Re: [情報] 上海銀行刷卡OTP簡訊新增網頁識別碼
這個作法實際上對網路釣魚一點用都沒有。
還沒有驗證碼之前,是這個樣子
1.使用者輸入卡號->釣魚網站->真的網站
2.使用者收到OTP->釣魚網站->OTP驗證頁面
3.釣魚網站完成盜刷
多了驗證碼之後變成下面這樣
1.使用者輸入卡號->釣魚網站->真的網站
2.釣魚網站被導向驗證頁面,把上面的內容抓回來顯示給使用者看
3.使用者收到OTP->釣魚網站(有附加驗證碼的頁面)->OTP驗證頁面
4.釣魚網站完成盜刷
基本上釣魚網站就是中間人攻擊的角色,不論你機制怎麼改,他都有資料。
改用passkey這種有抗網釣機制的作法才是正解。
※ 引述《pl726 (PL月見草)》之銘言:
: 親愛的客戶,您好:
: 本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時
: ,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼
: 中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼
: 前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意
: 提供予第三人,以防詐騙。
: https://i.imgur.com/9fgriSc.jpeg
: 注意事項:
: 若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。
: 如有任何問題,請電洽本行客服中心。
: 1. 無【網頁識別碼】選項。
: 2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。
: 3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。
: ==============================
: 自己在7月初網路消費的時候有發現這個變動,
: 今天才收到上海銀行的E-Mail正式通知。
: 現在刷上海卡的3D驗證頁面會有四組英文,
: 要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。
: 還沒聽說其他銀行把程序改成這樣,
: 也不知道這樣是否就能降低盜刷詐騙的機會...XD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 163.22.18.21 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1721383565.A.340.html
推
07/19 18:26,
6月前
, 1F
07/19 18:26, 1F
→
07/19 18:26,
6月前
, 2F
07/19 18:26, 2F
噓
07/19 18:41,
6月前
, 3F
07/19 18:41, 3F
推
07/19 20:18,
6月前
, 4F
07/19 20:18, 4F
→
07/19 20:18,
6月前
, 5F
07/19 20:18, 5F
推
07/19 21:30,
6月前
, 6F
07/19 21:30, 6F
→
07/19 22:08,
6月前
, 7F
07/19 22:08, 7F
推
07/19 22:33,
6月前
, 8F
07/19 22:33, 8F
→
07/19 22:33,
6月前
, 9F
07/19 22:33, 9F
推
07/19 22:42,
6月前
, 10F
07/19 22:42, 10F
→
07/19 23:41,
6月前
, 11F
07/19 23:41, 11F
推
07/20 01:53,
6月前
, 12F
07/20 01:53, 12F
噓
07/21 03:54,
6月前
, 13F
07/21 03:54, 13F
→
07/21 03:54,
6月前
, 14F
07/21 03:54, 14F
→
07/21 10:45,
6月前
, 15F
07/21 10:45, 15F
推
07/22 14:45,
6月前
, 16F
07/22 14:45, 16F
→
07/22 14:46,
6月前
, 17F
07/22 14:46, 17F
討論串 (同標題文章)
creditcard 近期熱門文章
PTT職涯區 即時熱門文章
251
552