总结一下骗子冒充银行发短信,这个短信和真正ocbc发的在同一个thread里面,所以用户以为是ocbc发的,进而点击了短信中的link,进了骗子的网站,导致自己的登录信息otp等等发给了骗子,然后骗子登录真的ocbc输入用户的信息,进而转走了用户的钱。
整个过程中,银行的漏洞在哪里?这种操作就等同于用户自己在操作呀。
总结时可能漏了重要的一条
骗子利用OTP 更改了账户登记的机号码,后续的认证短信不会再发到原来的账户持有人登记的短信号码,而是发送到骗子登记的号码。
如果加上这一条,那么银行的认证改变手机号码的程序,是否存在漏洞呢?
如果加上这一条,那么银行的认证改变手机号码的程序,是否存在漏洞呢?
Huasing Association 1999 - 2013