为毛这不是OCBC或电信运营商的锅?坠钓鱼短信骗局469华侨银行客户被骗850万元

可以理解我都差点点进去…问题是这个东西不熟悉OCBC的后台验证流程也不好把钱转出来吧。银行本身肯定有一定的责任啊，点了链接以后具体会发生什么？让你输入你的用户名，密码和手机验证码？然后也不能转账吧…

为什么转到哪个账户看不到呢只要找到对方的账户就可以了吧…警察可以把对方账户的开户人姓名等信息都拿到的吧……拿不到锁不住的原因是什么？口对口，一个受害口，一个受益口，肯定能确认谁是谁。

拿到发现人已故多年... 然后呢??

添加收款人需要用到token的啊诈骗分子有能力跳过这一步吗？
非常好奇。

其实很多诈骗都是系统内部人士干的。
仗着了解内部流程和细节，比较容易得手。

很多人卖空白银行卡你知道为什么了吧？
都是一整套的产业链

是真的有一些中年人不懂网络安全基础知识的我也收到了信息，但是好笑的是我根本没开户。= =！

对哦怎么跳过token的？好像1000以下一次转账不需要token? 我也有这个短信，我自己测试一下。

我也收到了OCBC的短信可我几年前就把所有OCBC的账户消掉了
就没打开

其实简单的把转账延迟24小时执行就可以避免很多损失不知道本地银行为啥不做。

然后再查下一段交易呗，是不是汇往国外了？最后是不是在国外的atm取款了。

添加收款人应该用token转账给现有收款人，数额小的话不需要token

我测试了digitan token就行，只需要手机上点approve就能加了

扯淡... 那所有事情速度多拖累24小时

我觉得绝对是ocbc的错。我前几天发了帖子，我点进去了。因为那个诈骗短信，是跟ocbc发给我别的短信是同一个thread的！这简直太那个了好么？这难道不是obcb的问题？

也可能运营商的漏洞... calller id显示啥时运营商可以控制的

难道ww假冒公安的锅要公安去背吗？

昨天我也收到了类似的短信

我对短域名特别小心，怕是病毒什么的，就用工具转换成原始域名。结果那个地址是一个特别奇怪的带有OCBC字样的地址，但是根域名并不是OCBC.com，再加上我也没OCBC的账户，我就没管它，今天就看到新闻有这么多人被骗，想必那个页面应该制作的很真吧。

你银行至少在有CASE 发生时 就应该用中英文 SMS全部客人提醒咋骗。。。

那些被骗的人难道还能自己手动添加一个自己不认识的收款人？这是很奇怪的东西，新闻稿中也没有提到这个事情。

怀疑报道并没有写出所有的关键细节，好像造成了一个印象，受害者都是傻，好像ocbc没啥责任一样。
该不会诈骗者有方法添加收款人吧？

moh也是。之前收到骗子冒充moh、电话显示的就是moh的号码

中这种诈骗的人估计天天都有，银行要是每次都sms全部客人，那天天都需要发

这事新闻没有写全按理说即使是网银的用户名密码泄露了，还有digit token这一步，特别是加新用户或者one time转账。

换句话说，如果客户自己不点击token的approve，是没办法继续的。

我猜测了一下骗子的IT流程用户点击链接；
非法网页要求用户输入用户名密码或者scan singpass；
然后用户手机digital token要求用户approve；
骗子后台现在已经是用户A登录状态；
现在骗子可以随便加任何账户了（如果他们知道银行的后台API甚至可以自动加）；
用户A手机digital token弹出approve要求（这个应该是整个骗子过程中最难骗的一步，如果用户有仔细看，不应该点approve）；
添加成功以后转钱不超过每日限额就随便转了。

当然，看新闻里面一个用户平均被骗2万，也许骗子还会提高转款限额，再次要求用户digital token approve，因为大部分人日转款限额应该是5000？

早报报道的细节 用户自己给出去了用户名密码OTP在勿洛一带小贩中心经营肉干摊的许丽萍（47岁）告诉《新明日报》记者，本周二晚约10时收到来自“华侨银行”的短信，指户头即将被冻结，要她点击链接解锁。她当下慌张又担心，没多想就照做，两次输入登录密码和一次性密码（OTP）。
“画面显示，需要两小时才能完成，我将手机调至静音就睡去。”
岂料，许丽萍隔天起来发现，手机收到短信，指户头的8200元被转走，才恍然大悟。

没有用token就把8200转给陌生人的话属于漏洞吧只是smsopt为啥能转这么多给陌生人

加个24小时延迟执行，也可以减少非常多的损失。

其实我真的是不能理解为什么这样的骗局能够一而再再而三地得逞。其实都是一个套路啊！你不点我这个链接，那你就会受到损失。都不是新鲜戏码。

总会有人粗心躺枪 而且一看ocbc发来的警惕性更加低了

从工厂安全生产的角度看，就是没有一个安全的环境虽然每个事故都可以归咎到某某人不小心，但是大量的事故就是环境不安全，即缺乏一个安全的环境。

其实，要对付这种有政府撑腰的某岛骗子，必须要有对等的机构出面才可以，否则根本不是对手。本地其实可以去国内取经，很多方法简单而且非常有效，比如个人汇款默认24小时延迟，特别是第一次给某个账号汇款。

关键是收款人是如何被添加的？新闻报道中完全没有被提及，这是极为可疑的操作。
怀疑是受害者银行账户绑定手机号码被篡改成诈骗者掌控的号码。
然后诈骗者自己添加收款人。

如果是这样，那么这是个银行安全漏洞，银行要负责。

很可能绑定手机号码被改成诈骗者掌握的号码了这样诈骗者就可以自己添加收款人了。

手机digital token会自己弹出对话框吗？感觉应该是自己手动点进去的吧？

或者诈骗者把号码改成自己掌握的号码，诈骗者自己添加收款人

你notification设置允许弹出就会自己弹出了啊没设置就自己去点digital token就可以approve了。但是看早报受害者描述似乎没有digital token，所以似乎有漏洞可以跳过转账限额？

是的我这边听到的信息也是点进去之后，第一步是更换手机号码，这一步是整个流程中最关键的。如果真是这样，那这个和之前的手机被盗，小偷盯上的其实是你的sim卡一样，都是手机号在银行认证中作用越来越重要，而电信系统的安全性确没有银行高。另外，大家说银行内部人员的问题，其实整个验证流程都是供应商提供的，我只能说这行的供应商众多，所以客户要选择大银行

更换手机号码需要digital token approve吗？如果受害者自己把号码更改成别的号码，那么我们还能说什么呢。。。

安全性应该是mas管的吧其实ocbc也不算小了。本地其实应该政府出面协调各方搞定这些，很简单的东西，只有去抄国内的作业。我猜各位部长，技术出身的不多，可能对技术问题不敏感，或者有啥政治原因，不愿意和某岛闹翻。类似国内对安利网开一面。

digitaltoken放在手机里和手机号码捆绑，

digitaltoken放在手机里和手机号码捆绑，有诸多不安全的地方我之前提过的，万一被绑架，啥都没了。
另外就是诈骗者把受害者账号和自己掌握的号码绑定，那么受害者的所有钱财也就没了。

第二个还可以远程操控，对诈骗者更安全。

这个系统设计的太烂了，MAS里面真没有正常人了吗？

一直没有开通digitaltoken，如果这样，其实蛮危险的。毕竟sim卡是可以拿出来的。

我觉得本地银行，其实抄国内的作业就好了，根本不用自己开发新方法。

【吐槽】为毛这不是OCBC或电信运营商的锅?坠钓鱼短信骗局469华侨银行客户被骗850万元

（早报讯）从12月1日至29日，共有469名华侨银行客户坠入钓鱼短信骗局，被骗总金额高达850万元。华侨银行一周内第二度发文告提醒客户警惕此类骗局，因为款项一旦由账户转出，再追回的可能性很低。

华侨银行今天（12月30日）傍晚发文告称，仍有不少客户坠入近期出现的钓鱼短信（smishing）骗局，截至12月29日，共有469名客户受骗，涉及总金额高达850万元。单单在圣诞节周末（24日至26日间），就有186名客户受骗，受骗金额达到270万元。

华侨银行早在12月23日曾发文告提醒客户警惕钓鱼短信骗局，不少客户收到不法分子冒充华侨银行发出的短信，称他们的银行账户或信用卡有问题。短信内含有一个伪装成银行网页的链接，客户一旦点击就会被链接到假网页上，然后被要求输入个人资料和密码。在12月8日至17日，就有26名华侨银行客户因钓鱼短信骗局，共损失了约14万元。

华侨银行在最新的文告中再次强调，为避免疑虑、防止欺诈，所有关于账户关闭或要求激活账户的通知都是通过纸质信件邮寄给客户。银行不会发短信提醒客户激活账户，一般账户在闲置12个月后就会被冻结，客户可到银行分行或通过网上银行重新激活账户。

华侨提醒客户切勿点击短信中出现的链接，也不要将个人资料、包括一次性密码（OTP）、账户密码等发给任何人，或在不明网站上输入个人资料。

华侨银行提醒客户，钱一旦离开客户的账户，追回的可能性是很低的。

客户若对所收到的短信有任何疑虑，可拨打华侨银行客服热线6363-3333进行确认，切勿拨打短信内提供的热线号码。

警方今天也发文告证实，在12月1日至29日，共有469名华侨银行客户受骗，总金额高达850万元。

公众可以上网或拨打警方的反诈骗热线1800-722-6688了解防范骗案的更多信息，也可拨打1800-255-0000或上网提供有关诈骗案的线索，所有资料都将保密。

https://t.ly/kpUq

该帖荣获当日十大第5，奖励楼主10分以及15狮城帮币，时间：2021-12-31 22:00:17。