陷害自己朋友的凶手
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 136.226.240.92 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1721378830.A.5B3.html
1F:→ brokeback : 永丰也开始了 07/19 16:49
2F:推 Friday : 识别码的原理是什麽呢? 为何这样能避免钓鱼网站 07/19 16:51
3F:推 Kazamatsuri : 之前有新闻了,这个算通知晚了 07/19 16:53
4F:→ Kazamatsuri : 应该6月中大家都上线了 07/19 16:54
找到新闻了
https://www.cna.com.tw/news/afe/202405290371.aspx
前阵子用国泰、玉山、华南网购,OTP都还是纯验证码
原来永丰也跟上了(只用AP刷Sports卡XD)
※ 编辑: pl726 (136.226.240.92 台湾), 07/19/2024 16:59:14
6F:→ Kazamatsuri : 至少我这阵子有线上刷卡发OTP的都有这个机制 07/19 16:57
7F:推 Kazamatsuri : 我这阵子用台中银刷也有选择验证码的选项了 07/19 17:02
8F:推 vyvian : 既然显示於网页上,表示钓鱼网站就能抓到资料 07/19 17:06
9F:→ vyvian : 所以一样防不住钓鱼网站,只是让钓鱼工作变麻烦而已 07/19 17:07
10F:→ KAOKCH : 不,网页识别码技术是唯一的,详细记录该网站资讯,以 07/19 17:09
11F:→ KAOKCH : 此辨识钓鱼网站 07/19 17:09
12F:推 vyvian : 使用者->钓鱼网站->真的网站 这是输入卡号阶段 07/19 17:50
13F:→ vyvian : 然後系统发送OTP给使用者,网页导向验证页面。 07/19 17:50
14F:→ vyvian : 钓鱼网站可以拿到这个验证页面。再显示给使用者看 07/19 17:51
15F:→ vyvian : 所以一样防不了网路钓鱼 07/19 17:52
16F:→ vyvian : 人家都要淘汰简讯OTP了。我们还在用不安全的东西 07/19 17:53
18F:推 sggs : 网页验证码只有银行跟使用者的简讯有,钓鱼网站要 07/19 17:54
19F:→ sggs : 拿到要另外想方法 07/19 17:54
20F:推 vyvian : 你输入完卡号之後,就会跳去验证页面,上面就显示 07/19 17:56
21F:→ vyvian : 网页验证码了,这不就被钓鱼网站拿走了吗? 07/19 17:57
22F:→ vyvian : 因为你卡号就已经给了钓鱼网站,他当然可以拿到 07/19 17:57
23F:推 nanababa : 感觉比较不会被盗刷 07/19 18:24
24F:嘘 cytochrome : 好的不学学一堆智障的东西 07/19 18:48
25F:→ cytochrome : 以後乾脆叫使用者在刷卡授权验证页面手动输入要刷 07/19 18:48
26F:→ cytochrome : 的币别和金额好了 07/19 18:48
27F:→ cytochrome : 低能恶搞消费者的政策,愈活愈回去 07/19 18:48
28F:推 jack168168tw: 永丰也有 07/19 19:42
29F:→ cityport : 一点用处都没有的东西 07/19 22:06
30F:→ cityport : 验证码如果用商家的名字,四个商家选一个,当你没看 07/19 22:26
31F:→ cityport : 到真实网站的名字,你就会知道中了钓鱼网站,硬点下 07/19 22:26
32F:→ cityport : 去就强制跳到联信资料库里的网址,钓鱼网站就钓不到 07/19 22:26
33F:→ cityport : 国外都改成直接识别商家,台湾还在史前遗迹验证码 07/19 22:27
34F:嘘 andy0055 : 再怎麽防都防不了人心!万恶之源[我以为] 07/19 22:31
35F:推 Kazamatsuri : 商家不用OTP最好 07/19 22:42
36F:→ flypenguin : OTP 越来越浪费时间了…能不能导入绑定装置确认就好 07/19 23:42
37F:推 QQ5566 : 讨论资安没用 太深入的东西没人愿意懂 07/20 00:56
38F:推 Kazamatsuri : 叫商家跟支付不要再用OTP线上交易或绑卡啊~ 07/20 01:55
39F:→ aiyowaya : 就是要防止上次那个3d认证但还是被冒用的问题啊 07/20 02:14
40F:→ aiyowaya : 但总觉得道高没有魔高啦 07/20 02:14
41F:推 terfd : 只是拖慢被钓的速度而已 乾脆回答10个问题才能付款 07/20 12:46
42F:推 away612101 : 毕竟太好用,只要OTP就能甩锅,当然要爆改假装安全 07/20 13:39
43F:→ away612101 : 商家怎麽可能不用,只要交易手续费没差别 07/20 13:42
44F:→ away612101 : 连交易资讯都不用留,出事就只要一句,是OTP 07/20 13:42
45F:推 cytochrome : 要求使用者挑选消费商家的名字真的是个好主意耶! 07/20 14:06
46F:→ Kazamatsuri : 照某些逻辑 把验证码改为商家名一样会被拦截钓鱼啊~ 07/20 14:09
47F:推 paul40807 : 永丰遇过啊 07/20 14:50
48F:→ kaltu : 无法辨识opt是否有被拦截的机制一直改东改西到底有 07/21 02:04
49F:→ kaltu : 什麽意义 07/21 02:04
50F:→ kaltu : 现在的问题是opt只要被盗,银行就会主动配合诈骗集 07/21 02:04
51F:→ kaltu : 团出金 07/21 02:04
52F:→ kaltu : 网页识别码这种识别刷卡商家的东西又不是主要问题, 07/21 02:04
53F:→ kaltu : 而且撷取网页识别码又不是多难办到的事情 07/21 02:04
54F:→ kaltu : 与其搞手动opt不如把opt打包起来用手机的生物认证或 07/21 02:04
55F:→ kaltu : pass key 07/21 02:04
56F:→ kaltu : 要消费的时候手机银行App确认指纹或脸部扫描授权, 07/21 02:04
57F:→ kaltu : 通过了才在後台用密码学机制跟银行回报通过,包含几 07/21 02:04
58F:→ kaltu : 点几分哪个pass key装置用什麽生物认证授权的,这样 07/21 02:04
59F:→ kaltu : 远比随便都被盗的opt更符合那什麽鬼「不可否认性」 07/21 02:04
60F:→ kaltu : 概念和架构跟opt一样唯一的差别是使用者从头到尾都 07/21 02:04
61F:→ kaltu : 不知道opt是多少,所以也根本没有机会被盗走 07/21 02:04
62F:→ kaltu : 而且因为这种opt一刻都没有离开过银行控制的系统( 07/21 02:04
63F:→ kaltu : 简讯、email、使用者的大脑、输入的浏览器)这样还 07/21 02:04
64F:→ kaltu : 被盗就100%是银行的锅 07/21 02:04
65F:→ kaltu : 没手机的商业客户也可以要求用预先绑定好的Windows 07/21 02:07
66F:→ kaltu : Hello之类的脸部IR和指纹 07/21 02:07
67F:→ kaltu : 手动动态密码这种东西真的该淘汰了 07/21 02:07
68F:推 cytochrome : 楼上的构想很好,但基於个人资料保护及其他法规的 07/21 02:28
69F:→ cytochrome : 大架构下,这涉及太多个人资料蒐集处理利用及与法 07/21 02:28
70F:→ cytochrome : 遵的议题 07/21 02:28
71F:→ cytochrome : 实际生活中,有些人手机里留存就超过“一个人”以 07/21 02:28
72F:→ cytochrome : 上的指纹了,大科技提供终端装置对於“使用者人” 07/21 02:28
73F:→ cytochrome : 的识别及验证,在实际法律上是否具有足够的不可否 07/21 02:28
74F:→ cytochrome : 认性,在法律攻防上应该是个值得讨论的主题,除非 07/21 02:28
75F:→ cytochrome : 使用一样会被诈骗集团滥用的(行动或实体)自然人凭 07/21 02:28
76F:→ cytochrome : 证,经电子签署後才具有不可否认性 07/21 02:28
77F:→ cytochrome : BTW,有人被诈骗集团叫去办自然人凭证就真的跑去办 07/21 02:28
78F:→ cytochrome : ,办完之後把卡片和密码给诈骗集团,怪谁? 07/21 02:28
79F:推 okgogogo : 不防诈骗 07/24 14:14