Re: [情報] 上次是國泰、這次是台新
近期有些銀行用一次性簡訊綁定裝置的方式
只需要接受第一組OTP密碼 綁定後就可以用這台裝置自由轉帳
我推測以下是近期詐騙集團的手法
請各位小心防範
首先只要讓你進到假網站 一旦你輸入帳號密碼 幾乎就上鉤了
以下A是你在假網站的操作 B是犯罪集團的行動裝置操作
A:請你按接收驗證碼以完成更新/驗證/嘎啦嘎拉..(各種理由)
B:擷取你在假網站輸入的帳密 登入真的銀行APP
A:按下接收(發送)驗證碼
B:同步按下申請綁定裝置的發送驗證碼
此時真的簡訊驗證碼傳到你的手機上
A:在假網站輸入真驗證碼
B:同步得到真驗證碼=>綁定裝置=>開始轉錢
快的話可能3分鐘內就能轉到當日上限的金額
甚至最佳詐騙時機為接近跨日的時候 日期一轉換 馬上再轉一天的限額
當然...簡訊的連結我平常就死也不會點
但網路的連結要騙你進去的手法就很多元了...
詐騙集團只需要把你引導到"假網站" 就幾乎得手8成
因為只要你相信這個是"銀行"的網頁
網頁上要你做什麼你都會照做
請各位一定要多加注意
※ 引述《prussian (prussian)》之銘言:
: 幫忙宣導一下, 簡訊網址不要亂點啊
: 看來還會有好幾波,中國騙子真的很煩
: 以市佔來看接下來可能是中信? 郵局?
: (內政部警政署 165 全民防騙網)
: https://165.npa.gov.tw/#/article/rumor/80
: 上次是國泰、這次是台新
: 發佈日期:2021-02-05 20:05
: 更新日期:2021-02-05 20:11
: 上次是國泰、這次是台新
: 老手法亂槍打鳥
: 您可別誤點擊、也不要填輸任何資料
: 詐騙網址恐一直更新變動
: 請睜大眼睛 OO 勿上當
: https://165.npa.gov.tw/images/E81F7D49A09C7DA445E3FCCAA8329817.png
--
所以簡訊要看清楚 看到OTP簡訊的每個字都要認真看
如果不取消簡訊認證,至少要像約定帳戶一樣,隔天才生
效並寄生效通知,這樣才有足夠時間反應
簡訊內容隨便輸入什麼都可以又沒有驗證機制,要玩中間
人攻擊太容易了
網站域名也是 簡訊裡的電話和網址都要先持保留態度
無法驗證簡訊和網站來源的話就像原po講的,花言巧語騙
你唬你嚇你去輸入otp,中間人攻擊都很容易
綁定信任機制有問題啊,金管會還不下架
短時間要改成 MobileID 或 AOTP 或 視訊簽章 比較難
關閉非約定轉帳好了
我認真考慮關閉主要帳戶的網路交易功能 留點零用金就好
「超時」是大陸用語嗎?台灣通常都用逾時吧
超時有點支語沒錯
平常是用逾期或過期
銀行傳送的簡訊或郵件的連結絕對不要直接點擊
樓上,問題是銀行常這樣幹阿...
更改裝置需要otp email 安全密嗎(要求所有人要設)
擔心的話就複製貼上無痕式網頁點擊阿,看看在賣什麼藥~
卡3關還笨到能丟 也不簡單,希望出3重4重5重認證
針對改裝置加強,應該就能卡很多了,按到釣魚也不怕
XD這樣沒遇到釣魚自己也不想用網銀了吧
我建議165應該建立一個詐騙網頁黑名單,用瀏覽器外掛的
方式發布出去,提供給民眾自己安裝。
如果民眾點到詐騙網頁就會自動擋掉。
類似Who's call的原理。
說實在銀行放棄簡訊行銷就好了,讓銀行以後不要發簡訊,這
樣自然而然讓人知道簡訊的都是詐騙,不過銀行不可能會放棄
它們恨不得多點管道來行銷了怎麼可能捨棄
不對吧 是要使用者懂得查證 怎麼變成要銀行不發簡訊
詐騙電話很多 你就叫政府、銀行不要打電話通知民眾?
行政文書也有偽造過的紀錄 以後都不要公文往來了?
政府大多數時候都是寄信或email,沒有那個美國時間打電話
你試試如何向2300萬人宣導注意網址1Il0O的差別?
會被騙的怎麼會去裝外掛 XD
詐騙集團又不是這兩天才有,不應該因噎廢食,這樣事情都不
用做了。
反詐騙不在最聰明的人懂不懂,而是要讓老嫗都能解
如果一個機制很難分辨真假,改良也是必要的
無法改良自然就是換招,不然後果誰要承擔?
被騙的人自己笨所以不需要詐欺罪嗎? 這是兩回事
宣導固然要作,機制可以改進的沒有理由不作
把裝置綁定之類的驗證碼改成回撥語音告知,前面加個警語
現在是卡在這個時間點尷尬,阻擋的需求先於介面友善
被騙的回去裝盜版的外掛更慘
如果被解除綁定的裝置會跳通知應該能第一時間發覺?
至少改成每筆轉帳都要OTP,不是綁定一次裝置以後隨便轉
如果已經被詐騙集團改成他門的電話,這樣每筆都OTP也無用
會被騙的就是會被騙 因噎廢食 講再多會被說自私
目前otp 修改都要用晶片卡認證,沒那麼好改
重點是銀行簡訊分不出來啊!跟電話顯示號碼可改,結果宣導
半天詐騙還是居高不下,銀行簡訊號碼不時跳來跳去,有人厲
害到可以事先分辯出真假嗎?又會有人說那不要去點就好,那
不就跟現在提醒半天,銀行不會用什麼電話打來一樣,看看現
在有多少成效就知道了,簡訊這種群發沒特定性辯別方式的才
是最危險的,詐騙集團推成出新的詐騙不就是找各種弱點讓人
人疏忽,這麼大的一個弱點不想改,人家不利用才怪
不長腦被收割也是剛好而已
國外帳戶轉帳都要用photoTan 去掃碼 然後輸入產生碼才能轉
OTP實在太容易被中間人竊取了
不過基本還是沒有警覺 怎麼樣的防護機制都會有人被騙
銀行行銷用簡訊有多危險,除非不看不然留一下銀行字樣再
留個模擬二可的活動文字附連結,這樣看很多人就會去點連
結,說實在這種縮網址連結要作文章的方法太多了;連在ptt
一些po圖連結不用.jpg結尾,自己一般也不太想點進去看了
喔!尤其又寫類似分眾只有收到簡訊的才有,這種分眾活動
一般都無法用搜尋找到,所以簡訊這次被詐騙集團利用,顯
而易見遲早的事
我覺得啦,以後換機就要回網銀或實體ATM取得裝置認證碼
,認證再後才可以進行非約定交易,每次都被這些詐騙集
團搞得很不方便
這件事跟前陣子各家網銀app各種當機卡住有沒有關聯...?
銀行搞那麼久kyc了,還是一堆人頭帳戶
otp有的有前幾碼是英文讓你確認是不是同一個操作動作 這
樣會比較安全嗎?
樓上依照台新受害人的案例,不會有比較安全。
現在很多手機otp 收到以後鍵盤都直接帶出數字,簡訊
內文有些人根本沒在看
銀行應該要了解到,簡訊OTP一點都不安全,
是時候要想其他更安全的驗證方式了
真的otp我覺得沒有比較安全
就把主要帳戶網路交易關掉就好了
數位帳戶沒辦法線上關,似乎要打給客服
為什麼opt不安全啊
打錯 是otp
留言好多北七XDDDDDD
OTP本身是安控機制 OTP是電信網路P2P安全得很
不安全的是使用者y
傳輸安全和能不能確認對方身份是兩回事
當使用者讓手機變得不安全成為多數時呢?
講錯 企業簡訊應該是A2P
便利跟安全本來就是一體兩面
使用者自己的問題 跟印章被偷卻怪用印章不安全一樣
自己不小心、不思考,出事怪他人?!凡事都要停看聽,尤其
是遇到有關錢的事。
搞得各銀行廣發提醒mail、訊息、簡訊 這些人真的很棒
非約轉應該每次要有OTP!不是綁定裝置就可以無腦轉,
到底是誰發明這漏洞還沾沾自喜認為是新功能?
在資安的世界裡,人就是最大的漏洞
綁定裝置為了省錢還有防止簡訊otp轉發,不過沒料到用簡訊ot
p綁定就不安全了
可惜行動金鑰.保鏢.e碼這類型綁定驗證app沒落了
除非可以將所有人提升到和你一樣聰明,隨時隨地思緒清
晰,否則檢討受害人完全無用。防犯措施要考慮的是最糟
情況。更何況誰敢打包票自己遇到時百分之百不會被騙?
隨便翻一下就能找到一封永豐的簡訊做舉例,用永豐自己官
網提醒公告都不會列出自己銀行會有的所有網址了,這封簡
訊自己警惕心高點還會去搜尋開頭網址確定是永豐繳費網的
沒錯,但如果銀行放短網址的話又有誰可以分辨,所以才會
說銀行簡訊根本不該放網址連結,一些銀行自己一直以來放
連結讓人習慣了,所以人收到有連結的簡訊又無法辨別是假
的,難免會有人大意之下直接去點,這樣假借銀行的行銷簡
訊會不危險嗎??
手法層出不窮,不愁魚兒不上鉤
被騙匯款到國外,用到爛的招還是有人會中
這個otp漏洞蠻強的,一般人會覺得otp很安全,就去輸入帳密
綁裝置比純OTP還安全好嗎?手機被木馬側錄opt每次發也是
直接被轉光光 綁裝置才擋得住 只是太低估白癡使用者 會用
網銀的人竟然被釣魚網站騙走帳密而且還會被騙第二次的opt
這次出問題的是「綁定」的步驟,安全性而言和純OTP一樣
詐騙簡訊1月就有了 沒有收到詐騙簡訊 反而收到一堆銀
行反詐騙訊息
37
Re: [新聞] 盜刷新招 慎防1元消費簡訊這幾位苦主出事,並不是自己蠢到把OTP告訴別人 而是詐騙集團精心偽造出一個刷卡頁面(偽裝成某家第三方支付) 讓你刷卡後 再跑出偽造的3d驗證頁面 讓你乖乖把OTP輸入上去 這次的詐騙不是買什麼一頁式購物詐騙32
Re: [情報] 小心詐騙這詐騙手法是透過假紓困網站取得民眾的個資 再拿民眾的個資去註冊電子支付(悠遊付、街口等) 被註冊後,綁定被害人的銀行帳戶→儲值→轉出 這些詐騙網站的網址經常以xxgov.tw偽裝成政府機構取信被害人 以這個詐騙網站為例,親自實測32
Re: [問卦] 紓困4.0補貼已通過的卦?這我已經開箱過了 為了讓更多人看到、減少被害人 每推稅前10P、發到爆 原文如下:18
[討論] 是銀行安全性有問題嗎請見這篇文 最近有簡訊詐騙 使用者在釣魚網頁輸入身份證、帳密 再輸入OTP驗證碼 就會被詐騙集團提領出帳戶的錢 以前用線上ATM 都還要插自然人憑證或是金融卡19
[討論] 只是想要更多女孩們知道(同文另有張貼在e-shopping) 寫這篇文不是為了要說蝦皮不好或是其他方有問題,不在於貶義,而是在於提醒女孩們知 悉風險性,了解此事實情況發生,也不強迫解除綁定,覺得對自我資安、他人資安信任度 強的人,我覺得也沒有解除綁定的必要。 就讓文留給可能需要的人,如真的不幸遭利用帳號盜刷,也能略知一二,不然其實發現的15
Re: [問題] 蝦皮帳號綁定的信用卡被盜刷抱歉,就不用引用原文了。 ——————11/14更新—————— 今日收到郵政總公司來電(下午五點半左右),簡要地說,郵政的立場是因VISA條款原因 ,無法將輸入驗證碼成功的款項列為爭議款(無法退款的意思,仍有案例很幸運地銀行願 意先退款),但會配合協助警方提供12
[討論] Google Pay 取得綁定驗證碼的方式剛在隔壁板看到有人的信用卡被綁到別人的手機的 GP 裡 延伸閱讀: #1Yqg1_8K (creditcard) 於是想到綁定 GP 時通常都是本人使用並傳驗證碼簡訊至本人的手機 但還有一種方式是撥打銀行客服索取綁定的驗證碼, 如下圖:3
[問題] 國泰卡無法綁定Uber請問有人和我一樣 無法在Uber 綁定國泰Cube卡嗎? 如下圖,按「簡訊傳送交易密碼」或「電子郵件傳送交易密碼」都沒反應。 試了別家銀行的卡(永豐 Sports 和雙幣卡)收驗證碼的介面不同,都可以成功按下按鈕