<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;">Hi Kosuke<div><br><div><blockquote type="cite"><div>On 9 Feb 2023, at 14:51, Kosuke Koiwai via Openid-specs-fapi <openid-specs-fapi@lists.openid.net> wrote:</div><br class="Apple-interchange-newline"><div><div dir="auto">FYI </div><div dir="auto"><br></div><div dir="auto">Is there anything we can do?</div><div dir="auto"><br></div><div><a href="https://www.bbc.com/news/uk-england-bristol-64559260">https://www.bbc.com/news/uk-england-bristol-64559260</a></div></div></blockquote><br></div>As I understand it, the scam works something like this:</div><div><br></div><div>The user’s debit card details have been obtained by the scammer.</div><div><br></div><div>The scammers try to make payments online using these details, which triggers Mastercard secure3d ( <a href="https://www.starlingbank.com/blog/introducing-3D-secure/">https://www.starlingbank.com/blog/introducing-3D-secure/</a> ).</div><div><br></div><div>The user generates a code in their app, which has copious warnings not to share it (screenshots attached).</div><div><br></div><div>I don’t understand the details/limitations of 3d secure, but this feels like the classic problem of OTPs not being context specific - i.e. it’s generally better to have a prompt like “Do you want to approve a transaction of £1523.43 to Amazon Gift Cards?”, although for some reason many of the 3d secure prompts I’ve seen do have a fallback to an sms issued OTP (but again, at least they can include the context in the SMS).</div><div><br></div><div>Thanks</div><div><br></div><div>Joseph</div><div><br></div><div><br></div><div><img src="cid:46E56E79-018E-4521-9CC1-1FE21549EDE2" alt="IMG_5164.jpeg"><img src="cid:A81744A4-5BB8-4014-9C90-270F35031416" alt="IMG_5165.jpeg"></div></body></html>