作者ripple0129 (perry tsai)
看板Soft_Job
标题Re: [讨论] 是银行安全性有问题吗
时间Wed Feb 10 13:36:14 2021
整个流程是这样
受害者到钓鱼网站输入帐密
钓鱼网站马上到真实银行输入帐密
这时候就会发OTP简讯到受害者手机
受害者在钓鱼网站输入OTP
钓鱼网站等同也拿到OTP能登入了
整个最大的问题是
为什麽每一笔转帐没有OTP
这是Richard的问题了
基本上我使用的银行
每次转帐都是需要再输入OTP的
不过要Richard赔有点难
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.216.163.255 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1612935376.A.8D5.html
1F:推 now99: 旧设备绑定机制用otp验证绑定,之後交易都透过手机app和推02/10 13:41
2F:→ now99: 播验证02/10 13:41
3F:推 abccbaandy: 因为是手机绑定阿,简讯内容应该写的明显点02/10 13:41
4F:→ MOONY135: 我用其他家的都有,台新只是消费卡 只会用在pchome购物02/10 14:08
5F:→ MOONY135: 或者买车票 没啥用台新的转帐机会02/10 14:08
6F:推 nikolas: 这个案子 受害者的OPT没有绑手机 所以她没有输入OTP02/10 16:39
7F:→ nikolas: otp发去帐户 而帐户也被登入 所以才被盗转02/10 16:40
9F:→ sunpc: 现在大部分的二阶段验证都挡不了钓鱼攻击02/10 20:22
10F:→ ssccg: 每笔转帐都要OTP难道不能再骗使用者输入一次? 都上当了哪有02/10 20:44
11F:→ ssccg: 差几次的,二阶段验证的验证是对server去认client的用的02/10 20:45
12F:→ ssccg: 使用者被钓鱼,就真的使用者,跟验证方式无关02/10 20:45
有差别喔
使用者操作转帐
跟被盗用操作转帐是两回事
原po的案例转帐要OTP不会被得手
※ 编辑: ripple0129 (49.216.163.255 台湾), 02/10/2021 21:05:56
13F:嘘 underwater: 不管验证机制怎麽样,被骗的人都照做号不是一样02/10 21:15
不能这样思考啊
这样思考完全不用理资安了
※ 编辑: ripple0129 (49.216.163.255 台湾), 02/10/2021 22:42:19
14F:→ ilv221: 资安的议题本来就是 一半在系统一半在使用者的资安观念啊 02/11 00:32
15F:→ ssccg: 钓鱼本来就不是靠资安机制,要靠资安教育啊 02/11 01:40
16F:推 Abbee: 同意楼上 02/12 18:14