Re: [爆卦] 國泰世華-詐騙簡訊（發錢

看板Gossiping作者error123 (鄉民A)時間3年前 (2021/02/17 01:18)推噓5(5推 0噓 2→)

留言7則, 7人參與討論串2/2 (看更多)

前文恕刪，今天看到有受害者出來說明事發經過，感覺這次詐騙真的很難防，一般不懂的人會乖乖按照指示做。 -- 去（2020）年12月，我曾分析駭客可能利用哪些手法盜轉網銀存款，沒想到類似的簡訊詐騙在今年春節前又再度出現。詐騙集團大量發送簡訊，偽裝成台新銀行通知客戶網銀APP 更新，誘使受害人點擊連結輸入網銀帳號密碼，進而盜走存款。一般人若遭到詐騙，為了面子通常會低調處理，但此案受害人之一Asa Chen卻選擇在臉書上描述慘痛經歷，希望不要有人再因此上當。我十分欽佩Asa為了保護其他民眾而勇敢公開分享的行徑，因此私訊她請教詳細事發過程，經當事人確認且同意公開，讓更多人可以了解詐騙套路。並附上簡單自保之道，以及銀行該如何保護客戶的一些建議。詳細事發經過儘管媒體已報導，但內容與實際發生狀況仍有些許落差，因此先來看看此次詐騙發生的經過。詳細事發流程 https://i.imgur.com/3HVng6s.jpg

2月5日晚上六點多，Asa收到詐騙簡訊，內容提到台新網銀版本更新所以要求立即上網驗證身分，同時附上驗證網址。點下連結打開看似台新的釣魚網頁，Asa輸入了身分證、網銀帳號、密碼，並按下送出。這組登入網銀的資訊，就在此時傳送了給詐騙集團設置的伺服器。能夠登入網銀只是整個計畫的第一步，接下來的重點在於如何把錢轉出來。如果隨便找一台手機，即使用Asa帳號登入網銀，也只能進行「約定轉帳」，意即錢只能轉給Asa事先約定好的帳戶。因此，若要將錢轉至詐騙集團人頭戶，勢必得啟用「非約定轉帳」功能。由此份台新官方說明可看出，只要把做案用手機變成「信任裝置」，就可以執行非約定轉帳；而其中一種方式，是由台新發送「啟用密碼」簡訊認證。詐騙集團只要取得「啟用密碼」，並且在做案用手機輸入，將手機變身為信任裝置，即可為所欲為，堪稱「得密碼者得天下」。問題是，這個啟用密碼只會被傳到Asa當初留給台新的手機，而且10分鐘內未輸入立即失效，詐騙集團該如何拿到？最重要也最困難的這一步，詐騙集團巧妙善用了前面的釣魚網頁，搭配現今最流行的OTP 認證模式（透過簡訊或電郵傳送的一次性密碼）。Asa送出帳號密碼後，釣魚網頁跳轉到下一頁，要求輸入簡訊認證碼確認身分。此時，詐騙集團趕緊利用Asa帳號登入網銀、申請裝置認證，台新也確實發出「啟用密碼」簡訊到Asa手機。簡訊認證碼 https://i.imgur.com/P9hdrwn.jpg

若你是Asa，網頁只差輸入簡訊密碼就完成，而剛好又傳來一封附有OTP的簡訊，是不是很直覺會把密碼輸入網頁了？能夠分辨這個簡訊密碼是「綁定裝置用」的客戶有多少？一旦詐騙集團綁定手機，後面轉帳給人頭戶的過程就不需贅述。根據規定，非約定轉帳每筆上限5萬、每日上限10萬、每月上限20萬。由於Asa有兩個帳號，加上詐騙集團又在半夜跨日前後轉帳，因此最多可轉出40萬（兩帳號 x 每日10萬 x 2日）。 https://www.thenewslens.com/article/147336 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.229.4.72 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1613495925.A.5E4.html

→

nikewang

02/17 01:23, 3年前 , 1^F

02/17 01:23, 1^F

推

bathilda

02/17 01:28, 3年前 , 2^F

02/17 01:28, 2^F

推

sunkist74

02/17 01:33, 3年前 , 3^F

02/17 01:33, 3^F