作者vyvian (vyvian)
看板creditcard
標題Re: [情報] 上海銀行刷卡OTP簡訊新增網頁識別碼
時間Fri Jul 19 18:06:03 2024
這個作法實際上對網路釣魚一點用都沒有。
還沒有驗證碼之前,是這個樣子
1.使用者輸入卡號->釣魚網站->真的網站
2.使用者收到OTP->釣魚網站->OTP驗證頁面
3.釣魚網站完成盜刷
多了驗證碼之後變成下面這樣
1.使用者輸入卡號->釣魚網站->真的網站
2.釣魚網站被導向驗證頁面,把上面的內容抓回來顯示給使用者看
3.使用者收到OTP->釣魚網站(有附加驗證碼的頁面)->OTP驗證頁面
4.釣魚網站完成盜刷
基本上釣魚網站就是中間人攻擊的角色,不論你機制怎麼改,他都有資料。
改用passkey這種有抗網釣機制的作法才是正解。
※ 引述《pl726 (PL月見草)》之銘言:
: 親愛的客戶,您好:
: 本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時
: ,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼
: 中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼
: 前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意
: 提供予第三人,以防詐騙。
: https://i.imgur.com/9fgriSc.jpeg
: 注意事項:
: 若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。
: 如有任何問題,請電洽本行客服中心。
: 1. 無【網頁識別碼】選項。
: 2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。
: 3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。
: ==============================
: 自己在7月初網路消費的時候有發現這個變動,
: 今天才收到上海銀行的E-Mail正式通知。
: 現在刷上海卡的3D驗證頁面會有四組英文,
: 要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。
: 還沒聽說其他銀行把程序改成這樣,
: 也不知道這樣是否就能降低盜刷詐騙的機會...XD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 163.22.18.21 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1721383565.A.340.html
推 lf2net4589 : 這個方式只是要用戶再一次確認自己要刷什麼而已,不 07/19 18:26
→ lf2net4589 : 是用來抗盜刷的,簡單來說就是銀行卸責用的 07/19 18:26
噓 BlueBird5566: 這本來就不是用來防釣魚 07/19 18:41
推 kkkk1234 : 推原po 這就是防釣魚網站 但中間人什麼都拿得到 所 07/19 20:18
→ kkkk1234 : 以完全沒用 07/19 20:18
推 Chricey : 我有在用UC2,感覺效果還不錯欸! 07/19 22:33推 abccbaandy : 純推passkey,不知為啥金融業都沒人用 07/19 21:30
→ cityport : 台灣金融業跟主管機關基本沒腦子,才會搞這些花招 07/19 22:08
推 andy0055 : passkey 太貴了… 07/19 22:33
→ andy0055 : 我們公司也說要用的人自己買,沒辦法申請! 07/19 22:33
推 Kroner : 我有在用UC2,感覺效果還不錯欸! 07/21 03:54推 brokeback : 再怎麼防也防不了自以為聰明的蕭癱巨嬰 07/19 22:42
→ flypenguin : passkey 國泰以前好像能自費申辦? 07/19 23:41
推 now99 : 走FIDO2吧,passkey密鑰備份過不了安控基準 07/20 01:53
噓 darkMood : 詐騙集團一律公開鞭刑後五馬分屍告誅九族最有效啦 07/21 03:54
推 Chricey : UC2是啥東西?求解釋啦! 07/22 14:46→ darkMood : 其餘都是屁啦。 07/21 03:54
→ Kazamatsuri : 請立委繼續推動修法啊~XD 07/21 10:45
推 Friday : 詐騙就鞭刑,關起來做勞務還錢,還完才能出獄 07/22 14:45
→ Friday : 還完錢才放出來,保證詐騙會少很多 07/22 14:46
推 Chricey : 關節痛有人有有效的復健方法嗎? 07/22 14:46 