看到這篇新聞
https://news.ltn.com.tw/news/society/breakingnews/3349255
有人說他網銀自動轉出幾十萬 周遭朋友也有人被盜
警察說可能是手機被駭
我覺得這跟軟工版比較有關 發在這邊討論
想問手機的網銀很好駭嗎
以我用過的幾個網銀
都是輸入帳密就能登入 也沒有記憶帳密的功能
新聞寫說有開啟生物辨識
難道生物辨識是個漏洞?
待在銀行界的朋友有聽到相關消息嗎?
還是只是這報案民眾在亂掰?

可能跟他小孩有關

小秘密被駭

最大的漏洞是人

不是網銀吧 通常是 client 被第三方軟體偷到帳密之類的如果是網銀，通常是通案早就大亂了

亂掰不至於, 但是甚麼都扯 "駭客" 有點好笑, 通常都是自己的問題

新聞說朋友很奇怪，最好那麼剛好機率大到都是你朋友發生，然後側錄資料方面在 app 比較難發生，安卓蘋果應該早就擋了，我猜可能是被小孩偷轉等機率比較大或是出事的是網頁版，因為很多釣魚extension 會偷session cookieig 被盜通常都是裝 extension 惹的禍

簡訊轉發/遠端遙控手機之類的，等警方公布詳細訊息吧

要是這麼好盜早就爆開了

client通常是最大問題

fb最好駭了XDD 三不五時就有人出來說帳號被盜 才發些反社會的言論

最常出現的就是中國了，小孩各種刷爆都說被盜

網銀被駭 vs. 帳號被盜，是完全兩碼子事

轉走這麼多應該是連手機都被改了？

網銀的生物辨識都只是方便不用輸密碼，並沒有增加安全性要強制2-factor的生物辨識才有差，不過密碼被改了生物辨識沒失效這點明顯有問題基本上網銀安全性就一個帳密，就最低等級的安全性，但是轉帳到非約定帳號應該需要另外OTP

非約不是都有雙驗證？ 我怎麼記得是規定...

反正自己的問題都先怪駭客就對了

銀行後端應該都有紀錄 調出來查一下就知道問題出在哪了

沒那麼簡單, 要轉錢要有2階段驗證, 不管是另外打密碼還是指紋還是OTP, 反正不會是光能登網銀就轉得出去, 這些都是基本的保護措施, 而且是規定網銀就算被駭也動不了核心帳務, 要轉帳還是會另外檢查約定帳號很大機率最後不了了之, 因為銀行也不想讓當事人太難看如果真的有集團能夠打通整條路外加造假帳務繞過核心帳務系統騙過核心帳務系統, 那也不會對區區26萬下手

若用桌機做非約定轉帳，還要插入讀卡機，有些銀行手機 App 做非約定轉帳，根本不需這些步驟若密碼被側錄。在遠端下載同個 App，一樣能做非約定轉帳。

如果這位使用者網銀+SSL兩道密碼都能洩漏的話, 我看乾脆別申請網銀了, 以後只靠臨櫃辦理, 反正再給你10道防線也是洩漏

不能排除是server端的問題

不是什麼知名人物 通常都是人為 身邊的人 不然就是自己忘記八成跟使用習慣有關

簡訊驗證應該是兩階段裡面最好騙到的地方

很多app會偷剪貼簿跟簡訊的資料做使用分析

如果是server端的問題，那client端即便有SSL也沒用。

#1VhaKQpK (Gossiping) 裝來路不明APP造成

被駭的話不會只有他被駭好嗎

最妙的是最後一道otp怎麼駭？連手機sim卡都能盜？！