现在的网络骗局真是无孔不入 大家一定要警惕

不好意思 我好想骂错了 ins是非死不可得suck berger 的 哈哈 总之大家以后上网多留个心眼～

这个要银行背锅也不太可能吧其实这个假网站，做得还不好吧，怎么会出现otp 错误呢？

真正的假网站可以这样子：

当你在这个假网站1 输入信用卡信息，骗子同时在别的网站2 刷卡，这时候骗子填完信用卡，需要otp 密码，这个网站2 trigger otp 给受害者，同时假网站1 也提示受害者也需要otp，但是短信并不是这个网站1 trigger的，其实是网站2 trigger的。 骗子拿到这个otp，马上填入网站2，done


otp 不一定安全，在收到otp短信 的时候 要仔细看清短信

按报道中的描述，这是不是信用卡网购安全漏洞呢?假网站可以模拟整个收款过程
可以收到最终密码，只是收不到钱?
如果持卡人收到的otp确实是由银行发出，
那么付款过程应该完成了才对
如果正确的otp，付款过程无法完成
可不可以用来证明被欺骗呢？
这个过程是怎么建立的
骗子网站用了银行的付款API，最后一步劫持otp?
如果这样如果同时收钱又劫持otp，岂不是天衣无缝？
核心在于，otp怎么会被劫持?
程序漏洞，还是骗子技术太强？
改为密码或生物认证？ otp已经被破解了?

不懂技术，只好乱弹

现在的otp，不是都有前缀么？怎么会出现两网站的问题，不过就都不会过啊

想明白了持卡人收到的otp是由骗子操作的第二网站发出
假螃蟹网站只是需要卡号，而且骗取otp
这样的话，银行可以认为是持卡人疏忽
因为假网站的otp页面很难做到和骗子用的网站一致
如果骗子技术高强，可以真前缀也移植过来，就无法分辨了
这样时间上要再有效时限之内，otp有时候延时太久，就可能是假的? 经常会有这种情况，需要再次要求otp
这就防不胜防了

大家不要乱揣测了。那个假网站没有做得不好，银行信用卡系统也没有漏洞。那个假网站表面上是在线订螃蟹，后台做的是信用卡绑定苹果支付的事，所以需要一个 OTP 验证。OTP 被骗子收到后，苹果支付绑定成功，他马上去花钱了，同时在假网站上给出错误信息迷惑受害者，都是故意的。

我的意思是不需要在假网站搞出错误信息，直接说成功支付 不就得了？

这样受害者更不会觉察

就是说持卡人只有一个真的银行发出的opt前缀也正确
那就无法分辨
时间上有任何延迟吗？
这样信用卡网购就不安全了?

前缀当然不一样但是大部分人是不看那些前缀的，只看后面6个数字就填了

其实 OTP 出错后，很多用户倾向于再试几次。可能骗子觉得这样做更有利于拖延时间。当然给出成功支付信息其实也是一个选择。

对的。我觉得受害人可能忽略了核对前缀，或者有些服务请求的 OTP 还没有前缀，就是 6 个数字。不过这件事的确提醒大家要小心。

不会啊，如果持卡人收到的就是真付款网站发出的opt请求（只有这一个），就无法分辨，天衣无缝（而且还会有很多故事发生）
如果前缀不对，银行一定说是持卡人的疏忽

技术上骗子可以将收到的otp页面的前缀嵌入假网站的otp页面，
只要时间延迟不太久，就会成功
本地银行大部分是2-3分钟
有的是5分钟
天朝通常是10分钟
操作上，时间是足够了

防不胜防啊

这个和什么平台做广告没有关系可能就是一个帖子，一个链接
假网站完全可以和真网站做得看起来一样
域名上玩点花样
如ww2.xxx.com 或者xxx.net .org....等等，从网页来分辨非常困难
银行的安全付款页面，倒是有可能分辨不同，需要加小心

都是源于自己的贪念