想到一个方法，来防止类似 OCBC 诈骗 的情况。

Google账号登陆的时候，就是这样的

新设备登录的时候必须在某个旧设备上授权才可以登录

给个更简单粗暴的方法只持有6个月的紧急预备金，其他现金存到CPF，买美股大盘，买保值的chanel hermes包包和劳力士手表，医疗重病意外保险保好保满，我就不相信骗子这样还能做怪

请问那款chenel包保值
保多少的原价

chanel classic flap 23cm 25cm荔枝皮黑金和黑银最保值
其实可以买二手的，只要买的是正品，一样保值况且价格比较便宜

这个没用，完全不解决问题骗子都有本事搞到本地银行帐号来收钱，那搞一个本地的手机来操作也不是难事。而且设备地理位置不难造假。

户主本来就是认证登录，自然会同意一个来自“新加坡”设备登录。

你肯定没 Apple 的任何设备。或者从来不用 apple ID。

要 trusted device，不是一台在新加坡的手机。

这说的就是我我的银行账户连一个月的备用金都没有，全部资金都在股市。连CPF超过两万的部分也在股市。

举个例子。我自己的手机和我的 macbook 都是我的 apple id 的 trusted device. 我在这台手机或者mac 上登入 apple 账户，直接扫脸或者指纹就行。

如果我在工作用的 windows 电脑登入 iCloud，就会往 iPhone 和 mac 上发送验证消息，说你的账号正在被某个 windows 电脑登入，位置在什么地方，确认还是拒绝。

位置只是提供一点额外的信息。

客户自己被骗，什么都会去点的

尽可能的尽点提醒的责任。

苹果这个认证和短信没区别我登录苹果icloud网页，手机提示一个新加坡设备请求登录，同意后和短信一样提供6个数字。如果我登录了假iCloud那就把这6位数字提供给骗子了。

OTP短信里如果也也多写一个地理位置，和苹果认证效果一样

多一点提示，减少一点银行的风险。遇到死活不听的用户，怎么都要把验证码提供给别人，那谁也没办法，不过这种人还有什么资格提赔偿呢？

问题是造假地址太容易了提示了地址是新加坡，又不提示邮编地址，和没提示一样。

不如规定用户必须考试，满分了才能用网银，及格用usb，不及格用柜台

跳出带地图的提示，毕竟要比 SMS 里提一句登入位置要醒目得多。

短信 sender 作假是没办法的，毕竟 SMS 协议没法改，很多第三方的短信服务商也不去（没法）验证发送人是不是真的 OCBC。

没用的中木马的，跳出授权框自动点yes并且会发送6位数字

所以根本没有万无一失的措施。还是得靠用户自己小心。

我就搞不明白那个搞 IT 的为什么也会在一个不是 ocbc 的网站上填写资料，短信里的假域名其实很清楚，稍稍有点常识都不会受骗。

你真容易被糊弄那东西没那么高大上，那个地图就是一个新加坡岛图，没有精确地址，和只写Singapore这一个单词所包含的信息量是一模一样的。它就是一个有图画效果的短信而已。

搞 user experience 的听了你的话，估计要撞墙死了。

纯文字和图文的展示效果差很多的。

关键是对被骗的人没差别呀受害人登录假网站，apple带个新加坡岛图提示有人在新加坡登录，你同意就输入这个6位数字

受害人登录假网站，短信提示你登录网站的OTP是这6位数字

这两个提示有差别吗？受害人会因为看到新加坡岛图就突然明白自己登录的是假网站？而看到短信就认为自己登录的是真网站？

Otp0“My husband (who was phished by the scammers) did not surrender the OTP to the scam website because he was driving at the time… Yet, they were able to take over our account’s OneToken without an OTP, and then transact after that,” said one victim.

Six scam victims said the fact that the fake message appeared in the SMS thread used by OCBC was why they mistakenly thought that the link in the message was credible
At least 469 bank customers were affected by the phishing scam, totalling around S$8.5 million in losses
Some did not give scammers their one-time passwords, but their accounts were hijacked anyway
The bank has said it is rendering assistance to affected customers

当然有。收到 otp sms，注意力都会集中在那几个数字，其它的的会被忽略。你还记得你收到过的 otp 短信里都有些数字以外的文字吗？

最安全的措施就是没有钱吃饭的钱都没有，太安全了。

没有 ocbc 账户，无法评论其流程。不过在我看来，没有 otp 就被人登入，那确实是银行的问题，除非那些事主隐瞒了什么。

当然有啊必须看清楚这个otp是干啥的，从哪里来的。

这事已经闹大了，静待调查结果吧客户的每一步操作，银行那边都有详细的记录，这事情不难查清楚。我估计MAS也会要求ocbc给出一个合理的解释。

我个人相信是客户为了推卸责任说了谎话。如果otp没有泄露就能转走钱，那受害的就不止几百人了。

改号码和转账，都加一个手机确认就可以了

用户便利性和安全性不能两全安全性的提高，必然影响用户体验和使用，只能在某些程度上折衷，更不要说没有绝对的安全性。

UOB在 OTP6位数前另加四位英文字母其他银行没加
这个给UOB一个赞！
这个加了多一层保护 极大限度保证登陆页面和手机OTP是一致的

另外，OTP6位数号码通常会隐藏在sms的最后。保证notification讯息读不了这个字串。
一些银行在这方面也没做好（咦？三大家都看得见。。。是不是手机屏幕太大了。。。)

这个是很的好但做为用户，我基本上没有去比较过这个字符串。碰到风险高的操作一定要比较。最好不进行风险高的操作。

终极方案。银行取消发送 SMS 和 email。
设置 digital token 用 SingPass 验证。
之后所有消息都通过银行 app 的 notification 来发送。

同意这个电话 短信 邮件作为旧科技没跟上安全风险的趋势。不适合作为高风险产品的沟通渠道。

现在有很多传统短信的增强产品。比如 Apple Business Chat，Google RCS，sender 的名字和图标都要被 Apple 或者 Google 验证过才能使用。不过则需要银行另外做开发分别接入 Apple、Google 的 API，某些国家还用不了。

再不然用流行的社交通讯 app 来发送消息也可以，WhatsApp，WeChat，Facebook Messenger，LINE 之类的，这些 app 的企业 sender 名字和 logo 也是需要认证才能使用。

App Push Notification 其实不一定很可靠，都通过 Apple 的 APN 和 Google 的 GCM/FCM 来发送，他们不保证发送质量，有时根本收不到。

没otp 就能转钱，这一点我觉得难以置信

渣打也有渣打的OTP前面也有三个字母来验证你的transaction和收到OTP是否是同一个交易
DBS是新的eToken激活以后的24小时不能做高风险活动包括增加payee和提高交易额度
中行是超过5000不管在不在你的payee list里头都强制要用physical token

請問你都投資哪些資產啊？新加坡股，港股，美股？