作者pl726 (PL月見草)
看板creditcard
標題[情報] 上海銀行刷卡OTP簡訊新增網頁識別碼
時間Fri Jul 19 16:47:05 2024
親愛的客戶,您好:
本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時
,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼
中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼
前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意
提供予第三人,以防詐騙。
https://i.imgur.com/9fgriSc.jpeg
注意事項:
若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。
如有任何問題,請電洽本行客服中心。
1. 無【網頁識別碼】選項。
2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。
3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。
==============================
自己在7月初網路消費的時候有發現這個變動,
今天才收到上海銀行的E-Mail正式通知。
現在刷上海卡的3D驗證頁面會有四組英文,
要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。
還沒聽說其他銀行把程序改成這樣,
也不知道這樣是否就能降低盜刷詐騙的機會...XD
--
回到自己以前待過的地方,什麼事情讓你最吃驚?
1. 以前為你拉小提琴送別的女生,在學校一見面就給你一巴掌
2. 開朗活潑的兒時玩伴,一句話都不說就跟她弟弟私奔
3. 素不相識的小學女生,要你幫忙跟自己的朋友告白
4. 小時候給過你牛奶糖的大姐姐,變成班上的導師
5. 對你很好的班級委員,居然是陷害自己朋友的兇手
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 136.226.240.92 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/creditcard/M.1721378830.A.5B3.html
1F:→ brokeback : 永豐也開始了 07/19 16:49
2F:推 Friday : 識別碼的原理是什麼呢? 為何這樣能避免釣魚網站 07/19 16:51
3F:推 Kazamatsuri : 之前有新聞了,這個算通知晚了 07/19 16:53
4F:→ Kazamatsuri : 應該6月中大家都上線了 07/19 16:54
找到新聞了
https://www.cna.com.tw/news/afe/202405290371.aspx
前陣子用國泰、玉山、華南網購,OTP都還是純驗證碼
原來永豐也跟上了(只用AP刷Sports卡XD)
※ 編輯: pl726 (136.226.240.92 臺灣), 07/19/2024 16:59:14
6F:→ Kazamatsuri : 至少我這陣子有線上刷卡發OTP的都有這個機制 07/19 16:57
7F:推 Kazamatsuri : 我這陣子用台中銀刷也有選擇驗證碼的選項了 07/19 17:02
8F:推 vyvian : 既然顯示於網頁上,表示釣魚網站就能抓到資料 07/19 17:06
9F:→ vyvian : 所以一樣防不住釣魚網站,只是讓釣魚工作變麻煩而已 07/19 17:07
10F:→ KAOKCH : 不,網頁識別碼技術是唯一的,詳細記錄該網站資訊,以 07/19 17:09
11F:→ KAOKCH : 此辨識釣魚網站 07/19 17:09
12F:推 vyvian : 使用者->釣魚網站->真的網站 這是輸入卡號階段 07/19 17:50
13F:→ vyvian : 然後系統發送OTP給使用者,網頁導向驗證頁面。 07/19 17:50
14F:→ vyvian : 釣魚網站可以拿到這個驗證頁面。再顯示給使用者看 07/19 17:51
15F:→ vyvian : 所以一樣防不了網路釣魚 07/19 17:52
16F:→ vyvian : 人家都要淘汰簡訊OTP了。我們還在用不安全的東西 07/19 17:53
18F:推 sggs : 網頁驗證碼只有銀行跟使用者的簡訊有,釣魚網站要 07/19 17:54
19F:→ sggs : 拿到要另外想方法 07/19 17:54
20F:推 vyvian : 你輸入完卡號之後,就會跳去驗證頁面,上面就顯示 07/19 17:56
21F:→ vyvian : 網頁驗證碼了,這不就被釣魚網站拿走了嗎? 07/19 17:57
22F:→ vyvian : 因為你卡號就已經給了釣魚網站,他當然可以拿到 07/19 17:57
23F:推 nanababa : 感覺比較不會被盜刷 07/19 18:24
24F:噓 cytochrome : 好的不學學一堆智障的東西 07/19 18:48
25F:→ cytochrome : 以後乾脆叫使用者在刷卡授權驗證頁面手動輸入要刷 07/19 18:48
26F:→ cytochrome : 的幣別和金額好了 07/19 18:48
27F:→ cytochrome : 低能惡搞消費者的政策,愈活愈回去 07/19 18:48
28F:推 jack168168tw: 永豐也有 07/19 19:42
29F:→ cityport : 一點用處都沒有的東西 07/19 22:06
30F:→ cityport : 驗證碼如果用商家的名字,四個商家選一個,當你沒看 07/19 22:26
31F:→ cityport : 到真實網站的名字,你就會知道中了釣魚網站,硬點下 07/19 22:26
32F:→ cityport : 去就強制跳到聯信資料庫裡的網址,釣魚網站就釣不到 07/19 22:26
33F:→ cityport : 國外都改成直接識別商家,台灣還在史前遺跡驗證碼 07/19 22:27
34F:噓 andy0055 : 再怎麼防都防不了人心!萬惡之源[我以為] 07/19 22:31
35F:推 Kazamatsuri : 商家不用OTP最好 07/19 22:42
36F:→ flypenguin : OTP 越來越浪費時間了…能不能導入綁定裝置確認就好 07/19 23:42
37F:推 QQ5566 : 討論資安沒用 太深入的東西沒人願意懂 07/20 00:56
38F:推 Kazamatsuri : 叫商家跟支付不要再用OTP線上交易或綁卡啊~ 07/20 01:55
39F:→ aiyowaya : 就是要防止上次那個3d認證但還是被冒用的問題啊 07/20 02:14
40F:→ aiyowaya : 但總覺得道高沒有魔高啦 07/20 02:14
41F:推 terfd : 只是拖慢被釣的速度而已 乾脆回答10個問題才能付款 07/20 12:46
42F:推 away612101 : 畢竟太好用,只要OTP就能甩鍋,當然要爆改假裝安全 07/20 13:39
43F:→ away612101 : 商家怎麼可能不用,只要交易手續費沒差別 07/20 13:42
44F:→ away612101 : 連交易資訊都不用留,出事就只要一句,是OTP 07/20 13:42
45F:推 cytochrome : 要求使用者挑選消費商家的名字真的是個好主意耶! 07/20 14:06
46F:→ Kazamatsuri : 照某些邏輯 把驗證碼改為商家名一樣會被攔截釣魚啊~ 07/20 14:09
47F:推 paul40807 : 永豐遇過啊 07/20 14:50
48F:→ kaltu : 無法辨識opt是否有被攔截的機制一直改東改西到底有 07/21 02:04
49F:→ kaltu : 什麼意義 07/21 02:04
50F:→ kaltu : 現在的問題是opt只要被盜,銀行就會主動配合詐騙集 07/21 02:04
51F:→ kaltu : 團出金 07/21 02:04
52F:→ kaltu : 網頁識別碼這種識別刷卡商家的東西又不是主要問題, 07/21 02:04
53F:→ kaltu : 而且擷取網頁識別碼又不是多難辦到的事情 07/21 02:04
54F:→ kaltu : 與其搞手動opt不如把opt打包起來用手機的生物認證或 07/21 02:04
55F:→ kaltu : pass key 07/21 02:04
56F:→ kaltu : 要消費的時候手機銀行App確認指紋或臉部掃描授權, 07/21 02:04
57F:→ kaltu : 通過了才在後台用密碼學機制跟銀行回報通過,包含幾 07/21 02:04
58F:→ kaltu : 點幾分哪個pass key裝置用什麼生物認證授權的,這樣 07/21 02:04
59F:→ kaltu : 遠比隨便都被盜的opt更符合那什麼鬼「不可否認性」 07/21 02:04
60F:→ kaltu : 概念和架構跟opt一樣唯一的差別是使用者從頭到尾都 07/21 02:04
61F:→ kaltu : 不知道opt是多少,所以也根本沒有機會被盜走 07/21 02:04
62F:→ kaltu : 而且因為這種opt一刻都沒有離開過銀行控制的系統( 07/21 02:04
63F:→ kaltu : 簡訊、email、使用者的大腦、輸入的瀏覽器)這樣還 07/21 02:04
64F:→ kaltu : 被盜就100%是銀行的鍋 07/21 02:04
65F:→ kaltu : 沒手機的商業客戶也可以要求用預先綁定好的Windows 07/21 02:07
66F:→ kaltu : Hello之類的臉部IR和指紋 07/21 02:07
67F:→ kaltu : 手動動態密碼這種東西真的該淘汰了 07/21 02:07
68F:推 cytochrome : 樓上的構想很好,但基於個人資料保護及其他法規的 07/21 02:28
69F:→ cytochrome : 大架構下,這涉及太多個人資料蒐集處理利用及與法 07/21 02:28
70F:→ cytochrome : 遵的議題 07/21 02:28
71F:→ cytochrome : 實際生活中,有些人手機裡留存就超過“一個人”以 07/21 02:28
72F:→ cytochrome : 上的指紋了,大科技提供終端裝置對於“使用者人” 07/21 02:28
73F:→ cytochrome : 的識別及驗證,在實際法律上是否具有足夠的不可否 07/21 02:28
74F:→ cytochrome : 認性,在法律攻防上應該是個值得討論的主題,除非 07/21 02:28
75F:→ cytochrome : 使用一樣會被詐騙集團濫用的(行動或實體)自然人憑 07/21 02:28
76F:→ cytochrome : 證,經電子簽署後才具有不可否認性 07/21 02:28
77F:→ cytochrome : BTW,有人被詐騙集團叫去辦自然人憑證就真的跑去辦 07/21 02:28
78F:→ cytochrome : ,辦完之後把卡片和密碼給詐騙集團,怪誰? 07/21 02:28
79F:推 okgogogo : 不防詐騙 07/24 14:14