作者:
vyvian (vyvian)
2024-07-19 18:06:03這個作法實際上對網路釣魚一點用都沒有。
還沒有驗證碼之前,是這個樣子
1.使用者輸入卡號->釣魚網站->真的網站
2.使用者收到OTP->釣魚網站->OTP驗證頁面
3.釣魚網站完成盜刷
多了驗證碼之後變成下面這樣
1.使用者輸入卡號->釣魚網站->真的網站
2.釣魚網站被導向驗證頁面,把上面的內容抓回來顯示給使用者看
3.使用者收到OTP->釣魚網站(有附加驗證碼的頁面)->OTP驗證頁面
4.釣魚網站完成盜刷
基本上釣魚網站就是中間人攻擊的角色,不論你機制怎麼改,他都有資料。
改用passkey這種有抗網釣機制的作法才是正解。
※ 引述《pl726 (PL月見草)》之銘言:
: 親愛的客戶,您好:
: 本行自113年月6月中旬起,為強化網路交易安全,當持卡人於網路交易需驗證OTP密碼時
: ,本行所發送的OTP簡訊內容將新增一組【網頁識別碼】。請您於付款頁面的四組識別碼
: 中,點選與簡訊內容相符的識別碼後,再輸入OTP密碼。上海銀行提醒您,在輸入OTP密碼
: 前,務必詳讀簡訊內容及確認【交易幣別及金額】,並應妥善保存信用卡相關資料不隨意
: 提供予第三人,以防詐騙。
: https://i.imgur.com/9fgriSc.jpeg
: 注意事項:
: 若付款頁面出現以下情形時,恐是釣魚網頁,請立刻停止交易,切勿輸入OTP密碼。
: 如有任何問題,請電洽本行客服中心。
: 1. 無【網頁識別碼】選項。
: 2. 有網頁識別碼選項,但要求輸入4個英文字母,而非從4組選項中選1組相同者。
: 3. 有網頁識別碼選項,但選項內容錯誤或其他狀況。
: ==============================
: 自己在7月初網路消費的時候有發現這個變動,
: 今天才收到上海銀行的E-Mail正式通知。
: 現在刷上海卡的3D驗證頁面會有四組英文,
: 要選擇跟OTP簡訊一樣的英文,再輸入驗證碼才算成功。
: 還沒聽說其他銀行把程序改成這樣,
: 也不知道這樣是否就能降低盜刷詐騙的機會...XD