[情報] 上海銀行刷卡OTP簡訊新增網頁識別碼

看板creditcard (信用卡)作者 (PL月見草)時間3月前 (2024/07/19 16:47), 3月前編輯推噓17(19258)
留言79則, 19人參與, 2月前最新討論串1/2 (看更多)
親愛的客戶,您好: 本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時 ,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼 中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼 前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意 提供予第三人,以防詐騙。 https://i.imgur.com/9fgriSc.jpeg
注意事項: 若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。 如有任何問題,請電洽本行客服中心。 1. 無【網頁識別碼】選項。 2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。 3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。 ============================== 自己在7月初網路消費的時候有發現這個變動, 今天才收到上海銀行的E-Mail正式通知。 現在刷上海卡的3D驗證頁面會有四組英文, 要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。 還沒聽說其他銀行把程序改成這樣, 也不知道這樣是否就能降低盜刷詐騙的機會...XD -- 回到自己以前待過的地方,什麼事情讓你最吃驚? 1. 以前為你拉小提琴送別的女生,在學校一見面就給你一巴掌 2. 開朗活潑的兒時玩伴,一句話都不說就跟她弟弟私奔 3. 素不相識的小學女生,要你幫忙跟自己的朋友告白 4. 小時候給過你牛奶糖的大姐姐,變成班上的導師 5. 對你很好的班級委員,居然是陷害自己朋友的兇手 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 136.226.240.92 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1721378830.A.5B3.html

07/19 16:49, 3月前 , 1F
永豐也開始了
07/19 16:49, 1F

07/19 16:51, 3月前 , 2F
識別碼的原理是什麼呢? 為何這樣能避免釣魚網站
07/19 16:51, 2F

07/19 16:53, 3月前 , 3F
之前有新聞了,這個算通知晚了
07/19 16:53, 3F

07/19 16:54, 3月前 , 4F
應該6月中大家都上線了
07/19 16:54, 4F
找到新聞了 https://www.cna.com.tw/news/afe/202405290371.aspx 前陣子用國泰、玉山、華南網購,OTP都還是純驗證碼 原來永豐也跟上了(只用AP刷Sports卡XD)   ※ 編輯: pl726 (136.226.240.92 臺灣), 07/19/2024 16:59:14

07/19 16:57, 3月前 , 5F
#1cLq5yco (creditcard) 5月底的新聞
07/19 16:57, 5F

07/19 16:57, 3月前 , 6F
至少我這陣子有線上刷卡發OTP的都有這個機制
07/19 16:57, 6F

07/19 17:02, 3月前 , 7F
我這陣子用台中銀刷也有選擇驗證碼的選項了
07/19 17:02, 7F

07/19 17:06, 3月前 , 8F
既然顯示於網頁上,表示釣魚網站就能抓到資料
07/19 17:06, 8F

07/19 17:07, 3月前 , 9F
所以一樣防不住釣魚網站,只是讓釣魚工作變麻煩而已
07/19 17:07, 9F

07/19 17:09, 3月前 , 10F
不,網頁識別碼技術是唯一的,詳細記錄該網站資訊,以
07/19 17:09, 10F

07/19 17:09, 3月前 , 11F
此辨識釣魚網站
07/19 17:09, 11F

07/19 17:50, 3月前 , 12F
使用者->釣魚網站->真的網站 這是輸入卡號階段
07/19 17:50, 12F

07/19 17:50, 3月前 , 13F
然後系統發送OTP給使用者,網頁導向驗證頁面。
07/19 17:50, 13F

07/19 17:51, 3月前 , 14F
釣魚網站可以拿到這個驗證頁面。再顯示給使用者看
07/19 17:51, 14F

07/19 17:52, 3月前 , 15F
所以一樣防不了網路釣魚
07/19 17:52, 15F

07/19 17:53, 3月前 , 16F
人家都要淘汰簡訊OTP了。我們還在用不安全的東西
07/19 17:53, 16F

07/19 17:54, 3月前 , 17F

07/19 17:54, 3月前 , 18F
網頁驗證碼只有銀行跟使用者的簡訊有,釣魚網站要
07/19 17:54, 18F

07/19 17:54, 3月前 , 19F
拿到要另外想方法
07/19 17:54, 19F

07/19 17:56, 3月前 , 20F
你輸入完卡號之後,就會跳去驗證頁面,上面就顯示
07/19 17:56, 20F

07/19 17:57, 3月前 , 21F
網頁驗證碼了,這不就被釣魚網站拿走了嗎?
07/19 17:57, 21F

07/19 17:57, 3月前 , 22F
因為你卡號就已經給了釣魚網站,他當然可以拿到
07/19 17:57, 22F

07/19 18:24, 3月前 , 23F
感覺比較不會被盜刷
07/19 18:24, 23F

07/19 18:48, 3月前 , 24F
好的不學學一堆智障的東西
07/19 18:48, 24F

07/19 18:48, 3月前 , 25F
以後乾脆叫使用者在刷卡授權驗證頁面手動輸入要刷
07/19 18:48, 25F

07/19 18:48, 3月前 , 26F
的幣別和金額好了
07/19 18:48, 26F

07/19 18:48, 3月前 , 27F
低能惡搞消費者的政策,愈活愈回去
07/19 18:48, 27F

07/19 19:42, 3月前 , 28F
永豐也有
07/19 19:42, 28F

07/19 22:06, 3月前 , 29F
一點用處都沒有的東西
07/19 22:06, 29F

07/19 22:26, 3月前 , 30F
驗證碼如果用商家的名字,四個商家選一個,當你沒看
07/19 22:26, 30F

07/19 22:26, 3月前 , 31F
到真實網站的名字,你就會知道中了釣魚網站,硬點下
07/19 22:26, 31F

07/19 22:26, 3月前 , 32F
去就強制跳到聯信資料庫裡的網址,釣魚網站就釣不到
07/19 22:26, 32F

07/19 22:27, 3月前 , 33F
國外都改成直接識別商家,台灣還在史前遺跡驗證碼
07/19 22:27, 33F

07/19 22:31, 3月前 , 34F
再怎麼防都防不了人心!萬惡之源[我以為]
07/19 22:31, 34F

07/19 22:42, 3月前 , 35F
商家不用OTP最好
07/19 22:42, 35F

07/19 23:42, 3月前 , 36F
OTP 越來越浪費時間了…能不能導入綁定裝置確認就好
07/19 23:42, 36F

07/20 00:56, 3月前 , 37F
討論資安沒用 太深入的東西沒人願意懂
07/20 00:56, 37F

07/20 01:55, 3月前 , 38F
叫商家跟支付不要再用OTP線上交易或綁卡啊~
07/20 01:55, 38F

07/20 02:14, 3月前 , 39F
就是要防止上次那個3d認證但還是被冒用的問題啊
07/20 02:14, 39F

07/20 02:14, 3月前 , 40F
但總覺得道高沒有魔高啦
07/20 02:14, 40F

07/20 12:46, 3月前 , 41F
只是拖慢被釣的速度而已 乾脆回答10個問題才能付款
07/20 12:46, 41F

07/20 13:39, 3月前 , 42F
畢竟太好用,只要OTP就能甩鍋,當然要爆改假裝安全
07/20 13:39, 42F

07/20 13:42, 3月前 , 43F
商家怎麼可能不用,只要交易手續費沒差別
07/20 13:42, 43F

07/20 13:42, 3月前 , 44F
連交易資訊都不用留,出事就只要一句,是OTP
07/20 13:42, 44F

07/20 14:06, 3月前 , 45F
要求使用者挑選消費商家的名字真的是個好主意耶!
07/20 14:06, 45F

07/20 14:09, 3月前 , 46F
照某些邏輯 把驗證碼改為商家名一樣會被攔截釣魚啊~
07/20 14:09, 46F

07/20 14:50, 3月前 , 47F
永豐遇過啊
07/20 14:50, 47F

07/21 02:04, 2月前 , 48F
無法辨識opt是否有被攔截的機制一直改東改西到底有
07/21 02:04, 48F

07/21 02:04, 2月前 , 49F
什麼意義
07/21 02:04, 49F

07/21 02:04, 2月前 , 50F
現在的問題是opt只要被盜,銀行就會主動配合詐騙集
07/21 02:04, 50F

07/21 02:04, 2月前 , 51F
團出金
07/21 02:04, 51F

07/21 02:04, 2月前 , 52F
網頁識別碼這種識別刷卡商家的東西又不是主要問題,
07/21 02:04, 52F

07/21 02:04, 2月前 , 53F
而且擷取網頁識別碼又不是多難辦到的事情
07/21 02:04, 53F

07/21 02:04, 2月前 , 54F
與其搞手動opt不如把opt打包起來用手機的生物認證或
07/21 02:04, 54F

07/21 02:04, 2月前 , 55F
pass key
07/21 02:04, 55F

07/21 02:04, 2月前 , 56F
要消費的時候手機銀行App確認指紋或臉部掃描授權,
07/21 02:04, 56F

07/21 02:04, 2月前 , 57F
通過了才在後台用密碼學機制跟銀行回報通過,包含幾
07/21 02:04, 57F

07/21 02:04, 2月前 , 58F
點幾分哪個pass key裝置用什麼生物認證授權的,這樣
07/21 02:04, 58F

07/21 02:04, 2月前 , 59F
遠比隨便都被盜的opt更符合那什麼鬼「不可否認性」
07/21 02:04, 59F

07/21 02:04, 2月前 , 60F
概念和架構跟opt一樣唯一的差別是使用者從頭到尾都
07/21 02:04, 60F

07/21 02:04, 2月前 , 61F
不知道opt是多少,所以也根本沒有機會被盜走
07/21 02:04, 61F

07/21 02:04, 2月前 , 62F
而且因為這種opt一刻都沒有離開過銀行控制的系統(
07/21 02:04, 62F

07/21 02:04, 2月前 , 63F
簡訊、email、使用者的大腦、輸入的瀏覽器)這樣還
07/21 02:04, 63F

07/21 02:04, 2月前 , 64F
被盜就100%是銀行的鍋
07/21 02:04, 64F

07/21 02:07, 2月前 , 65F
沒手機的商業客戶也可以要求用預先綁定好的Windows
07/21 02:07, 65F

07/21 02:07, 2月前 , 66F
Hello之類的臉部IR和指紋
07/21 02:07, 66F

07/21 02:07, 2月前 , 67F
手動動態密碼這種東西真的該淘汰了
07/21 02:07, 67F

07/21 02:28, 2月前 , 68F
樓上的構想很好,但基於個人資料保護及其他法規的
07/21 02:28, 68F

07/21 02:28, 2月前 , 69F
大架構下,這涉及太多個人資料蒐集處理利用及與法
07/21 02:28, 69F

07/21 02:28, 2月前 , 70F
遵的議題
07/21 02:28, 70F

07/21 02:28, 2月前 , 71F
實際生活中,有些人手機裡留存就超過“一個人”以
07/21 02:28, 71F

07/21 02:28, 2月前 , 72F
上的指紋了,大科技提供終端裝置對於“使用者人”
07/21 02:28, 72F

07/21 02:28, 2月前 , 73F
的識別及驗證,在實際法律上是否具有足夠的不可否
07/21 02:28, 73F

07/21 02:28, 2月前 , 74F
認性,在法律攻防上應該是個值得討論的主題,除非
07/21 02:28, 74F

07/21 02:28, 2月前 , 75F
使用一樣會被詐騙集團濫用的(行動或實體)自然人憑
07/21 02:28, 75F

07/21 02:28, 2月前 , 76F
證,經電子簽署後才具有不可否認性
07/21 02:28, 76F

07/21 02:28, 2月前 , 77F
BTW,有人被詐騙集團叫去辦自然人憑證就真的跑去辦
07/21 02:28, 77F

07/21 02:28, 2月前 , 78F
,辦完之後把卡片和密碼給詐騙集團,怪誰?
07/21 02:28, 78F

07/24 14:14, 2月前 , 79F
不防詐騙
07/24 14:14, 79F
文章代碼(AID): #1ccYWEMp (creditcard)
文章代碼(AID): #1ccYWEMp (creditcard)