肯定是两次otp给了骗子啊骗子精心设计的骗局,肯定先用第一个骗来的otp来申请激活digital token,然后会再编造一个理由再要一个otp来完成激活digital token, 但是问题出在这里的细节。
这个完成激活digital token的otp是怎么发送的,ocbc有没有在sms里面写清楚这条otp是干嘛的,如果写清楚了会激活digital token,而客户没有看直接填,那么ocbc责任较小,如果是直接发了个数字youe top is 123456,那就是一个巨大的漏洞。
如果是做到了dbs那样的双重认证,先一个otp说这条otp拿来激活digital token,你同意的话把它输入你的token,再长按白键,生成一个新otp,才能激活,那很大程度上用户不会这么傻了
那个报道后半部分有一个短信的截图
ocbc的短信写的很清楚,是激活新的token的密码。苦主在这个问题上撒谎了。
不过我认可你说的那个流程,既然要从physical换去digital,那就需要在physical那边二次验证,确保安全。这种最基础的安全措施,客户可能好几年才操作一次,多验证比方便快捷更重要。
不过我认可你说的那个流程,既然要从physical换去digital,那就需要在physical那边二次验证,确保安全。这种最基础的安全措施,客户可能好几年才操作一次,多验证比方便快捷更重要。
Huasing Association 1999 - 2013