钓鱼简讯骗子快手法 华侨用户：什么都没做就被盗转数千元

这个逻辑思维很有问题，容易被骗的就是你这种人我一直用同样的手机号好多年了，网银登记的手机号自然也是这个，没有改号的需求，不懂ocbc改号的程序很奇怪吗？怎么就知道我不是ocbc的客户呢？

你不是OCBC的客户，相信我。

以后大家是否改一下习惯只把小钱放在有登记paynow电话转账的银行，另外一个银行放大额，不登记paynow,自己只能做ATM转账或者写支票。

现在电话已经变得不安全，早报上专家说-----
网络安全公司Centre for Cybersecurity总裁萧逸哲说，骗子会利用改号欺诈（spoof）的方式，更改手机上显示的名字，将本身的号码伪装成机构的官方号码，让假短信出现在真短信中。

他指出，短信已不是一个安全传递信息的渠道，因为现在的技术甚至可以拦截发送到手机的短信。

萧逸哲说：“钓鱼网站的页面一般会模仿相关机构的网站设立，但网址肯定是不一样的，民众可通过检查网址来确认网站的真实性。我们建议公众直接到官方网站或拨打官方号码查证，千万不要点击短信中附上的网址链接

大额帐号不做电子转账，不收otp 。 回归原始社会。太方便的年代，防不胜防，还是保守一点比较安全。

电话看来电有没有+65就好了目前为止诈骗电话都是海外打来的，伪装号码都带+。不带+的就是本地电话，还是可信的。目前我本地电话必接，海外电话必挂，还没碰到骗子。我觉得这个区分海外伪装来电，还是真正本地电话的政策非常好。

找到physical token的粉丝了有时还是老办法好。
新东西没验证好就敢搞，那是祸国殃民啊

如果要练手，应该针对DBS因为它的客户群体最大。
我相信dbs经过了考验，底裤没有被偷掉，但是被整了个半死，3天当机可能就是因此而起。

phisical token一样可以被骗只要客户按照骗子的要求把phisical token上面的显示发给骗子，骗子那边一样可以转走钱。

要彻底解决，那就退回到usb key。没有key，即使是客户本人都无法把钱转走。

案中有人把token上的信息提供给骗子吗？我记得他们是提供了otp，然后被骗子在自己的手机上复制了受害者的digital token。

骗子很难动的到physical token。

总结一下骗子冒充银行发短信，这个短信和真正ocbc发的在同一个thread里面，所以用户以为是ocbc发的，进而点击了短信中的link，进了骗子的网站，导致自己的登录信息otp等等发给了骗子，然后骗子登录真的ocbc输入用户的信息，进而转走了用户的钱。

整个过程中，银行的漏洞在哪里？这种操作就等同于用户自己在操作呀。

总结时可能漏了重要的一条骗子利用OTP 更改了账户登记的机号码，后续的认证短信不会再发到原来的账户持有人登记的短信号码，而是发送到骗子登记的号码。

如果加上这一条，那么银行的认证改变手机号码的程序，是否存在漏洞呢？

所有更改，登入都需要事主确认的，ta 愿意提供生物认证，短信确认 给骗子，还能怎么防？

USB 最没用了。骗子登入的本来就是真的网站，不然怎么转钱？

不知道ocbc改手机号的程序如果更改手机号无需再次验证，那程序需要改进。但是不能说是漏洞，毕竟最开始的登录验证信息是用户给出去的。

意思是华侨的用户比较笨是吗？如果其他银行没有类似事件。。。。。

你可能没有了解usb认证登录真的银行网站，要转钱的时候，网站就要去验证usbkey是否可以正确回答，key在你手上，骗子根本无法转钱

这种事又不是第一次发生。只不过最近集中在 ocbc 用户身上。我猜大概骗子后台刚做完一套针对 ocbc 网站复制，转钱流程之类的东西和培训，赶紧拿出来用。

那确实比较安全些。但是过时的东西，不可能再走回头路，不然取消网银大家都去柜台赚钱岂不是最安全。

网银盾没有取消我现在还在经常用。只是现在个人用户不一定给办，企业可以，网银盾安全系数极高，有的还需要按盾上的按钮人盾交互。

新加坡银行有用过 USB 吗？我怎么从不知道。

刚刚看了这篇报道哎，怎么错都是消费者的错

个案②

王先生发现银行户头中出现一笔2万元的不明转账，他称交易未经授权，不肯付款，因为与银行谈不拢而到调解中心投诉。

调解时，银行提出帮他承担其中20%的损失，但王先生拒绝这个提议并选择进行裁决。

裁决过程中，王先生承认他此前曾收到以为是银行发来的电邮，电邮指他须要更新账户，并提供链接要求他进行验证，他照做并提供了个人及账户资料。后来证实这是一起网络钓鱼诈骗案件，银行只是按照顾客的指示促成付款，因此交易无法取消。

审裁员最终判定王先生的索赔不成立，他未能履行保护账户使用权的义务，是因他的疏忽而造成损失。

https://www.zaobao.com.sg/news/singapore/story20220109-1230995?fbclid=IwAR3rwSpAbVEUyMzvAQuhlxXZLfuwGDSWsXEmhns8dDe7Y6AQZap-ePynvpM

这甩锅甩的太直接了

这本来就相当于客户本人操作呀密码操作的交易，都视为本人操作并负全部责任。
否则就乱套了。例如我和朋友合谋，把信息告诉朋友，朋友把我的钱转走，然后我去找银行索赔。

你这个例子不好在新加坡，信用卡被盗刷，银行从来不会以你有可能和朋友合谋，让朋友异地网购或盗刷为由先把你钱扣了，等结案后再还你钱。只要你声明是盗刷，银行就不会扣钱。事后调查发现你真的合谋的话，该啥罪领啥罪。
密码交易不一样，密码对了就视为本人授权。但要看密码是怎么泄漏的。本人把密码泄露给骗子，是本人责任，和银行无关。前些钱DBS提款机盗刷事件，骗子在提款机上装监控，装假卡槽，视为DBS提款机的问题，银行未能提供安全服务，DBS全款赔偿客户损失。
这次事件的话，客户使用自己手机设备，密码通过，视为本人交易。法庭判的话，银行应该完全不用赔偿。
但银行是不是有漏洞被骗子抓住了呢？法律上应该没有。实际上可不可以做的更好呢？比如现在的电话号码显示，我在幼儿园的孩子看到+65都知道告诉我是骗子打来的电话。

没操作的可能性

你朋友直接被抓入狱，然后把你给供出来

然后你也被抓进去

没那么容易合谋的

本案中的骗子和我假设的朋友没有区别

我怎么觉得明明是电信诈骗啊

应该怪罪电信公司吗


跟银行没啥关系吧

某些人就是这样子没办法。

他们不管真理不管他人钱财是否被骗，只管自己嘴巴爽。
其实是种心理扭曲。。。

美女好犀利！~~不过银行为了给商业和房地产提供贷款，他们还是需要吸引小民们都去他们那里存款的。
否则他们哪里来的钱去贷款给商业呢？：）

哈哈哈哈 喜欢研究安全的话可以了解下ios的zero-click漏洞，叫ForcedEntry，真的不用点

不一样啊physical token在添加新收款账户的时候，需要在token上输入银行根据新添加账户生成的数字，然后token再生成密码，这个双重操作很难误操作。但digital token不一样，骗子可以用钓鱼网站让用户以为第一次登陆没成功，实际上骗子已经成功登陆并试图更改手机号码。此时用户很容易把更改手机号码的otp当成第一次登陆失败而重新登录需要的otp.这只是我能想到的一种情况。骗子还有没有其他方法就不知道了。总之，physical token可以在添加新收款账户的时候把被骗风险降到极低。digital token在掌握了手机的情况下，形同虚设。

或者银行通过mac address来限制用户只能用指定的几个devices来访问网银其余的设备试图访问，一律视为非法。

”什么都没做“哈哈太熟悉的字眼了。每次我妈妈给电脑和手机安装了一堆莫名其妙的东西，我问她你都点什么了，她就会说，”我什么都没做啊“。

什么都没做是不可能的。有可能手机中毒了而不自知。不过现在手机中毒风险较低，更多的还是钓鱼网站。

Whatsapp打来的会有+65比如同一个group的，用whatsapp给你打电话，你没有存过这个人电话，你屏幕会看见+65。
我已经误挂了n个电话了。

最简单就是抄其他银行作业实在不行去国内取经。

老人家可以不用电脑但是现在谁能不用智能手机？

银行业应该适应这个社会的实际情况，否则还是关门为妙。。。

看一下这个新的案例，不知道是不是OCBC 的。

点错了，不是回你的帖 ，sorry

看看最近的新案例，不知道是不是OCBC 的这个应该是骗了一次 OTP，然后马上更改用户的手机号，然后过后几天，他们一直使用她的另外的户口进钱转钱，洗黑钱。 好像OCBC 可以在APP 改用户手机号， 这个是银行给与用户太大的方便，必然也引起很大的漏洞。我们用UOB ，改电话号码必须去银行柜台改。 骗子居然还用来贷款，相信是信用卡贷款，我的天，以后用户可否自己要求银行，某些申请不能在手机或者网上进行，必须自己去柜台申请，或者去ATM 自己放开，才可以用， 以免哪一天户口被骗走。申请什么都批准，不用经过真人，太可怕了。

对安全的根基号码的改变，保护力度很弱这是很可笑的设计。

添加收款人，改变限额需要用token确认，改变手机号码，添加digital token这些安全根基却不需要。

对的，WhatsApp会有+65但我从没听说过政府用WhatsApp联系人的。