親愛的客戶,您好: 本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時 ,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼 中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼 前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意 提供予第三人,以防詐騙。 https://i.imgur.com/9fgriSc.jpeg
注意事項: 若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。 如有任何問題,請電洽本行客服中心。 1. 無【網頁識別碼】選項。 2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。 3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。 ============================== 自己在7月初網路消費的時候有發現這個變動, 今天才收到上海銀行的E-Mail正式通知。 現在刷上海卡的3D驗證頁面會有四組英文, 要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。 還沒聽說其他銀行把程序改成這樣, 也不知道這樣是否就能降低盜刷詐騙的機會...XD -- 回到自己以前待過的地方,什麼事情讓你最吃驚? 1. 以前為你拉小提琴送別的女生,在學校一見面就給你一巴掌 2. 開朗活潑的兒時玩伴,一句話都不說就跟她弟弟私奔 3. 素不相識的小學女生,要你幫忙跟自己的朋友告白 4. 小時候給過你牛奶糖的大姐姐,變成班上的導師 5. 對你很好的班級委員,居然是陷害自己朋友的兇手 -- ※ 發信站: 批踢踢實業坊(pttweb.org.tw), 來自: 136.226.240.92 (臺灣) ※ 文章網址: https://pttweb.org.tw/creditcard/M.1721378830.A.5B3
brokeback : 永豐也開始了 07/19 16:49
Friday : 識別碼的原理是什麼呢? 為何這樣能避免釣魚網站 07/19 16:51
Kazamatsuri : 之前有新聞了,這個算通知晚了 07/19 16:53
Kazamatsuri : 應該6月中大家都上線了 07/19 16:54
找到新聞了 https://www.cna.com.tw/news/afe/202405290371.aspx
brokeback : 永豐也開始了 07/19 16:49
Friday : 識別碼的原理是什麼呢? 為何這樣能避免釣魚網站 07/19 16:51
Kazamatsuri : 之前有新聞了,這個算通知晚了 07/19 16:53
Kazamatsuri : 應該6月中大家都上線了 07/19 16:54
Kazamatsuri : #1cLq5yco (creditcard) 5月底的新聞 07/19 16:57
Kazamatsuri : 至少我這陣子有線上刷卡發OTP的都有這個機制 07/19 16:57
Kazamatsuri : 我這陣子用台中銀刷也有選擇驗證碼的選項了 07/19 17:02
vyvian : 既然顯示於網頁上,表示釣魚網站就能抓到資料 07/19 17:06
vyvian : 所以一樣防不住釣魚網站,只是讓釣魚工作變麻煩而已 07/19 17:07
KAOKCH : 不,網頁識別碼技術是唯一的,詳細記錄該網站資訊,以 07/19 17:09
KAOKCH : 此辨識釣魚網站 07/19 17:09
vyvian : 使用者->釣魚網站->真的網站 這是輸入卡號階段 07/19 17:50
vyvian : 然後系統發送OTP給使用者,網頁導向驗證頁面。 07/19 17:50
vyvian : 釣魚網站可以拿到這個驗證頁面。再顯示給使用者看 07/19 17:51
vyvian : 所以一樣防不了網路釣魚 07/19 17:52
vyvian : 人家都要淘汰簡訊OTP了。我們還在用不安全的東西 07/19 17:53
vyvian : https://www.ithome.com.tw/news/163923 07/19 17:54
sggs : 網頁驗證碼只有銀行跟使用者的簡訊有,釣魚網站要 07/19 17:54
sggs : 拿到要另外想方法 07/19 17:54
vyvian : 你輸入完卡號之後,就會跳去驗證頁面,上面就顯示 07/19 17:56
vyvian : 網頁驗證碼了,這不就被釣魚網站拿走了嗎? 07/19 17:57
vyvian : 因為你卡號就已經給了釣魚網站,他當然可以拿到 07/19 17:57
nanababa : 感覺比較不會被盜刷 07/19 18:24
cytochrome : 好的不學學一堆智障的東西 07/19 18:48
cytochrome : 以後乾脆叫使用者在刷卡授權驗證頁面手動輸入要刷 07/19 18:48
cytochrome : 的幣別和金額好了 07/19 18:48
cytochrome : 低能惡搞消費者的政策,愈活愈回去 07/19 18:48
jack168168tw: 永豐也有 07/19 19:42
cityport : 一點用處都沒有的東西 07/19 22:06
cityport : 驗證碼如果用商家的名字,四個商家選一個,當你沒看 07/19 22:26
cityport : 到真實網站的名字,你就會知道中了釣魚網站,硬點下 07/19 22:26
cityport : 去就強制跳到聯信資料庫裡的網址,釣魚網站就釣不到 07/19 22:26
cityport : 國外都改成直接識別商家,台灣還在史前遺跡驗證碼 07/19 22:27
andy0055 : 再怎麼防都防不了人心!萬惡之源[我以為] 07/19 22:31
Kazamatsuri : 商家不用OTP最好 07/19 22:42
flypenguin : OTP 越來越浪費時間了…能不能導入綁定裝置確認就好 07/19 23:42
QQ5566 : 討論資安沒用 太深入的東西沒人願意懂 07/20 00:56
Kazamatsuri : 叫商家跟支付不要再用OTP線上交易或綁卡啊~ 07/20 01:55
aiyowaya : 就是要防止上次那個3d認證但還是被冒用的問題啊 07/20 02:14
aiyowaya : 但總覺得道高沒有魔高啦 07/20 02:14
terfd : 只是拖慢被釣的速度而已 乾脆回答10個問題才能付款 07/20 12:46
away612101 : 畢竟太好用,只要OTP就能甩鍋,當然要爆改假裝安全 07/20 13:39
away612101 : 商家怎麼可能不用,只要交易手續費沒差別 07/20 13:42
away612101 : 連交易資訊都不用留,出事就只要一句,是OTP 07/20 13:42
cytochrome : 要求使用者挑選消費商家的名字真的是個好主意耶! 07/20 14:06
Kazamatsuri : 照某些邏輯 把驗證碼改為商家名一樣會被攔截釣魚啊~ 07/20 14:09
paul40807 : 永豐遇過啊 07/20 14:50
kaltu : 無法辨識opt是否有被攔截的機制一直改東改西到底有 07/21 02:04
kaltu : 什麼意義 07/21 02:04
kaltu : 現在的問題是opt只要被盜,銀行就會主動配合詐騙集 07/21 02:04
kaltu : 團出金 07/21 02:04
kaltu : 網頁識別碼這種識別刷卡商家的東西又不是主要問題, 07/21 02:04
kaltu : 而且擷取網頁識別碼又不是多難辦到的事情 07/21 02:04
kaltu : 與其搞手動opt不如把opt打包起來用手機的生物認證或 07/21 02:04
kaltu : pass key 07/21 02:04
kaltu : 要消費的時候手機銀行App確認指紋或臉部掃描授權, 07/21 02:04
kaltu : 通過了才在後台用密碼學機制跟銀行回報通過,包含幾 07/21 02:04
kaltu : 點幾分哪個pass key裝置用什麼生物認證授權的,這樣 07/21 02:04
kaltu : 遠比隨便都被盜的opt更符合那什麼鬼「不可否認性」 07/21 02:04
kaltu : 概念和架構跟opt一樣唯一的差別是使用者從頭到尾都 07/21 02:04
kaltu : 不知道opt是多少,所以也根本沒有機會被盜走 07/21 02:04
kaltu : 而且因為這種opt一刻都沒有離開過銀行控制的系統( 07/21 02:04
kaltu : 簡訊、email、使用者的大腦、輸入的瀏覽器)這樣還 07/21 02:04
kaltu : 被盜就100%是銀行的鍋 07/21 02:04
kaltu : 沒手機的商業客戶也可以要求用預先綁定好的Windows 07/21 02:07
kaltu : Hello之類的臉部IR和指紋 07/21 02:07
kaltu : 手動動態密碼這種東西真的該淘汰了 07/21 02:07
cytochrome : 樓上的構想很好,但基於個人資料保護及其他法規的 07/21 02:28
cytochrome : 大架構下,這涉及太多個人資料蒐集處理利用及與法 07/21 02:28
cytochrome : 遵的議題 07/21 02:28
cytochrome : 實際生活中,有些人手機裡留存就超過“一個人”以 07/21 02:28
cytochrome : 上的指紋了,大科技提供終端裝置對於“使用者人” 07/21 02:28
cytochrome : 的識別及驗證,在實際法律上是否具有足夠的不可否 07/21 02:28
cytochrome : 認性,在法律攻防上應該是個值得討論的主題,除非 07/21 02:28
cytochrome : 使用一樣會被詐騙集團濫用的(行動或實體)自然人憑 07/21 02:28
cytochrome : 證,經電子簽署後才具有不可否認性 07/21 02:28
cytochrome : BTW,有人被詐騙集團叫去辦自然人憑證就真的跑去辦 07/21 02:28
cytochrome : ,辦完之後把卡片和密碼給詐騙集團,怪誰? 07/21 02:28
okgogogo : 不防詐騙 07/24 14:14