※ 本文轉寄自 ptt.cc 更新時間: 2024-04-02 21:00:13
看板 creditcard
作者 標題 徵求:星展銀行受災戶
時間 Mon Apr 1 06:52:43 2024
去年九月花旗轉星展時,本人突然收到OTP驗證簡訊,發現卡號外洩(OTP並未輸出)。
後來隔天查詢APP發現有金額十萬以上異地異常消費紀錄,隨即打電話給星展銀行通知被
盜刷並掛失。結果進來收到星展銀行通知此筆爭議款項已收到O T P驗證碼要求我此筆盜
刷付款。顯示星展銀行資安有嚴重的漏洞(未驗證是否為本人手機發出驗證碼)。
後來隔天查詢APP發現有金額十萬以上異地異常消費紀錄,隨即打電話給星展銀行通知被
盜刷並掛失。結果進來收到星展銀行通知此筆爭議款項已收到O T P驗證碼要求我此筆盜
刷付款。顯示星展銀行資安有嚴重的漏洞(未驗證是否為本人手機發出驗證碼)。
目前陸續有許多類似的案例,皆發生在花旗業務轉交給星展後幾個月內,我們預備向星展
銀行繼續集體訴訟與提 ,徵求類似案件的朋友們,請與我站內信,謝謝
補充:絕對沒有輸入OTP,反而是在看到OTP簡訊當下上面寫著綁定Samsung pay 時(本人
根本沒有用),發現可能被盜刷的(事後證明果然是)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.21.246 (臺灣)
※ 作者: iambadboy 2024-04-01 06:52:43
※ 文章代碼(AID): #1c2Uaz0c (creditcard)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1711925565.A.026.html
→ : 你有沒有輸入OTP?1F 04/01 07:10
推 : 他肯定是沒有輸入才會發文,之前也有相同網友有同樣2F 04/01 07:16
→ : 案例
→ : 案例
推 : 484找立委協商 結果行員被立委放話沒協商完不准走4F 04/01 07:23
→ : 那件
請問是哪一件呢→ : 那件
04/01 07:23
推 : 應該要上媒體宣傳一下吧?搞不好直接省律師費了6F 04/01 07:25
會考慮推 : 有設email通知嗎?7F 04/01 07:25
推 : 輸入OTP就吞了吧 這樣不是盜刷是被詐騙8F 04/01 07:26
推 : 想請問一下盜刷的人是怎麼拿到OTP驗證碼的啊?不是9F 04/01 07:36
→ : 只傳到本人手機而已?
→ : 只傳到本人手機而已?
→ : 所以有幾件?11F 04/01 07:39
噓 : 但你國王的分類12F 04/01 07:39
→ : 樓上有板有提到的EMAIL是另一個方式如果那家銀行有13F 04/01 07:40
→ : 提供的話
→ : 提供的話
→ : 建議先好好排版 而且銀行的法務也不是吃素的15F 04/01 07:42
→ : 我比較好奇好幾件是幾件 因為只有在新聞看到哪一件16F 04/01 07:43
→ : 如果是有漏洞的話 應該很多件吧
→ : 如果是有漏洞的話 應該很多件吧
→ : 搞不好詐騙也學乖不要弄太多件,這樣風向倒下去被騙18F 04/01 07:49
→ : 的一定會付錢
→ : 的一定會付錢
→ : 如果有裝到有問題的app,又開讀取簡訊的權限的話,20F 04/01 08:16
→ : 確實有可能被別人拿到otp吧
→ : 確實有可能被別人拿到otp吧
![[圖]](https://i.imgur.com/sjBNlrhh.jpg)
→ : 回想一下收到otp的當下,手機正開著什麼app或網頁24F 04/01 08:30
推 : 這好爛喔,還好我馬上停卡25F 04/01 08:31
推 : 有收到刷台鐵車票的OTP驗證碼,沒有成功馬上鎖卡26F 04/01 08:31
→ : 還好我連開卡都不開27F 04/01 08:34
→ : 有的app能做到讀完otp就刪簡訊,看寫app的功力28F 04/01 08:35
推 : 你要先想辦法證明OTP訊息不是你自己輸入的才有機會29F 04/01 08:36
→ : 吧
不知道以我自己手機那天的Ip位置是否可行→ : 吧
推 : 這家問題真的很多 神奇 銀行還能當到這種整天出錯31F 04/01 08:40
→ : 的地步
→ : 的地步
→ : OTP還有可能被盜刷哦? 怕33F 04/01 08:40
→ : 樓上在說什麼? 是銀行要證明客戶有輸入 opt 吧34F 04/01 08:41
→ : 有人就很推崇OTP很安全啊 我是完全看不出來安全在35F 04/01 08:41
→ : 哪
→ : 哪
→ : *otp37F 04/01 08:41
推 : 28樓 刪訊息那個是系統內建的功能吧,iOS 可以andro38F 04/01 08:41
→ : id 不確定
→ : id 不確定
→ : 其他家沒問題的事別拿來硬湊數 明明是星展自身問題40F 04/01 08:42
※ 編輯: iambadboy (101.10.70.42 臺灣), 04/01/2024 08:46:13→ : 既然都編輯了 是不能補上個分類嗎41F 04/01 08:51
https://i.imgur.com/7rJBby6.jpg![[圖]](https://i.imgur.com/7rJBby6.jpg)
※ 編輯: iambadboy (101.10.70.42 臺灣), 04/01/2024 08:52:41
Can You Rely on OTPs? A Study of SMS PVA Services and Their Possible Criminal Uses - Security News
![[圖]]()
SMS PVA services allow their customers to create disposable user profiles or register verified accounts on many popular platforms. Unfortunately, crim ...
![[圖]](https://documents.trendmicro.com/images/TEx/articles/2022021107203243-685-qkNiPeQ-800.jpg)
※ 編輯: iambadboy (101.10.70.42 臺灣), 04/01/2024 09:10:44
推 : 拍拍44F 04/01 09:08
→ : 美國電信商早就說過簡訊個流程漏洞很多..並無法保密45F 04/01 09:16
→ : 他們不想幫銀行背書..很早就呼籲不要用OTP做驗證
→ : 他們不想幫銀行背書..很早就呼籲不要用OTP做驗證
推 : 好險我還沒開卡 星展一點也不吸引人啊47F 04/01 09:19
→ : 尤其是簡碼發送的..有時候不同銀行會共用同一個簡碼48F 04/01 09:20
→ : 安全性很差
→ : 安全性很差
→ : 標題裡外是分開的 裡面算內文 要分開改50F 04/01 09:28
→ : 去找林立委啊,新聞都有了51F 04/01 09:32
→ : SMS系統本身就不可以被用來當成認證系統,銀行錯誤52F 04/01 10:05
→ : 使用不安全的簡訊系統來當認證還講成是使用者自己的
→ : 問題
→ : 使用不安全的簡訊系統來當認證還講成是使用者自己的
→ : 問題
推 : 不管怎樣好險我剪了55F 04/01 10:13
推 : 上次是跟他們說要把卡作廢掉 到現在還是寄帳單給我56F 04/01 10:14
推 : 推,好在沒遇到57F 04/01 10:16
推 : https://www.ithome.com.tw/news/11284558F 04/01 10:21
→ : OTP簡訊的安全性,2017年美國NIST就已經提出警告了
→ : 到了今天台灣的銀行仍然拿來當作身分認證使用
→ : OTP簡訊的安全性,2017年美國NIST就已經提出警告了
→ : 到了今天台灣的銀行仍然拿來當作身分認證使用
透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用 | iThome
![[圖]]()
在2017年資安大會的議程中,Datablink亞太區行銷副總裁Lawrence Ang指出,透過簡訊執行二次身分驗證的做法,已經不再安全,因此企業需要採取其他方式,像是透過手機,並同時驗證身分與交易資料兩者,一併確保交易內容的正確性。 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/20170314_153257.jpg)
→ : 我覺得麻煩的地方是OTP授權一過是持卡人要自證被盜61F 04/01 10:32
→ : 刷
→ : 刷
推 : 誇張的是還有銀行認為email更不安全停掉只留OTP的呢63F 04/01 10:32
推 : 沒有相關知識背景沒關係 但自己不懂又不去請教有相64F 04/01 10:35
→ : 關知識的人 毅然決然使用自己一直認為的方式作業
→ : 剛好台灣非常多這種人類XD
→ : 關知識的人 毅然決然使用自己一直認為的方式作業
→ : 剛好台灣非常多這種人類XD
→ : 走AOTP應該安全一些 像聯邦app那樣67F 04/01 10:36
推 : 當美國那些有豐富學術背景的警告是放屁 確信自己幻68F 04/01 10:37
→ : 想認為簡訊比email安全 厲害了XD
→ : 想認為簡訊比email安全 厲害了XD
→ : 獨/協調詐騙案3小時未果!綠委主任留人 銀行協理70F 04/01 11:07
→ : 求救報警 自己google吧 有沒有留人不評論
→ : 求救報警 自己google吧 有沒有留人不評論
推 : 建議標題加上 : OTP 盜刷 爭議 << 讓更多人看到72F 04/01 11:27
→ wattswatts …
推 : 幫高調,平民小資遇到這種情況真的很無奈和委屈,75F 04/01 12:19
→ : 希望透過集體訴訟能成功為自己追討權益
→ : 希望透過集體訴訟能成功為自己追討權益
推 : 慘 給個拍 祝福申訴或控告順利77F 04/01 12:34
→ wattswatts …
→ : 星展otp會寄email?81F 04/01 12:54
推 : 高調 好險早給停卡了82F 04/01 13:10
推 : 自從花旗換卡以後每次刷星展Apple pay就收到詐騙的83F 04/01 13:27
→ : 假蘋果apple pay信件,跟客服反應,對方的語氣還很
→ : 差說與他們無關可以協助我換卡,超不爽等首刷拿到
→ : 絕對剪爆
→ : 假蘋果apple pay信件,跟客服反應,對方的語氣還很
→ : 差說與他們無關可以協助我換卡,超不爽等首刷拿到
→ : 絕對剪爆
→ : 國外有些銀行OTP改只從App發了87F 04/01 13:47
推 : 最愛otp的那些 趕快出來護駕88F 04/01 14:35
→ : 之前花旗就有用App推播OTP89F 04/01 16:36
推 : 好險我也要一次剪掉三張 星展爛死90F 04/01 17:19
→ : 簡訊 email 都不安全。好啊 以後全都臨櫃,你高興了91F 04/01 17:53
→ : 吧
→ : 腦子真的有問題
→ : app就安全…
→ : 吧
→ : 腦子真的有問題
→ : app就安全…
推 : 星展問題是真的多 收到新卡也還未開卡 反正一律先95F 04/01 18:05
→ : 關掉國外交易就是
→ : 關掉國外交易就是
推 : 還好我直接臨櫃關掉帳戶跟信用卡97F 04/01 18:39
→ wattswatts …
推 : 前幾天剛寄來花旗的新卡 還是不要開卡好了109F 04/01 19:35
→ : 我有Display鈦豐卡XDDD110F 04/01 20:57
→ : 甚麼怪銀行?? 一堆事件?111F 04/01 22:14
→ : 若原po真的未外流otp 那真的祝福你能討回公道112F 04/01 23:42
→ : 星展刷卡app好像沒有通知?113F 04/02 00:44
推 : 哇靠!我不敢開卡了114F 04/02 03:20
推 : OTP就是把風險轉嫁給客戶阿 還有人不懂?115F 04/02 09:18
推 : 好可怕,我決定要停卡了116F 04/02 11:04
推 : 把國外消費關閉穩嗎117F 04/02 11:22
推 : 只要透過網路沒一個是安全的 以後消費一筆打客服一118F 04/02 14:33
→ : 次
→ : 次
→ : 還好我連卡都沒收到無法開卡120F 04/02 14:46
推 : 才剛開花旗轉星展卡…121F 04/02 19:10
--
※ 看板: creditcard 文章推薦值: 0 目前人氣: 0 累積人氣: 68
作者 iambadboy 的最新發文:
![]()
去年九月花旗轉星展時,本人突然收到OTP驗證簡訊,發現卡號外洩(OTP並未輸出)。 後來隔天查詢APP發現有金額十萬以上異地異常消費紀錄,隨即打電話給星展銀行通知被 盜刷並掛失。結果進來收到星展銀行 …120F 43推 1噓![]()
先生,想出國的人是你 從學生時代就在準備GRE和托福的是你,出不去的是你,一天到晚抱怨為什麼大家都在美 國也是你 你昨天才說不然你自己出去我和小孩留在這邊好了, 今天怎麼變成老婆一直要你移民呢? 我 …314F 246推 8噓- 42F 16推
- 看了版友們熱心分享心得文 學生時代過後 就沒逛過五分埔的我忍不住蠢蠢欲動了起來 (每次去必迷路啊Q__Q) 不過相較起大家多又便宜的戰利品 我只默默買了一件NT.380黑色小洋裝 因為近年來都在專櫃買 …4F 4推
回列表(←)
分享