親愛的客戶,您好:
本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時
,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼
中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼
前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意
提供予第三人,以防詐騙。
https://i.imgur.com/9fgriSc.jpeg
注意事項:
若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。
如有任何問題,請電洽本行客服中心。
1. 無【網頁識別碼】選項。
2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。
3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。
==============================
自己在7月初網路消費的時候有發現這個變動,
今天才收到上海銀行的E-Mail正式通知。
現在刷上海卡的3D驗證頁面會有四組英文,
要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。
還沒聽說其他銀行把程序改成這樣,
也不知道這樣是否就能降低盜刷詐騙的機會...XD
--
回到自己以前待過的地方,什麼事情讓你最吃驚?
1. 以前為你拉小提琴送別的女生,在學校一見面就給你一巴掌
2. 開朗活潑的兒時玩伴,一句話都不說就跟她弟弟私奔
3. 素不相識的小學女生,要你幫忙跟自己的朋友告白
4. 小時候給過你牛奶糖的大姐姐,變成班上的導師
5. 對你很好的班級委員,居然是陷害自己朋友的兇手
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 136.226.240.92 (臺灣)
※ 文章網址: https://webptt.cc/bbs/creditcard/M.1721378830.A.5B3.html
找到新聞了
https://www.cna.com.tw/news/afe/202405290371.aspx
前陣子用國泰、玉山、華南網購,OTP都還是純驗證碼
原來永豐也跟上了(只用AP刷Sports卡XD)
※ 編輯: pl726 (136.226.240.92 臺灣), 07/19/2024 16:59:14
推文 (79)
→
brokeback
永豐也開始了
07/19 16:49
推
Friday
識別碼的原理是什麼呢? 為何這樣能避免釣魚網站
07/19 16:51
推
Kazamatsuri
之前有新聞了,這個算通知晚了
07/19 16:53
→
Kazamatsuri
應該6月中大家都上線了
07/19 16:54
推
Kazamatsuri
#1cLq5yco (creditcard) 5月底的新聞
07/19 16:57
→
Kazamatsuri
至少我這陣子有線上刷卡發OTP的都有這個機制
07/19 16:57
推
Kazamatsuri
我這陣子用台中銀刷也有選擇驗證碼的選項了
07/19 17:02
推
vyvian
既然顯示於網頁上,表示釣魚網站就能抓到資料
07/19 17:06
→
vyvian
所以一樣防不住釣魚網站,只是讓釣魚工作變麻煩而已
07/19 17:07
→
KAOKCH
不,網頁識別碼技術是唯一的,詳細記錄該網站資訊,以
07/19 17:09
→
KAOKCH
此辨識釣魚網站
07/19 17:09
推
vyvian
使用者->釣魚網站->真的網站 這是輸入卡號階段
07/19 17:50
→
vyvian
然後系統發送OTP給使用者,網頁導向驗證頁面。
07/19 17:50
→
vyvian
釣魚網站可以拿到這個驗證頁面。再顯示給使用者看
07/19 17:51
→
vyvian
所以一樣防不了網路釣魚
07/19 17:52
→
vyvian
人家都要淘汰簡訊OTP了。我們還在用不安全的東西
07/19 17:53
→
vyvian
https://www.ithome.com.tw/news/163923
07/19 17:54
推
sggs
網頁驗證碼只有銀行跟使用者的簡訊有,釣魚網站要
07/19 17:54
→
sggs
拿到要另外想方法
07/19 17:54
推
vyvian
你輸入完卡號之後,就會跳去驗證頁面,上面就顯示
07/19 17:56
→
vyvian
網頁驗證碼了,這不就被釣魚網站拿走了嗎?
07/19 17:57
→
vyvian
因為你卡號就已經給了釣魚網站,他當然可以拿到
07/19 17:57
推
nanababa
感覺比較不會被盜刷
07/19 18:24
噓
cytochrome
好的不學學一堆智障的東西
07/19 18:48
→
cytochrome
以後乾脆叫使用者在刷卡授權驗證頁面手動輸入要刷
07/19 18:48
→
cytochrome
的幣別和金額好了
07/19 18:48
→
cytochrome
低能惡搞消費者的政策,愈活愈回去
07/19 18:48
推
jack168168tw
永豐也有
07/19 19:42
→
cityport
一點用處都沒有的東西
07/19 22:06
→
cityport
驗證碼如果用商家的名字,四個商家選一個,當你沒看
07/19 22:26
→
cityport
到真實網站的名字,你就會知道中了釣魚網站,硬點下
07/19 22:26
→
cityport
去就強制跳到聯信資料庫裡的網址,釣魚網站就釣不到
07/19 22:26
→
cityport
國外都改成直接識別商家,台灣還在史前遺跡驗證碼
07/19 22:27
噓
andy0055
再怎麼防都防不了人心!萬惡之源[我以為]
07/19 22:31
推
Kazamatsuri
商家不用OTP最好
07/19 22:42
→
flypenguin
OTP 越來越浪費時間了…能不能導入綁定裝置確認就好
07/19 23:42
推
QQ5566
討論資安沒用 太深入的東西沒人願意懂
07/20 00:56
推
Kazamatsuri
叫商家跟支付不要再用OTP線上交易或綁卡啊~
07/20 01:55
→
aiyowaya
就是要防止上次那個3d認證但還是被冒用的問題啊
07/20 02:14
→
aiyowaya
但總覺得道高沒有魔高啦
07/20 02:14
推
terfd
只是拖慢被釣的速度而已 乾脆回答10個問題才能付款
07/20 12:46
推
away612101
畢竟太好用,只要OTP就能甩鍋,當然要爆改假裝安全
07/20 13:39
→
away612101
商家怎麼可能不用,只要交易手續費沒差別
07/20 13:42
→
away612101
連交易資訊都不用留,出事就只要一句,是OTP
07/20 13:42
推
cytochrome
要求使用者挑選消費商家的名字真的是個好主意耶!
07/20 14:06
→
Kazamatsuri
照某些邏輯 把驗證碼改為商家名一樣會被攔截釣魚啊~
07/20 14:09
推
paul40807
永豐遇過啊
07/20 14:50
→
kaltu
無法辨識opt是否有被攔截的機制一直改東改西到底有
07/21 02:04
→
kaltu
什麼意義
07/21 02:04
→
kaltu
現在的問題是opt只要被盜,銀行就會主動配合詐騙集
07/21 02:04
→
kaltu
團出金
07/21 02:04
→
kaltu
網頁識別碼這種識別刷卡商家的東西又不是主要問題,
07/21 02:04
→
kaltu
而且擷取網頁識別碼又不是多難辦到的事情
07/21 02:04
→
kaltu
與其搞手動opt不如把opt打包起來用手機的生物認證或
07/21 02:04
→
kaltu
pass key
07/21 02:04
→
kaltu
要消費的時候手機銀行App確認指紋或臉部掃描授權,
07/21 02:04
→
kaltu
通過了才在後台用密碼學機制跟銀行回報通過,包含幾
07/21 02:04
→
kaltu
點幾分哪個pass key裝置用什麼生物認證授權的,這樣
07/21 02:04
→
kaltu
遠比隨便都被盜的opt更符合那什麼鬼「不可否認性」
07/21 02:04
→
kaltu
概念和架構跟opt一樣唯一的差別是使用者從頭到尾都
07/21 02:04
→
kaltu
不知道opt是多少,所以也根本沒有機會被盜走
07/21 02:04
→
kaltu
而且因為這種opt一刻都沒有離開過銀行控制的系統(
07/21 02:04
→
kaltu
簡訊、email、使用者的大腦、輸入的瀏覽器)這樣還
07/21 02:04
→
kaltu
被盜就100%是銀行的鍋
07/21 02:04
→
kaltu
沒手機的商業客戶也可以要求用預先綁定好的Windows
07/21 02:07
→
kaltu
Hello之類的臉部IR和指紋
07/21 02:07
→
kaltu
手動動態密碼這種東西真的該淘汰了
07/21 02:07
推
cytochrome
樓上的構想很好,但基於個人資料保護及其他法規的
07/21 02:28
→
cytochrome
大架構下,這涉及太多個人資料蒐集處理利用及與法
07/21 02:28
→
cytochrome
遵的議題
07/21 02:28
→
cytochrome
實際生活中,有些人手機裡留存就超過“一個人”以
07/21 02:28
→
cytochrome
上的指紋了,大科技提供終端裝置對於“使用者人”
07/21 02:28
→
cytochrome
的識別及驗證,在實際法律上是否具有足夠的不可否
07/21 02:28
→
cytochrome
認性,在法律攻防上應該是個值得討論的主題,除非
07/21 02:28
→
cytochrome
使用一樣會被詐騙集團濫用的(行動或實體)自然人憑
07/21 02:28
→
cytochrome
證,經電子簽署後才具有不可否認性
07/21 02:28
→
cytochrome
BTW,有人被詐騙集團叫去辦自然人憑證就真的跑去辦
07/21 02:28
→
cytochrome
,辦完之後把卡片和密碼給詐騙集團,怪誰?
07/21 02:28
推
okgogogo
不防詐騙
07/24 14:14