請見這篇文
http://tinyurl.com/3rta3buv
最近有簡訊詐騙 使用者在釣魚網頁輸入身份證、帳密
再輸入OTP驗證碼 就會被詐騙集團提領出帳戶的錢
以前用線上ATM 都還要插自然人憑證或是金融卡
最近簡化成只要身份證、帳密就能登入並轉帳
加上使用者開通非約轉帳功能
一天就能轉出十萬 跨日能再轉十萬
這應該是使用者要自己注意吧
畢竟釣魚網頁也行之有年了 會用到網銀的也通常都是年輕人
銀行端如果要加強安全性 也只能把網銀下架
繼續用傳統插卡驗證了
大家覺得銀行會因為這件事改變做法
讓網銀多加幾層驗證嗎?

綁定信任載具採用簡訊otp，這段改掉就好

手機轉帳吧，想要方便，驗證機制就不能太麻煩原PO說的我也用過，要有電腦、讀卡機、金融卡瀏覽器還要常常更新元件

不會多加吧，走回頭路幹嘛每日上限這道坎就讓風險保持在一個低點了

手機簡訊驗證碼 很多網銀都用這一步當驗證吧哪需要插卡和讀卡機

轉帳要手機驗證碼阿是說能用網銀app為什麼要在手機上面硬開網頁

@now99 這是在說使用者在假網站輸入OTP那些, 簡訊otp對這沒幫助.如果銀行公會自己有RootCA,銀行和金融機構都需要用那簽發出來的cert., 那樣可以寫瀏覽器插件來幫用戶驗證吧

帳密被盜 哪個會員系統都一樣 銀行只要求雙因 就是otp裝綁一因子 轉帳再生物辨識 就能出去了除非金管會強制金流交易一定要過otpotp一樣也能轉出去 被騙的user一樣能提供otp碼

限制再多也一樣，整個流程都是user自己給資料，沒的防

無論加什麼機制都不是重點了 覺得已經是使用者智商要提升才能解決不然加再多user自己提供認證機制 那有用嗎

有差喔，使用者有沒有做轉帳動作差很多，要騙到人轉帳這種才是沒辦法，本人自己轉出去的

被釣魚OTP也是沒用吧 除非簡訊直接帶網址回正確網頁?

簡訊帶回網址就會回到網址是否是真正網址的迴圈

一堆銀行都推老人家用網銀阿 然後家人不懂問年輕人家裡有些老人家看到那些釣魚簡訊根本沒能力分辨好嗎

@leicheong 銀行公會當然有RootCA，你以為使用者想用憑證?其實最不在意安全的就是使用者，方便大於一切被釣魚再怪資安，其實釣魚跟資安沒什麼關係，會被騙的人再複雜的流程都會被騙著去做啊，看看去ATM轉帳送錢的

沒錯 防呆不防蠢 再複雜的機制 都會有人被騙

帳密連OTP都給了,那就跟本人一樣了阿~這根本沒辦法防吧

我一天只能轉5萬。轉帳都會通知。

好奇為什麼漁父會知道電話使用者的銀行

sudo做一次，root永留存。

不用知道啊，釣魚就是多撒餌，總會碰到剛好能上鉤的魚

我都跟家人說只要是簡訊連結就不要點

講到網頁 聯邦的app是把我導向他們的網頁

台灣的法律對犯罪者來說是毫無壓力造成的，如果這類詐騙一律改成滿清十大酷刑凌遲至死，由車手到首腦一律同罪，保證很快就沒有這類犯罪了。台灣法律真的是為犯罪者而設立的，而人民也很喜歡沒意見呢都沒有政黨敢主打殺光犯罪者的主張嗎? 太可惜啦

有OTP，我覺得還算安全

欸不是 法律有比例原則阿 連我法盲都知道

有OTP就表示是user自己的問題啊銀行怎麼知道操作app的人是不是本人

人的問題，系統再強也沒用智慧型手機是給有智慧的人用的

我覺得可以做一個假網站發簡訊給長輩親戚做測試..登入後提示他們不要相信來歷不明的簡訊XD

APP綁定特定手機型號 這樣至少多一個機制防止別人登入

G大 那樣很像某些公司IT會幹的事情XDDD真的就是...使用者智商要提升 不然再好再嚴謹的防護都無效 但很多人不願意承認自己智商低...

這案例不是智商問題吧 是機制沒設計好轉帳沒通知才被轉走

不管你怎麼設計, 使用者都會有不知情被詐騙操作的風險就算不要上網不用ATM臨櫃領, 一樣會有匯款給美軍男友的狀況轉帳通知user不看也沒用

有新的綁定信任載具的時候會通知舊手機示警嗎？雖然只是補救，至少多點時間通知銀行做管控而不是等到發現錢被轉了才知道

g大說的假網站，就現在很多公部門跟銀行對員工做的事情