近期有些銀行用一次性簡訊綁定裝置的方式
只需要接受第一組OTP密碼 綁定後就可以用這台裝置自由轉帳
我推測以下是近期詐騙集團的手法
請各位小心防範
首先只要讓你進到假網站 一旦你輸入帳號密碼 幾乎就上鉤了
以下A是你在假網站的操作 B是犯罪集團的行動裝置操作
A:請你按接收驗證碼以完成更新/驗證/嘎啦嘎拉..(各種理由)
B:擷取你在假網站輸入的帳密 登入真的銀行APP
A:按下接收(發送)驗證碼
B:同步按下申請綁定裝置的發送驗證碼
此時真的簡訊驗證碼傳到你的手機上
A:在假網站輸入真驗證碼
B:同步得到真驗證碼=>綁定裝置=>開始轉錢
快的話可能3分鐘內就能轉到當日上限的金額
甚至最佳詐騙時機為接近跨日的時候 日期一轉換 馬上再轉一天的限額
當然...簡訊的連結我平常就死也不會點
但網路的連結要騙你進去的手法就很多元了...
詐騙集團只需要把你引導到"假網站" 就幾乎得手8成
因為只要你相信這個是"銀行"的網頁
網頁上要你做什麼你都會照做
請各位一定要多加注意
※ 引述《prussian (prussian)》之銘言：
: 幫忙宣導一下, 簡訊網址不要亂點啊
: 看來還會有好幾波，中國騙子真的很煩
: 以市佔來看接下來可能是中信? 郵局?
: (內政部警政署 165 全民防騙網)
: https://165.npa.gov.tw/#/article/rumor/80
: 上次是國泰、這次是台新
: 發佈日期：2021-02-05 20:05
: 更新日期：2021-02-05 20:11
: 上次是國泰、這次是台新
: 老手法亂槍打鳥
: 您可別誤點擊、也不要填輸任何資料
: 詐騙網址恐一直更新變動
: 請睜大眼睛 OO 勿上當
: https://165.npa.gov.tw/images/E81F7D49A09C7DA445E3FCCAA8329817.png
: https://165.npa.gov.tw/images/3525E3BC2799108DB4D75BF7FF81ABCA.png

所以簡訊要看清楚 看到OTP簡訊的每個字都要認真看

如果不取消簡訊認證，至少要像約定帳戶一樣，隔天才生效並寄生效通知，這樣才有足夠時間反應簡訊內容隨便輸入什麼都可以又沒有驗證機制，要玩中間人攻擊太容易了

網站域名也是 簡訊裡的電話和網址都要先持保留態度

無法驗證簡訊和網站來源的話就像原po講的，花言巧語騙你唬你嚇你去輸入otp，中間人攻擊都很容易

綁定信任機制有問題啊,金管會還不下架短時間要改成 MobileID 或 AOTP 或 視訊簽章 比較難

關閉非約定轉帳好了

我認真考慮關閉主要帳戶的網路交易功能 留點零用金就好

「超時」是大陸用語嗎？台灣通常都用逾時吧

超時有點支語沒錯平常是用逾期或過期

銀行傳送的簡訊或郵件的連結絕對不要直接點擊

樓上，問題是銀行常這樣幹阿...

更改裝置需要otp email 安全密嗎（要求所有人要設）

擔心的話就複製貼上無痕式網頁點擊阿，看看在賣什麼藥～

卡3關還笨到能丟 也不簡單，希望出3重4重5重認證針對改裝置加強，應該就能卡很多了，按到釣魚也不怕

XD這樣沒遇到釣魚自己也不想用網銀了吧

我建議165應該建立一個詐騙網頁黑名單，用瀏覽器外掛的方式發布出去，提供給民眾自己安裝。如果民眾點到詐騙網頁就會自動擋掉。類似Who's call的原理。

說實在銀行放棄簡訊行銷就好了,讓銀行以後不要發簡訊,這樣自然而然讓人知道簡訊的都是詐騙,不過銀行不可能會放棄它們恨不得多點管道來行銷了怎麼可能捨棄

不對吧 是要使用者懂得查證 怎麼變成要銀行不發簡訊詐騙電話很多 你就叫政府、銀行不要打電話通知民眾？行政文書也有偽造過的紀錄 以後都不要公文往來了？

政府大多數時候都是寄信或email,沒有那個美國時間打電話你試試如何向2300萬人宣導注意網址1Il0O的差別?

會被騙的怎麼會去裝外掛 XD

詐騙集團又不是這兩天才有，不應該因噎廢食，這樣事情都不用做了。

反詐騙不在最聰明的人懂不懂，而是要讓老嫗都能解如果一個機制很難分辨真假，改良也是必要的無法改良自然就是換招，不然後果誰要承擔?被騙的人自己笨所以不需要詐欺罪嗎? 這是兩回事宣導固然要作，機制可以改進的沒有理由不作

把裝置綁定之類的驗證碼改成回撥語音告知，前面加個警語

現在是卡在這個時間點尷尬，阻擋的需求先於介面友善

被騙的回去裝盜版的外掛更慘

如果被解除綁定的裝置會跳通知應該能第一時間發覺？

至少改成每筆轉帳都要OTP，不是綁定一次裝置以後隨便轉

如果已經被詐騙集團改成他門的電話，這樣每筆都OTP也無用

會被騙的就是會被騙 因噎廢食 講再多會被說自私

目前otp 修改都要用晶片卡認證，沒那麼好改

重點是銀行簡訊分不出來啊！跟電話顯示號碼可改,結果宣導半天詐騙還是居高不下,銀行簡訊號碼不時跳來跳去,有人厲害到可以事先分辯出真假嗎？又會有人說那不要去點就好,那不就跟現在提醒半天,銀行不會用什麼電話打來一樣,看看現在有多少成效就知道了,簡訊這種群發沒特定性辯別方式的才是最危險的,詐騙集團推成出新的詐騙不就是找各種弱點讓人人疏忽,這麼大的一個弱點不想改,人家不利用才怪

不長腦被收割也是剛好而已

國外帳戶轉帳都要用photoTan 去掃碼 然後輸入產生碼才能轉OTP實在太容易被中間人竊取了不過基本還是沒有警覺 怎麼樣的防護機制都會有人被騙

銀行行銷用簡訊有多危險，除非不看不然留一下銀行字樣再留個模擬二可的活動文字附連結，這樣看很多人就會去點連結，說實在這種縮網址連結要作文章的方法太多了；連在ptt一些po圖連結不用.jpg結尾，自己一般也不太想點進去看了喔！尤其又寫類似分眾只有收到簡訊的才有，這種分眾活動一般都無法用搜尋找到，所以簡訊這次被詐騙集團利用，顯而易見遲早的事

我覺得啦，以後換機就要回網銀或實體ATM取得裝置認證碼，認證再後才可以進行非約定交易，每次都被這些詐騙集團搞得很不方便

這件事跟前陣子各家網銀app各種當機卡住有沒有關聯...?

銀行搞那麼久kyc了，還是一堆人頭帳戶

otp有的有前幾碼是英文讓你確認是不是同一個操作動作 這樣會比較安全嗎？

樓上依照台新受害人的案例，不會有比較安全。

現在很多手機otp 收到以後鍵盤都直接帶出數字，簡訊內文有些人根本沒在看

銀行應該要了解到，簡訊OTP一點都不安全，是時候要想其他更安全的驗證方式了

真的otp我覺得沒有比較安全

就把主要帳戶網路交易關掉就好了

數位帳戶沒辦法線上關，似乎要打給客服

為什麼opt不安全啊打錯 是otp

留言好多北七XDDDDDD

OTP本身是安控機制 OTP是電信網路P2P安全得很不安全的是使用者y

傳輸安全和能不能確認對方身份是兩回事

當使用者讓手機變得不安全成為多數時呢？

講錯 企業簡訊應該是A2P便利跟安全本來就是一體兩面

使用者自己的問題 跟印章被偷卻怪用印章不安全一樣

自己不小心、不思考，出事怪他人？！凡事都要停看聽，尤其是遇到有關錢的事。

搞得各銀行廣發提醒mail、訊息、簡訊 這些人真的很棒

非約轉應該每次要有OTP！不是綁定裝置就可以無腦轉，到底是誰發明這漏洞還沾沾自喜認為是新功能？

在資安的世界裡，人就是最大的漏洞

綁定裝置為了省錢還有防止簡訊otp轉發，不過沒料到用簡訊otp綁定就不安全了

可惜行動金鑰.保鏢.e碼這類型綁定驗證app沒落了

除非可以將所有人提升到和你一樣聰明，隨時隨地思緒清晰，否則檢討受害人完全無用。防犯措施要考慮的是最糟情況。更何況誰敢打包票自己遇到時百分之百不會被騙?

https://upload.cc/i1/2021/02/10/JFEARz.jpg隨便翻一下就能找到一封永豐的簡訊做舉例，用永豐自己官網提醒公告都不會列出自己銀行會有的所有網址了，這封簡訊自己警惕心高點還會去搜尋開頭網址確定是永豐繳費網的沒錯，但如果銀行放短網址的話又有誰可以分辨，所以才會說銀行簡訊根本不該放網址連結，一些銀行自己一直以來放連結讓人習慣了，所以人收到有連結的簡訊又無法辨別是假的，難免會有人大意之下直接去點，這樣假借銀行的行銷簡訊會不危險嗎？？

手法層出不窮，不愁魚兒不上鉤被騙匯款到國外，用到爛的招還是有人會中

這個otp漏洞蠻強的,一般人會覺得otp很安全,就去輸入帳密

綁裝置比純OTP還安全好嗎？手機被木馬側錄opt每次發也是直接被轉光光 綁裝置才擋得住 只是太低估白癡使用者 會用網銀的人竟然被釣魚網站騙走帳密而且還會被騙第二次的opt

這次出問題的是「綁定」的步驟，安全性而言和純OTP一樣

詐騙簡訊1月就有了 沒有收到詐騙簡訊 反而收到一堆銀行反詐騙訊息