123456789
返回列表 發帖
SLDPK

Rank: 1
71# 跳轉到 »
發表於 2026-4-20 14:02 | 只看該作者
如果大膽假設,如果這單轉賬是直接在銀行伺服器生成轉賬指示,完全唔關事主手機事,咁會如何?調查吓成個指 ...
mxmxm 發表於 2026-4-20 12:17



諗下就算啦
如果真係發生,到時真係好似侵侵咁話隨時變返翻去石器時代都似(係全世界,係全世界,係全世界)重要既野要講3次
到時大家都唔會好過

TOP

mxmxm

Rank: 3Rank: 3Rank: 3
72#
發表於 2026-4-20 15:15 | 只看該作者
回覆 71# SLDPK


    咁又真呀,  都係管好自己果幾千銀就算了

TOP

javacomhk

Rank: 3Rank: 3Rank: 3
73#
發表於 2026-4-20 20:02 | 只看該作者
本帖最後由 javacomhk 於 2026-4-20 12:06 編輯

唔係間間銀行提高轉帳限額都要2次驗證架!例如匯X恒x銀行,響手機銀行提高非登記人轉脹限額只要入身份證號碼。
中銀就要入多次密碼

TOP

KING008

Rank: 2Rank: 2
74#
發表於 2026-4-20 20:44 | 只看該作者
唔係間間銀行提高轉帳限額都要2次驗證架!例如匯X恒x銀行,響手機銀行提高非登記人轉脹限額只要入身份證號碼。
中銀就要入多次密碼
javacomhk 發表於 2026-4-20 20:02

啊樓主,
咁多個post,
你都冇講VPN 邊到出事???

TOP

t101

Rank: 3Rank: 3Rank: 3
75#
發表於 2026-4-20 22:24 | 只看該作者
兩個情況,vpn下
用web,係有可能的,簡單就DNS hack,去假網站
但用手機APP,基本上機會非常微,可以被hack

TOP

3q-epc

Rank: 1
76#
發表於 2026-4-21 06:52 | 只看該作者
唔知銀行有分幾多個伺服器去配合登入認證,轉帳指示認證,編碼器認證,成組指示嘅紀錄。
這幾十萬轉賬可能 ...
mxmxm 發表於 2026-4-20 13:44


銀行唔係篤手指, 唔可能轉走. 都係要每日埋數, 對arm 唔arm 夠唔夠. 所以先會有銀行隔夜同業拆息.
轉走1000億, 如果只係銀行自己內部, 只要自己fix 番就OK

另外, 銀行俾人hack 轉走, 係有試過. 孟加拉央行被hacker 轉幾億. 最後係因為其中一單串錯收款人名, 另一邊銀行核對, 事件先敗露. 哩次係追得番.

TOP

3q-epc

Rank: 1
77#
發表於 2026-4-21 06:59 | 只看該作者
兩個情況,vpn下
用web,係有可能的,簡單就DNS hack,去假網站
但用手機APP,基本上機會非常微,可以被hac ...
t101 發表於 2026-4-20 22:24


DNS 無用. 因為有SSL cert.
除非你hack既係domain name server.
如果你hack既係DNS, 手機app一樣會中招. app 底層一樣係用hostname, 而唔係ip 去connect

TOP

evantkh

Rank: 3Rank: 3Rank: 3
78#
發表於 2026-4-21 08:03 | 只看該作者
DNS 無用. 因為有SSL cert.
除非你hack既係domain name server.
如果你hack既係DNS, 手機app一樣會中招.  ...
3q-epc 發表於 2026-4-21 06:59


對,握手過程要跟埋SSL Cert對名。強行改路由(不論MITM或錯cert)一係會錯cert一係attacker仍然攞住啲encrypted data開唔到,除非client device或sodtware本有有問題(例如冇100% TLS、冇檢查hostname對唔對、冇檢查CA chain等),或者個encryption protocol本身有問題或已被破解。

TOP

t101

Rank: 3Rank: 3Rank: 3
79#
發表於 2026-4-21 11:42 | 只看該作者
本帖最後由 t101 於 2026-4-21 11:51 編輯
DNS 無用. 因為有SSL cert.
除非你hack既係domain name server.
如果你hack既係DNS, 手機app一樣會中招.  ...
3q-epc 發表於 2026-4-21 06:59


唔一定。好多人如果用web browser,可以redirect,然後到一個有cert的假網站,一般用家係唔會為意的,尤其強無加https。
browser通常自動加https上去,但unreachable,會fallback去http,呢個情況下,有機會中招的。

用手機app就唔怕,因為寫得好的app,第一件事就係互認證相對方是否valid的一方,就算IP係一樣,app都會先驗證對方server是否真嘢。呢點已經好唔同。


。。。
這套攻擊路徑在技術上是可行且常見的,通常被歸類為「中間人攻擊 (MITM)」或「DNS 劫持」的一種形式。

以下是該攻擊流程的技術分析與難點:
DNS 劫持 (Hack DNS): 攻擊者透過竄改公共 DNS 伺服器、攻擊寬頻路由器或修改受害者的 hosts 檔案,將原本應指向合法網站(如 bank.com)的請求解析到攻擊者的 IP 位址。
HTTP 重新導向 (HTTP Redirect):
場景 A (純 HTTP): 若使用者存取的是不加密的 http:// 網站,攻擊者可輕易透過 301/302 重新導向 將流量轉至另一個網址。
場景 B (HTTPS 與 HSTS): 如果目標網站強制使用 HTTPS (HSTS),瀏覽器在連線前會先檢查證書。若攻擊者無法提供與原網域名稱相符且受信任的 SSL 證書,瀏覽器會彈出安全警告,阻止重新導向。
假網站與 SSL 證書: 攻擊者會為自己的惡意網域(例如 bank-security.com)申請合法的 SSL 證書。當使用者被引誘至此網站時,瀏覽器會顯示「綠色鎖頭」或「連線安全」標誌,這常被用來誤導使用者降低戒心

TOP

evantkh

Rank: 3Rank: 3Rank: 3
80#
發表於 2026-4-21 12:28 | 只看該作者
本帖最後由 evantkh 於 2026-4-21 12:41 編輯
唔一定。好多人如果用web browser,可以redirect,然後到一個有cert的假網站,一般用家係唔會為意的,尤 ...
t101 發表於 2026-4-21 11:42


所以真正的技術用戶係需要同時檢查HTTPS證書同實際網址是否真實,但一般教育就好難講咁多細節。

相反,app的話你唔知係咪全部軟件都識檢查證書hostname夾唔夾,可能夾第二個domain嘅valid cert跟住app冇對個hostname同對象夾唔夾都一樣衰。

TOP

123456789
返回列表