作者vi000246 (Vi)
看板Soft_Job
標題[請益] 網銀很好駭嗎?
時間Thu Nov 12 11:54:23 2020
看到這篇新聞
https://news.ltn.com.tw/news/society/breakingnews/3349255
有人說他網銀自動轉出幾十萬 周遭朋友也有人被盜
警察說可能是手機被駭
我覺得這跟軟工版比較有關 發在這邊討論
想問手機的網銀很好駭嗎
以我用過的幾個網銀
都是輸入帳密就能登入 也沒有記憶帳密的功能
新聞寫說有開啟生物辨識
難道生物辨識是個漏洞?
待在銀行界的朋友有聽到相關消息嗎?
還是只是這報案民眾在亂掰?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.88.1 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1605153265.A.04D.html
※ 編輯: vi000246 (60.248.88.1 臺灣), 11/12/2020 11:55:06
1F:→ fishloveeat: 可能跟他小孩有關 11/12 12:02
2F:推 geroge0820: 小秘密被駭 11/12 12:26
3F:推 king22649: 最大的漏洞是人 11/12 12:29
4F:推 alihue: 不是網銀吧 通常是 client 被第三方軟體偷到帳密之類的 11/12 12:30
5F:→ alihue: 如果是網銀,通常是通案早就大亂了 11/12 12:30
6F:→ meowyih: 亂掰不至於, 但是甚麼都扯 "駭客" 有點好笑, 通常都是自 11/12 12:31
7F:→ meowyih: 己的問題 11/12 12:31
8F:→ alihue: 新聞說朋友很奇怪,最好那麼剛好機率大到都是你朋友發生 11/12 12:33
9F:→ alihue: ,然後側錄資料方面在 app 比較難發生,安卓蘋果應該早就 11/12 12:33
10F:→ alihue: 擋了,我猜可能是被小孩偷轉等機率比較大 11/12 12:33
11F:→ alihue: 或是出事的是網頁版,因為很多釣魚extension 會偷 11/12 12:35
12F:→ alihue: session cookie 11/12 12:35
13F:→ alihue: ig 被盜通常都是裝 extension 惹的禍 11/12 12:35
14F:推 now99: 簡訊轉發/遠端遙控手機之類的,等警方公布詳細訊息吧 11/12 12:44
15F:→ now99: 就算啟用生物間接辨識,還是可以改用密碼圖形鎖繞過啊 11/12 12:45
16F:推 sniper2824: 要是這麼好盜早就爆開了 11/12 13:05
17F:推 newnovice: client通常是最大問題 11/12 13:49
18F:推 RINPE: fb最好駭了XDD 三不五時就有人出來說帳號被盜 才發些反社會 11/12 14:23
19F:→ RINPE: 的言論 11/12 14:23
20F:推 jack0204: 最常出現的就是中國了,小孩各種刷爆都說被盜 11/12 15:04
21F:→ stillcolor: 網銀被駭 vs. 帳號被盜,是完全兩碼子事 11/12 15:53
23F:→ det6875: 轉走這麼多應該是連手機都被改了? 11/12 19:19
24F:→ ssccg: 網銀的生物辨識都只是方便不用輸密碼,並沒有增加安全性 11/12 20:15
25F:→ ssccg: 要強制2-factor的生物辨識才有差,不過密碼被改了生物辨識 11/12 20:17
26F:→ ssccg: 沒失效這點明顯有問題 11/12 20:18
27F:→ ssccg: 基本上網銀安全性就一個帳密,就最低等級的安全性,但是轉 11/12 20:19
28F:→ ssccg: 帳到非約定帳號應該需要另外OTP 11/12 20:20
29F:→ abccbaandy: 非約不是都有雙驗證? 我怎麼記得是規定... 11/12 20:52
30F:推 mathrew: 反正自己的問題都先怪駭客就對了 11/12 21:10
31F:推 simon1203: 銀行後端應該都有紀錄 調出來查一下就知道問題出在哪 11/12 21:18
32F:→ simon1203: 了 11/12 21:18
33F:推 atpx: 沒那麼簡單, 要轉錢要有2階段驗證, 不管是另外打密碼還是 11/12 21:51
34F:→ atpx: 指紋還是OTP, 反正不會是光能登網銀就轉得出去, 這些都是基 11/12 21:51
35F:→ atpx: 本的保護措施, 而且是規定 11/12 21:52
36F:→ atpx: 網銀就算被駭也動不了核心帳務, 要轉帳還是會另外檢查約定帳 11/12 21:54
37F:→ atpx: 號 11/12 21:55
38F:推 atpx: 很大機率最後不了了之, 因為銀行也不想讓當事人太難看 11/12 22:04
39F:推 atpx: 如果真的有集團能夠打通整條路外加造假帳務繞過核心帳務系統 11/12 22:06
40F:→ atpx: 騙過核心帳務系統, 那也不會對區區26萬下手 11/12 22:07
41F:推 imreader: 若用桌機做非約定轉帳,還要插入讀卡機, 11/12 23:27
42F:→ imreader: 有些銀行手機 App 做非約定轉帳,根本不需這些步驟 11/12 23:27
43F:→ imreader: 若密碼被側錄。在遠端下載同個 App, 11/12 23:27
44F:→ imreader: 一樣能做非約定轉帳。 11/12 23:28
45F:推 atpx: 如果這位使用者網銀+SSL兩道密碼都能洩漏的話, 我看乾脆別 11/12 23:35
46F:→ atpx: 申請網銀了, 以後只靠臨櫃辦理, 反正再給你10道防線也是洩漏 11/12 23:36
https://webptt.com/m.aspx?n=bbs/Gossiping/M.1605194025.A.ADC.html
有其他苦主發文
看來有可能是真的?
※ 編輯: vi000246 (219.68.118.128 臺灣), 11/13/2020 00:19:24
47F:→ x000032001: 不能排除是server端的問題 11/13 01:05
48F:推 bill0205: 不是什麼知名人物 通常都是人為 身邊的人 不然就是自己 11/13 08:11
49F:→ bill0205: 忘記 11/13 08:11
50F:→ bill0205: 八成跟使用習慣有關 11/13 08:12
51F:推 tennyleaz: 簡訊驗證應該是兩階段裡面最好騙到的地方 11/13 08:17
52F:→ ChungLi5566: 很多app會偷剪貼簿跟簡訊的資料做使用分析 11/13 08:38
53F:→ jobintan: 如果是server端的問題,那client端即便有SSL也沒用。 11/13 15:26
56F:推 tothat: 被駭的話不會只有他被駭好嗎 11/13 22:42
57F:噓 patrick19: 最妙的是最後一道otp怎麼駭?連手機sim卡都能盜?! 11/15 13:17