作者ripple0129 (perry tsai)
看板Soft_Job
標題Re: [討論] 是銀行安全性有問題嗎
時間Wed Feb 10 13:36:14 2021
整個流程是這樣
受害者到釣魚網站輸入帳密
釣魚網站馬上到真實銀行輸入帳密
這時候就會發OTP簡訊到受害者手機
受害者在釣魚網站輸入OTP
釣魚網站等同也拿到OTP能登入了
整個最大的問題是
為什麼每一筆轉帳沒有OTP
這是Richard的問題了
基本上我使用的銀行
每次轉帳都是需要再輸入OTP的
不過要Richard賠有點難
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.163.255 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1612935376.A.8D5.html
1F:推 now99: 舊設備綁定機制用otp驗證綁定,之後交易都透過手機app和推02/10 13:41
2F:→ now99: 播驗證02/10 13:41
3F:推 abccbaandy: 因為是手機綁定阿,簡訊內容應該寫的明顯點02/10 13:41
4F:→ MOONY135: 我用其他家的都有,台新只是消費卡 只會用在pchome購物02/10 14:08
5F:→ MOONY135: 或者買車票 沒啥用台新的轉帳機會02/10 14:08
6F:推 nikolas: 這個案子 受害者的OPT沒有綁手機 所以她沒有輸入OTP02/10 16:39
7F:→ nikolas: otp發去帳戶 而帳戶也被登入 所以才被盜轉02/10 16:40
9F:→ sunpc: 現在大部分的二階段驗證都擋不了釣魚攻擊02/10 20:22
10F:→ ssccg: 每筆轉帳都要OTP難道不能再騙使用者輸入一次? 都上當了哪有02/10 20:44
11F:→ ssccg: 差幾次的,二階段驗證的驗證是對server去認client的用的02/10 20:45
12F:→ ssccg: 使用者被釣魚,就真的使用者,跟驗證方式無關02/10 20:45
有差別喔
使用者操作轉帳
跟被盜用操作轉帳是兩回事
原po的案例轉帳要OTP不會被得手
※ 編輯: ripple0129 (49.216.163.255 臺灣), 02/10/2021 21:05:56
13F:噓 underwater: 不管驗證機制怎麼樣,被騙的人都照做號不是一樣02/10 21:15
不能這樣思考啊
這樣思考完全不用理資安了
※ 編輯: ripple0129 (49.216.163.255 臺灣), 02/10/2021 22:42:19
14F:→ ilv221: 資安的議題本來就是 一半在系統一半在使用者的資安觀念啊 02/11 00:32
15F:→ ssccg: 釣魚本來就不是靠資安機制,要靠資安教育啊 02/11 01:40
16F:推 Abbee: 同意樓上 02/12 18:14