作者jamupme (james)
看板Bank_Service
標題Re: [情報] 上次是國泰、這次是台新
時間Tue Feb 9 22:40:49 2021
近期有些銀行用一次性簡訊綁定裝置的方式
只需要接受第一組OTP密碼 綁定後就可以用這台裝置自由轉帳
我推測以下是近期詐騙集團的手法
請各位小心防範
首先只要讓你進到假網站 一旦你輸入帳號密碼 幾乎就上鉤了
以下A是你在假網站的操作 B是犯罪集團的行動裝置操作
A:請你按接收驗證碼以完成更新/驗證/嘎啦嘎拉..(各種理由)
B:擷取你在假網站輸入的帳密 登入真的銀行APP
A:按下接收(發送)驗證碼
B:同步按下申請綁定裝置的發送驗證碼
此時真的簡訊驗證碼傳到你的手機上
A:在假網站輸入真驗證碼
B:同步得到真驗證碼=>綁定裝置=>開始轉錢
快的話可能3分鐘內就能轉到當日上限的金額
甚至最佳詐騙時機為接近跨日的時候 日期一轉換 馬上再轉一天的限額
當然...簡訊的連結我平常就死也不會點
但網路的連結要騙你進去的手法就很多元了...
詐騙集團只需要把你引導到"假網站" 就幾乎得手8成
因為只要你相信這個是"銀行"的網頁
網頁上要你做什麼你都會照做
請各位一定要多加注意
※ 引述《prussian (prussian)》之銘言:
: 幫忙宣導一下, 簡訊網址不要亂點啊
: 看來還會有好幾波,中國騙子真的很煩
: 以市佔來看接下來可能是中信? 郵局?
: (內政部警政署 165 全民防騙網)
: https://165.npa.gov.tw/#/article/rumor/80
: 上次是國泰、這次是台新
: 發佈日期:2021-02-05 20:05
: 更新日期:2021-02-05 20:11
: 上次是國泰、這次是台新
: 老手法亂槍打鳥
: 您可別誤點擊、也不要填輸任何資料
: 詐騙網址恐一直更新變動
: 請睜大眼睛 OO 勿上當
: https://165.npa.gov.tw/images/E81F7D49A09C7DA445E3FCCAA8329817.png
: https://165.npa.gov.tw/images/3525E3BC2799108DB4D75BF7FF81ABCA.png
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.230.229.47 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Bank_Service/M.1612881651.A.9BF.html
1F:推 temu2015: 所以簡訊要看清楚 看到OTP簡訊的每個字都要認真看 02/09 22:46
2F:推 prussian: 如果不取消簡訊認證,至少要像約定帳戶一樣,隔天才生 02/09 22:47
3F:→ prussian: 效並寄生效通知,這樣才有足夠時間反應 02/09 22:47
4F:→ prussian: 簡訊內容隨便輸入什麼都可以又沒有驗證機制,要玩中間 02/09 22:47
5F:→ prussian: 人攻擊太容易了 02/09 22:47
6F:→ temu2015: 網站域名也是 簡訊裡的電話和網址都要先持保留態度 02/09 22:47
7F:→ prussian: 無法驗證簡訊和網站來源的話就像原po講的,花言巧語騙 02/09 22:50
8F:→ prussian: 你唬你嚇你去輸入otp,中間人攻擊都很容易 02/09 22:50
9F:推 now99: 綁定信任機制有問題啊,金管會還不下架 02/09 23:05
10F:→ now99: 短時間要改成 MobileID 或 AOTP 或 視訊簽章 比較難 02/09 23:06
11F:推 banana321: 關閉非約定轉帳好了 02/09 23:09
※ 編輯: jamupme (125.230.229.47 臺灣), 02/09/2021 23:25:31
12F:→ jamupme: 我認真考慮關閉主要帳戶的網路交易功能 留點零用金就好 02/09 23:29
13F:→ minijin: 「超時」是大陸用語嗎?台灣通常都用逾時吧 02/09 23:57
14F:推 HMKRL: 超時有點支語沒錯 02/10 00:03
15F:→ HMKRL: 平常是用逾期或過期 02/10 00:04
16F:推 whocare96: 銀行傳送的簡訊或郵件的連結絕對不要直接點擊 02/10 00:24
17F:推 abccbaandy: 樓上,問題是銀行常這樣幹阿... 02/10 00:27
18F:→ shengyong: 更改裝置需要otp email 安全密嗎(要求所有人要設) 02/10 00:33
19F:推 TZUYIC: 擔心的話就複製貼上無痕式網頁點擊阿,看看在賣什麼藥~ 02/10 00:34
20F:→ shengyong: 卡3關還笨到能丟 也不簡單,希望出3重4重5重認證 02/10 00:34
21F:→ shengyong: 針對改裝置加強,應該就能卡很多了,按到釣魚也不怕 02/10 00:36
22F:推 carolchiou: XD這樣沒遇到釣魚自己也不想用網銀了吧 02/10 00:47
23F:推 vyvian: 我建議165應該建立一個詐騙網頁黑名單,用瀏覽器外掛的 02/10 01:00
24F:→ vyvian: 方式發布出去,提供給民眾自己安裝。 02/10 01:01
25F:→ vyvian: 如果民眾點到詐騙網頁就會自動擋掉。 02/10 01:01
26F:→ vyvian: 類似Who's call的原理。 02/10 01:02
27F:→ usedata: 說實在銀行放棄簡訊行銷就好了,讓銀行以後不要發簡訊,這 02/10 01:13
28F:→ usedata: 樣自然而然讓人知道簡訊的都是詐騙,不過銀行不可能會放棄 02/10 01:15
29F:→ usedata: 它們恨不得多點管道來行銷了怎麼可能捨棄 02/10 01:16
30F:噓 lianpig5566: 不對吧 是要使用者懂得查證 怎麼變成要銀行不發簡訊 02/10 01:39
31F:→ lianpig5566: 詐騙電話很多 你就叫政府、銀行不要打電話通知民眾? 02/10 01:40
32F:→ lianpig5566: 行政文書也有偽造過的紀錄 以後都不要公文往來了? 02/10 01:40
33F:→ prussian: 政府大多數時候都是寄信或email,沒有那個美國時間打電話 02/10 01:41
34F:→ prussian: 你試試如何向2300萬人宣導注意網址1Il0O的差別? 02/10 01:42
35F:→ flypenguin: 會被騙的怎麼會去裝外掛 XD 02/10 01:43
36F:推 TZUYIC: 詐騙集團又不是這兩天才有,不應該因噎廢食,這樣事情都不 02/10 01:44
37F:→ TZUYIC: 用做了。 02/10 01:45
38F:→ prussian: 反詐騙不在最聰明的人懂不懂,而是要讓老嫗都能解 02/10 01:45
39F:→ prussian: 如果一個機制很難分辨真假,改良也是必要的 02/10 01:45
40F:→ prussian: 無法改良自然就是換招,不然後果誰要承擔? 02/10 01:46
41F:→ prussian: 被騙的人自己笨所以不需要詐欺罪嗎? 這是兩回事 02/10 01:47
42F:→ prussian: 宣導固然要作,機制可以改進的沒有理由不作 02/10 01:47
43F:→ sydwuz: 把裝置綁定之類的驗證碼改成回撥語音告知,前面加個警語 02/10 01:47
44F:→ prussian: 現在是卡在這個時間點尷尬,阻擋的需求先於介面友善 02/10 01:48
45F:推 cytochrome: 被騙的回去裝盜版的外掛更慘 02/10 01:49
46F:→ flypenguin: 如果被解除綁定的裝置會跳通知應該能第一時間發覺? 02/10 01:51
47F:推 a08155556: 至少改成每筆轉帳都要OTP,不是綁定一次裝置以後隨便轉 02/10 02:14
48F:→ ivanami: 如果已經被詐騙集團改成他門的電話,這樣每筆都OTP也無用 02/10 02:18
49F:→ ayulovem: 會被騙的就是會被騙 因噎廢食 講再多會被說自私 02/10 03:02
50F:推 whocare96: 目前otp 修改都要用晶片卡認證,沒那麼好改 02/10 03:13
51F:→ usedata: 重點是銀行簡訊分不出來啊!跟電話顯示號碼可改,結果宣導 02/10 04:00
52F:→ usedata: 半天詐騙還是居高不下,銀行簡訊號碼不時跳來跳去,有人厲 02/10 04:01
53F:→ usedata: 害到可以事先分辯出真假嗎?又會有人說那不要去點就好,那 02/10 04:03
54F:→ usedata: 不就跟現在提醒半天,銀行不會用什麼電話打來一樣,看看現 02/10 04:05
55F:→ usedata: 在有多少成效就知道了,簡訊這種群發沒特定性辯別方式的才 02/10 04:07
56F:→ usedata: 是最危險的,詐騙集團推成出新的詐騙不就是找各種弱點讓人 02/10 04:09
57F:→ usedata: 人疏忽,這麼大的一個弱點不想改,人家不利用才怪 02/10 04:11
58F:推 PAYPASS: 不長腦被收割也是剛好而已 02/10 04:24
59F:推 jhay: 國外帳戶轉帳都要用photoTan 去掃碼 然後輸入產生碼才能轉 02/10 04:36
60F:→ jhay: OTP實在太容易被中間人竊取了 02/10 04:36
61F:→ jhay: 不過基本還是沒有警覺 怎麼樣的防護機制都會有人被騙 02/10 04:38
62F:→ usedata: 銀行行銷用簡訊有多危險,除非不看不然留一下銀行字樣再 02/10 04:38
63F:→ usedata: 留個模擬二可的活動文字附連結,這樣看很多人就會去點連 02/10 04:38
64F:→ usedata: 結,說實在這種縮網址連結要作文章的方法太多了;連在ptt 02/10 04:38
65F:→ usedata: 一些po圖連結不用.jpg結尾,自己一般也不太想點進去看了 02/10 04:38
66F:→ usedata: 喔!尤其又寫類似分眾只有收到簡訊的才有,這種分眾活動 02/10 04:48
67F:→ usedata: 一般都無法用搜尋找到,所以簡訊這次被詐騙集團利用,顯 02/10 04:48
68F:→ usedata: 而易見遲早的事 02/10 04:48
69F:推 orange21: 我覺得啦,以後換機就要回網銀或實體ATM取得裝置認證碼 02/10 07:30
70F:→ orange21: ,認證再後才可以進行非約定交易,每次都被這些詐騙集 02/10 07:30
71F:→ orange21: 團搞得很不方便 02/10 07:30
72F:→ ali210: 這件事跟前陣子各家網銀app各種當機卡住有沒有關聯...? 02/10 07:43
73F:→ peterkan: 銀行搞那麼久kyc了,還是一堆人頭帳戶 02/10 08:38
74F:推 mx5021: otp有的有前幾碼是英文讓你確認是不是同一個操作動作 這 02/10 08:50
75F:→ mx5021: 樣會比較安全嗎? 02/10 08:50
76F:→ peterkan: 樓上依照台新受害人的案例,不會有比較安全。 02/10 08:58
77F:推 whocare96: 現在很多手機otp 收到以後鍵盤都直接帶出數字,簡訊 02/10 09:05
78F:→ whocare96: 內文有些人根本沒在看 02/10 09:05
79F:推 akakapo: 銀行應該要了解到,簡訊OTP一點都不安全, 02/10 10:00
80F:→ akakapo: 是時候要想其他更安全的驗證方式了 02/10 10:01
81F:推 banana321: 真的otp我覺得沒有比較安全 02/10 10:06
82F:推 siopp: 就把主要帳戶網路交易關掉就好了 02/10 10:08
83F:推 banana321: 數位帳戶沒辦法線上關,似乎要打給客服 02/10 10:16
84F:推 nightA: 為什麼opt不安全啊 02/10 10:42
85F:→ nightA: 打錯 是otp 02/10 10:42
86F:噓 tomap41017: 留言好多北七XDDDDDD 02/10 11:14
87F:→ ericsg: OTP本身是安控機制 OTP是電信網路P2P安全得很 02/10 12:00
88F:→ ericsg: 不安全的是使用者y 02/10 12:01
89F:→ prussian: 傳輸安全和能不能確認對方身份是兩回事 02/10 12:02
90F:→ akakapo: 當使用者讓手機變得不安全成為多數時呢? 02/10 12:04
91F:→ ericsg: 講錯 企業簡訊應該是A2P 02/10 12:04
92F:→ ericsg: 便利跟安全本來就是一體兩面 02/10 12:08
93F:推 pio: 使用者自己的問題 跟印章被偷卻怪用印章不安全一樣 02/10 13:22
94F:→ RJYB: 自己不小心、不思考,出事怪他人?!凡事都要停看聽,尤其 02/10 13:26
95F:→ RJYB: 是遇到有關錢的事。 02/10 13:26
96F:→ PAYPASS: 搞得各銀行廣發提醒mail、訊息、簡訊 這些人真的很棒 02/10 13:40
97F:推 capacitor: 非約轉應該每次要有OTP!不是綁定裝置就可以無腦轉, 02/10 15:27
98F:→ capacitor: 到底是誰發明這漏洞還沾沾自喜認為是新功能? 02/10 15:27
99F:推 osk2: 在資安的世界裡,人就是最大的漏洞 02/10 15:32
100F:推 now99: 綁定裝置為了省錢還有防止簡訊otp轉發,不過沒料到用簡訊ot 02/10 16:42
101F:→ now99: p綁定就不安全了 02/10 16:42
102F:推 keyman2: 可惜行動金鑰.保鏢.e碼這類型綁定驗證app沒落了 02/10 16:56
103F:→ prussian: 除非可以將所有人提升到和你一樣聰明,隨時隨地思緒清 02/10 17:15
104F:→ prussian: 晰,否則檢討受害人完全無用。防犯措施要考慮的是最糟 02/10 17:15
105F:→ prussian: 情況。更何況誰敢打包票自己遇到時百分之百不會被騙? 02/10 17:15
107F:→ usedata: 隨便翻一下就能找到一封永豐的簡訊做舉例,用永豐自己官 02/10 20:02
108F:→ usedata: 網提醒公告都不會列出自己銀行會有的所有網址了,這封簡 02/10 20:02
109F:→ usedata: 訊自己警惕心高點還會去搜尋開頭網址確定是永豐繳費網的 02/10 20:02
110F:→ usedata: 沒錯,但如果銀行放短網址的話又有誰可以分辨,所以才會 02/10 20:02
111F:→ usedata: 說銀行簡訊根本不該放網址連結,一些銀行自己一直以來放 02/10 20:02
112F:→ usedata: 連結讓人習慣了,所以人收到有連結的簡訊又無法辨別是假 02/10 20:02
113F:→ usedata: 的,難免會有人大意之下直接去點,這樣假借銀行的行銷簡 02/10 20:02
114F:→ usedata: 訊會不危險嗎?? 02/10 20:02
115F:→ wawa69: 手法層出不窮,不愁魚兒不上鉤 02/11 00:03
116F:→ wawa69: 被騙匯款到國外,用到爛的招還是有人會中 02/11 00:04
117F:推 aspeter: 這個otp漏洞蠻強的,一般人會覺得otp很安全,就去輸入帳密 02/11 01:47
118F:→ paimin: 綁裝置比純OTP還安全好嗎?手機被木馬側錄opt每次發也是 02/12 08:01
119F:→ paimin: 直接被轉光光 綁裝置才擋得住 只是太低估白癡使用者 會用 02/12 08:01
120F:→ paimin: 網銀的人竟然被釣魚網站騙走帳密而且還會被騙第二次的opt 02/12 08:01
121F:→ prussian: 這次出問題的是「綁定」的步驟,安全性而言和純OTP一樣 02/12 09:56
122F:推 ah11851152n: 詐騙簡訊1月就有了 沒有收到詐騙簡訊 反而收到一堆銀 02/13 02:08
123F:→ ah11851152n: 行反詐騙訊息 02/13 02:09