作者ljf0030 (肥宅工程師)
看板Soft_Job
標題Re: [討論] 是銀行安全性有問題嗎
時間Thu Feb 11 11:21:27 2021
有些人不懂認證機制,回文說說幾次OTP認證都沒有用使用者都會照輸入,是錯誤的認知。
釣魚簡訊網路第一次可以騙使用者認證碼是因為使用者要更新資料,第一次登入同樣要認證
。
今天如果轉帳有OTP認證就不會被盜,使用者登入假的網站後,假的網站用你的帳號去真的
網銀轉帳發OTP到你的手機,請問你沒有操作轉帳功能,你在假網站會再次輸入認證碼?
這次苦主晚上8點登入完,11點多才被盜領轉帳,轉帳多一個認證碼,這個盜領根本不會成
功。
這個跟被詐騙自己操作把錢轉出去行為是不一樣的,所以根本是銀行本身網銀轉帳的安全機
制沒作好的漏洞才出現的問題。
※ 引述 《vi000246 (Vi)》 之銘言:
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.242.126.254 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1613013689.A.FF6.html
1F:推 nikolas: 我也很納悶 一堆人還笑 使用者智商問題 明明就機制太爛 02/11 11:28
2F:推 ALiangLiang: OTP啦02/11 11:29
3F:→ nikolas: 而且這裡還是軟體版 都軟體工程師02/11 11:32
4F:→ freef1y3: 感覺銀行的軟體都鳥鳥的02/11 11:44
5F:推 sunpc: OTP終究還是fishable,釣魚手法推出新,能被釣魚攻擊攻破02/11 12:49
6F:→ sunpc: 的機制就是這樣,難道說你輸入OTP錯誤或timeout,就騙不到02/11 12:49
7F:→ sunpc: 人再輸入一次嗎?02/11 12:49
※ 編輯: ljf0030 (27.242.126.254 臺灣), 02/11/2021 13:32:03
8F:推 atpx: 相信我, 真的想釣, 他可以用各種各樣的理由讓user再輸入一次02/11 13:38
你說連續騙OTP人本次案例8點登入,11點才轉帳也不會成功。
你的簡訊是更新資料,不是轉帳,想要連續騙認證碼,使用者不會覺得怪,哪有這個簡單。
你也可以說找各種理由可以來騙郭董5仟萬,我知道就難度問題而已。
9F:推 ripple0129: 資方本來就沒有100%防護,我們就是要努力達到100%不是02/11 13:42
10F:→ ripple0129: 說反正做90%一樣會被騙做80%就好02/11 13:42
11F:→ ripple0129: 防護高,被騙機率就是會下降,還是會有人被騙但是人02/11 13:43
12F:→ ripple0129: 數會降低02/11 13:43
※ 編輯: ljf0030 (27.242.126.254 臺灣), 02/11/2021 14:23:57
13F:→ shadow0326: 詐騙集團花樣很多啦 跟你講說前次驗證失敗請你重新輸02/11 15:00
14F:→ shadow0326: 入 或是用一些複雜的文字騙你要再次驗證 有些麻瓜使用02/11 15:00
15F:→ shadow0326: 者就傻傻填兩次了02/11 15:00
照你的說法OTP認證碼,如果怎麼好騙現在早就一堆案例了。
現在詐騙集團幹嘛要花時間打電話扮檢察官騙人把錢轉帳出去給別人,發幾萬通簡訊騙OTP
不就好了,他們吃飽太閒?
簡單說就是騙呆瓜去操作轉帳比騙OTP機制認證碼還容易,就是難度問題。
※ 編輯: ljf0030 (27.242.126.254 臺灣), 02/11/2021 15:21:54
16F:推 tsao1211: 有些人到現在還看不懂是怎樣被騙的 02/11 15:24
17F:噓 hiiir5566: 原po有去銀行做資安的潛力,不用考慮其他面向 02/11 18:53
18F:噓 lspci: 事後諸葛文02/13 23:11
19F:→ lspci: 你怎麼不說每次轉帳要輸入三次otp確定是本人轉帳02/13 23:12
別的銀行轉帳,有的都要再作一次認證了,已經是線上交易機制了,這叫事後諸葛?
批評別人事後諸葛,你很會,哪你提個事前諸葛的solution來看看,只會打嘴砲的酸民多的
是,不缺你一個。
※ 編輯: ljf0030 (39.10.190.23 臺灣), 02/15/2021 19:49:54
※ 編輯: ljf0030 (39.10.190.23 臺灣), 02/15/2021 20:55:35