作者vi000246 (Vi)
看板Soft_Job
標題[討論] 是銀行安全性有問題嗎
時間Wed Feb 10 13:20:47 2021
請見這篇文
http://tinyurl.com/3rta3buv
最近有簡訊詐騙 使用者在釣魚網頁輸入身份證、帳密
再輸入OTP驗證碼 就會被詐騙集團提領出帳戶的錢
以前用線上ATM 都還要插自然人憑證或是金融卡
最近簡化成只要身份證、帳密就能登入並轉帳
加上使用者開通非約轉帳功能
一天就能轉出十萬 跨日能再轉十萬
這應該是使用者要自己注意吧
畢竟釣魚網頁也行之有年了 會用到網銀的也通常都是年輕人
銀行端如果要加強安全性 也只能把網銀下架
繼續用傳統插卡驗證了
大家覺得銀行會因為這件事改變做法
讓網銀多加幾層驗證嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.126.57 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1612934450.A.874.html
1F:推 now99: 綁定信任載具採用簡訊otp,這段改掉就好 02/10 13:31
2F:推 OriginStar: 手機轉帳吧,想要方便,驗證機制就不能太麻煩 02/10 13:32
3F:→ OriginStar: 原PO說的我也用過,要有電腦、讀卡機、金融卡 02/10 13:34
4F:→ OriginStar: 瀏覽器還要常常更新元件 02/10 13:34
5F:推 alihue: 不會多加吧,走回頭路幹嘛 02/10 13:34
6F:→ alihue: 每日上限這道坎就讓風險保持在一個低點了 02/10 13:35
7F:推 leptoneta: 手機簡訊驗證碼 很多網銀都用這一步當驗證吧 02/10 13:35
8F:→ leptoneta: 哪需要插卡和讀卡機 02/10 13:36
9F:→ MOONY135: 轉帳要手機驗證碼阿 02/10 14:04
10F:→ MOONY135: 是說能用網銀app為什麼要在手機上面硬開網頁 02/10 14:05
11F:推 leicheong: @now99 這是在說使用者在假網站輸入OTP那些, 簡訊otp 02/10 14:08
12F:→ leicheong: 對這沒幫助. 02/10 14:08
13F:→ leicheong: 如果銀行公會自己有RootCA,銀行和金融機構都需要用那 02/10 14:10
14F:→ leicheong: 簽發出來的cert., 那樣可以寫瀏覽器插件來幫用戶驗證吧 02/10 14:11
15F:推 smalldra: 帳密被盜 哪個會員系統都一樣 銀行只要求雙因 就是otp 02/10 14:48
16F:→ smalldra: 裝綁一因子 轉帳再生物辨識 就能出去了 02/10 14:49
17F:→ smalldra: 除非金管會強制金流交易一定要過otp 02/10 14:50
18F:→ smalldra: otp一樣也能轉出去 被騙的user一樣能提供otp碼 02/10 14:50
19F:推 jack0204: 限制再多也一樣,整個流程都是user自己給資料,沒的防 02/10 14:55
20F:推 bill0205: 無論加什麼機制都不是重點了 覺得已經是使用者智商要提 02/10 15:05
21F:→ bill0205: 升才能解決 02/10 15:05
22F:→ bill0205: 不然加再多user自己提供認證機制 那有用嗎 02/10 15:07
23F:→ ripple0129: 有差喔,使用者有沒有做轉帳動作差很多,要騙到人轉帳 02/10 15:07
24F:→ ripple0129: 這種才是沒辦法,本人自己轉出去的 02/10 15:07
25F:推 kurtsgm: 被釣魚OTP也是沒用吧 除非簡訊直接帶網址回正確網頁? 02/10 15:23
26F:→ rotalume: 簡訊帶回網址就會回到網址是否是真正網址的迴圈 02/10 15:49
27F:→ leo08210917: 一堆銀行都推老人家用網銀阿 然後家人不懂問年輕人 02/10 19:22
28F:→ leo08210917: 家裡有些老人家看到那些釣魚簡訊根本沒能力分辨好嗎 02/10 19:23
29F:→ ssccg: @leicheong 銀行公會當然有RootCA,你以為使用者想用憑證? 02/10 20:39
30F:→ ssccg: 其實最不在意安全的就是使用者,方便大於一切 02/10 20:40
31F:→ ssccg: 被釣魚再怪資安,其實釣魚跟資安沒什麼關係,會被騙的人再 02/10 20:40
32F:→ ssccg: 複雜的流程都會被騙著去做啊,看看去ATM轉帳送錢的 02/10 20:41
33F:→ vi000246: 沒錯 防呆不防蠢 再複雜的機制 都會有人被騙 02/10 20:51
34F:→ viper9709: 帳密連OTP都給了,那就跟本人一樣了阿~這根本沒辦法防吧 02/10 23:49
35F:推 stock999: 我一天只能轉5萬。轉帳都會通知。 02/11 00:13
36F:推 nicetw20xx: 好奇為什麼漁父會知道電話使用者的銀行 02/11 00:30
37F:推 SaltC: sudo做一次,root永留存。 02/11 00:58
38F:→ ssccg: 不用知道啊,釣魚就是多撒餌,總會碰到剛好能上鉤的魚 02/11 01:40
39F:推 ILYY: 我都跟家人說只要是簡訊連結就不要點 02/11 01:44
40F:推 chuegou: 講到網頁 聯邦的app是把我導向他們的網頁 02/11 01:52
41F:噓 rebuildModel: 台灣的法律對犯罪者來說是毫無壓力造成的,如果這類 02/11 02:57
42F:→ rebuildModel: 詐騙一律改成滿清十大酷刑凌遲至死,由車手到首腦 02/11 02:57
43F:→ rebuildModel: 一律同罪,保證很快就沒有這類犯罪了。台灣法律真 02/11 02:57
44F:→ rebuildModel: 的是為犯罪者而設立的,而人民也很喜歡沒意見呢 02/11 02:58
45F:→ rebuildModel: 都沒有政黨敢主打殺光犯罪者的主張嗎? 太可惜啦 02/11 02:58
46F:推 taipoo: 有OTP,我覺得還算安全 02/11 06:54
47F:→ spfy: 欸不是 法律有比例原則阿 連我法盲都知道 02/11 07:12
48F:→ ChungLi5566: 有OTP就表示是user自己的問題啊 02/11 08:17
49F:→ ChungLi5566: 銀行怎麼知道操作app的人是不是本人 02/11 08:18
50F:→ mathrew: 人的問題,系統再強也沒用 02/11 09:30
51F:→ mathrew: 智慧型手機是給有智慧的人用的 02/11 09:30
52F:→ guanting886: 我覺得可以做一個假網站發簡訊給長輩親戚做測試..登 02/11 09:58
53F:→ guanting886: 入後提示他們不要相信來歷不明的簡訊XD 02/11 09:58
54F:推 nikolas: APP綁定特定手機型號 這樣至少多一個機制防止別人登入 02/11 10:25
55F:→ bill0205: G大 那樣很像某些公司IT會幹的事情XDDD 02/11 10:28
56F:→ bill0205: 真的就是...使用者智商要提升 不然再好再嚴謹的防護都 02/11 10:29
57F:→ bill0205: 無效 但很多人不願意承認自己智商低... 02/11 10:29
58F:推 nikolas: 這案例不是智商問題吧 是機制沒設計好轉帳沒通知才被轉走 02/11 10:32
59F:推 atpx: 不管你怎麼設計, 使用者都會有不知情被詐騙操作的風險 02/11 13:32
60F:→ atpx: 就算不要上網不用ATM臨櫃領, 一樣會有匯款給美軍男友的狀況 02/11 13:33
61F:→ atpx: 轉帳通知user不看也沒用 02/11 13:33
62F:推 es8603: 有新的綁定信任載具的時候會通知舊手機示警嗎?雖然只是補 02/12 10:09
63F:→ es8603: 救,至少多點時間通知銀行做管控 02/12 10:09
64F:→ es8603: 而不是等到發現錢被轉了才知道 02/12 10:10
65F:→ s860355: g大說的假網站,就現在很多公部門跟銀行對員工做的事情 02/13 15:00