PTT推薦

[討論] 是銀行安全性有問題嗎

看板Soft_Job標題[討論] 是銀行安全性有問題嗎作者
vi000246
(Vi)
時間推噓18 推:19 噓:1 →:45

請見這篇文

http://tinyurl.com/3rta3buv

最近有簡訊詐騙 使用者在釣魚網頁輸入身份證、帳密

再輸入OTP驗證碼 就會被詐騙集團提領出帳戶的錢

以前用線上ATM 都還要插自然人憑證或是金融卡

最近簡化成只要身份證、帳密就能登入並轉帳

加上使用者開通非約轉帳功能

一天就能轉出十萬 跨日能再轉十萬

這應該是使用者要自己注意吧

畢竟釣魚網頁也行之有年了 會用到網銀的也通常都是年輕人

銀行端如果要加強安全性 也只能把網銀下架

繼續用傳統插卡驗證了

大家覺得銀行會因為這件事改變做法

讓網銀多加幾層驗證嗎?

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.126.57 (臺灣)
PTT 網址

now9902/10 13:31綁定信任載具採用簡訊otp,這段改掉就好

OriginStar02/10 13:32手機轉帳吧,想要方便,驗證機制就不能太麻煩

OriginStar02/10 13:34原PO說的我也用過,要有電腦、讀卡機、金融卡

OriginStar02/10 13:34瀏覽器還要常常更新元件

alihue02/10 13:34不會多加吧,走回頭路幹嘛

alihue02/10 13:35每日上限這道坎就讓風險保持在一個低點了

leptoneta02/10 13:35手機簡訊驗證碼 很多網銀都用這一步當驗證吧

leptoneta02/10 13:36哪需要插卡和讀卡機

MOONY13502/10 14:04轉帳要手機驗證碼阿

MOONY13502/10 14:05是說能用網銀app為什麼要在手機上面硬開網頁

leicheong02/10 14:08@now99 這是在說使用者在假網站輸入OTP那些, 簡訊otp

leicheong02/10 14:08對這沒幫助.

leicheong02/10 14:10如果銀行公會自己有RootCA,銀行和金融機構都需要用那

leicheong02/10 14:11簽發出來的cert., 那樣可以寫瀏覽器插件來幫用戶驗證吧

smalldra02/10 14:48帳密被盜 哪個會員系統都一樣 銀行只要求雙因 就是otp

smalldra02/10 14:49裝綁一因子 轉帳再生物辨識 就能出去了

smalldra02/10 14:50除非金管會強制金流交易一定要過otp

smalldra02/10 14:50otp一樣也能轉出去 被騙的user一樣能提供otp碼

jack020402/10 14:55限制再多也一樣,整個流程都是user自己給資料,沒的防

bill020502/10 15:05無論加什麼機制都不是重點了 覺得已經是使用者智商要提

bill020502/10 15:05升才能解決

bill020502/10 15:07不然加再多user自己提供認證機制 那有用嗎

ripple012902/10 15:07有差喔,使用者有沒有做轉帳動作差很多,要騙到人轉帳

ripple012902/10 15:07這種才是沒辦法,本人自己轉出去的

kurtsgm02/10 15:23被釣魚OTP也是沒用吧 除非簡訊直接帶網址回正確網頁?

rotalume02/10 15:49簡訊帶回網址就會回到網址是否是真正網址的迴圈

leo0821091702/10 19:22一堆銀行都推老人家用網銀阿 然後家人不懂問年輕人

leo0821091702/10 19:23家裡有些老人家看到那些釣魚簡訊根本沒能力分辨好嗎

ssccg02/10 20:39@leicheong 銀行公會當然有RootCA,你以為使用者想用憑證?

ssccg02/10 20:40其實最不在意安全的就是使用者,方便大於一切

ssccg02/10 20:40被釣魚再怪資安,其實釣魚跟資安沒什麼關係,會被騙的人再

ssccg02/10 20:41複雜的流程都會被騙著去做啊,看看去ATM轉帳送錢的

vi00024602/10 20:51沒錯 防呆不防蠢 再複雜的機制 都會有人被騙

viper970902/10 23:49帳密連OTP都給了,那就跟本人一樣了阿~這根本沒辦法防吧

stock99902/11 00:13我一天只能轉5萬。轉帳都會通知。

nicetw20xx02/11 00:30好奇為什麼漁父會知道電話使用者的銀行

SaltC02/11 00:58sudo做一次,root永留存。

ssccg02/11 01:40不用知道啊,釣魚就是多撒餌,總會碰到剛好能上鉤的魚

ILYY02/11 01:44我都跟家人說只要是簡訊連結就不要點

chuegou02/11 01:52講到網頁 聯邦的app是把我導向他們的網頁

rebuildModel02/11 02:57台灣的法律對犯罪者來說是毫無壓力造成的,如果這類

rebuildModel02/11 02:57詐騙一律改成滿清十大酷刑凌遲至死,由車手到首腦

rebuildModel02/11 02:57一律同罪,保證很快就沒有這類犯罪了。台灣法律真

rebuildModel02/11 02:58的是為犯罪者而設立的,而人民也很喜歡沒意見呢

rebuildModel02/11 02:58都沒有政黨敢主打殺光犯罪者的主張嗎? 太可惜啦

taipoo02/11 06:54有OTP,我覺得還算安全

spfy02/11 07:12欸不是 法律有比例原則阿 連我法盲都知道

ChungLi556602/11 08:17有OTP就表示是user自己的問題啊

ChungLi556602/11 08:18銀行怎麼知道操作app的人是不是本人

mathrew02/11 09:30人的問題,系統再強也沒用

mathrew02/11 09:30智慧型手機是給有智慧的人用的

guanting88602/11 09:58我覺得可以做一個假網站發簡訊給長輩親戚做測試..登

guanting88602/11 09:58入後提示他們不要相信來歷不明的簡訊XD

nikolas02/11 10:25APP綁定特定手機型號 這樣至少多一個機制防止別人登入

bill020502/11 10:28G大 那樣很像某些公司IT會幹的事情XDDD

bill020502/11 10:29真的就是...使用者智商要提升 不然再好再嚴謹的防護都

bill020502/11 10:29無效 但很多人不願意承認自己智商低...

nikolas02/11 10:32這案例不是智商問題吧 是機制沒設計好轉帳沒通知才被轉走

atpx02/11 13:32不管你怎麼設計, 使用者都會有不知情被詐騙操作的風險

atpx02/11 13:33就算不要上網不用ATM臨櫃領, 一樣會有匯款給美軍男友的狀況

atpx02/11 13:33轉帳通知user不看也沒用

es860302/12 10:09有新的綁定信任載具的時候會通知舊手機示警嗎?雖然只是補

es860302/12 10:09救,至少多點時間通知銀行做管控

es860302/12 10:10而不是等到發現錢被轉了才知道

s86035502/13 15:00g大說的假網站,就現在很多公部門跟銀行對員工做的事情