作者vyvian (vyvian)
看板creditcard
标题Re: [情报] 上海银行刷卡OTP简讯新增网页识别码
时间Fri Jul 19 18:06:03 2024
这个作法实际上对网路钓鱼一点用都没有。
还没有验证码之前,是这个样子
1.使用者输入卡号->钓鱼网站->真的网站
2.使用者收到OTP->钓鱼网站->OTP验证页面
3.钓鱼网站完成盗刷
多了验证码之後变成下面这样
1.使用者输入卡号->钓鱼网站->真的网站
2.钓鱼网站被导向验证页面,把上面的内容抓回来显示给使用者看
3.使用者收到OTP->钓鱼网站(有附加验证码的页面)->OTP验证页面
4.钓鱼网站完成盗刷
基本上钓鱼网站就是中间人攻击的角色,不论你机制怎麽改,他都有资料。
改用passkey这种有抗网钓机制的作法才是正解。
※ 引述《pl726 (PL月见草)》之铭言:
: 亲爱的客户,您好:
: 本行自113年月6月中旬起,为强化网路交易安全,当持卡人於网路交易需验证OTP密码时
: ,本行所发送的OTP简讯内容将新增一组【网页识别码】。请您於付款页面的四组识别码
: 中,点选与简讯内容相符的识别码後,再输入OTP密码。上海银行提醒您,在输入OTP密码
: 前,务必详读简讯内容及确认【交易币别及金额】,并应妥善保存信用卡相关资料不随意
: 提供予第三人,以防诈骗。
: https://i.imgur.com/9fgriSc.jpeg
: 注意事项:
: 若付款页面出现以下情形时,恐是钓鱼网页,请立刻停止交易,切勿输入OTP密码。
: 如有任何问题,请电洽本行客服中心。
: 1. 无【网页识别码】选项。
: 2. 有网页识别码选项,但要求输入4个英文字母,而非从4组选项中选1组相同者。
: 3. 有网页识别码选项,但选项内容错误或其他状况。
: ==============================
: 自己在7月初网路消费的时候有发现这个变动,
: 今天才收到上海银行的E-Mail正式通知。
: 现在刷上海卡的3D验证页面会有四组英文,
: 要选择跟OTP简讯一样的英文,再输入验证码才算成功。
: 还没听说其他银行把程序改成这样,
: 也不知道这样是否就能降低盗刷诈骗的机会...XD
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 163.22.18.21 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1721383565.A.340.html
1F:推 lf2net4589 : 这个方式只是要用户再一次确认自己要刷什麽而已,不 07/19 18:26
2F:→ lf2net4589 : 是用来抗盗刷的,简单来说就是银行卸责用的 07/19 18:26
3F:嘘 BlueBird5566: 这本来就不是用来防钓鱼 07/19 18:41
4F:推 kkkk1234 : 推原po 这就是防钓鱼网站 但中间人什麽都拿得到 所 07/19 20:18
5F:→ kkkk1234 : 以完全没用 07/19 20:18
6F:推 abccbaandy : 纯推passkey,不知为啥金融业都没人用 07/19 21:30
7F:→ cityport : 台湾金融业跟主管机关基本没脑子,才会搞这些花招 07/19 22:08
8F:推 andy0055 : passkey 太贵了… 07/19 22:33
9F:→ andy0055 : 我们公司也说要用的人自己买,没办法申请! 07/19 22:33
10F:推 brokeback : 再怎麽防也防不了自以为聪明的萧瘫巨婴 07/19 22:42
11F:→ flypenguin : passkey 国泰以前好像能自费申办? 07/19 23:41
12F:推 now99 : 走FIDO2吧,passkey密钥备份过不了安控基准 07/20 01:53
13F:嘘 darkMood : 诈骗集团一律公开鞭刑後五马分屍告诛九族最有效啦 07/21 03:54
14F:→ darkMood : 其余都是屁啦。 07/21 03:54
15F:→ Kazamatsuri : 请立委继续推动修法啊~XD 07/21 10:45
16F:推 Friday : 诈骗就鞭刑,关起来做劳务还钱,还完才能出狱 07/22 14:45
17F:→ Friday : 还完钱才放出来,保证诈骗会少很多 07/22 14:46