钓鱼简讯骗子快手法 华侨用户：什么都没做就被盗转数千元https://www.8world.com/singapore/ocbc-phishing-scam-1694821 　 华侨银行客户钓鱼简讯骗案仍在扩散，陆续有更多受害者中招。有受害者现身说法，收到疑似骗子连串简讯，什么都没做，短短一分钟就被转走2600新元，连要打电话叫银行喊停的时间都没有。 这名匿名受害者告诉《8视界新闻网》，她是在去年12月23日早上9点25分时突然收到一连串相信是冒充华侨银行的骗子所发来的简讯，要求她提供一次性密码，跟着又停用（Deactivate）和激活（Activate）她的OneToken密码器。 这连串动作都是在短短一分钟内发生，女事主也说，她当时并没有在进行任何交易或点击任何链接，却在9点26分时发现自己银行2600元被一家公司转走。 “我之后马上打电话给华侨银行，停止我所有银行服务，也把所有的卡都换了，并叫银行重启（Reset）我的OneToken，但钱已经无缘无故被扣掉了。” 事主：密码器在从别处被激活 女事主强调，自己跟这个公司根本没有任何瓜葛，不知道对方是如何将自己的钱转走，她之后上网去查这家公司的背景，是一家从事汇款的公司，打电话去质问，公司承认这笔钱的确已转入他们账户，却坚称是他们一名客户转入，需要跟后者确认才能退款。 该名客户后 (more...)

应该是手机token，要不ocbc不会知道token激活的地理位置的xmlzj

文章不是写的很清楚吗？被激活的是One token。就是ocbc的digital token。哪来的实体token.

看到这个新闻后，赶紧把所有银行所有账号的limit调降，甚至禁止这个漏洞太可怕。。。

赶紧去跪银行说不定他们有些面包屑 文章都没看懂就忙着帮主人护驾，这是真的忠诚啊，赞一个！~~

总结时可能漏了重要的一条骗子利用OTP 更改了账户登记的机号码，后续的认证短信不会再发到原来的账户持有人登记的短信号码，而是发送到骗子登记的号码。 如果加上这一条，那么银行的认证改变手机号码的程序，是否存在漏洞呢？

我错了使用指纹认证、声纹认证、人脸识别这些单向认证的方式，理论上也是可以被骗子复制的。 唯一不能被复制的就是用USB证书认证，只要USB证书设备是双向认证的，USB证书设备就可以发现对方是假网站然后拒绝签名。

意思是华侨的用户比较笨是吗？如果其他银行没有类似事件。。。。。

你可能没有了解usb认证登录真的银行网站，要转钱的时候，网站就要去验证usbkey是否可以正确回答，key在你手上，骗子根本无法转钱

网银盾没有取消我现在还在经常用。只是现在个人用户不一定给办，企业可以，网银盾安全系数极高，有的还需要按盾上的按钮人盾交互。