<div dir="ltr">Thanks Joseph, and yes, it is difficult if banks have to provide an option to an OTP fallback.<div><br></div><div>Kosuke</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 10, 2023 at 2:29 AM Joseph Heenan <<a href="mailto:joseph@authlete.com">joseph@authlete.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>Hi Kosuke<div><br><div><blockquote type="cite"><div>On 9 Feb 2023, at 14:51, Kosuke Koiwai via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> wrote:</div><br><div><div dir="auto">FYI </div><div dir="auto"><br></div><div dir="auto">Is there anything we can do?</div><div dir="auto"><br></div><div><a href="https://www.bbc.com/news/uk-england-bristol-64559260" target="_blank">https://www.bbc.com/news/uk-england-bristol-64559260</a></div></div></blockquote><br></div>As I understand it, the scam works something like this:</div><div><br></div><div>The user’s debit card details have been obtained by the scammer.</div><div><br></div><div>The scammers try to make payments online using these details, which triggers Mastercard secure3d ( <a href="https://www.starlingbank.com/blog/introducing-3D-secure/" target="_blank">https://www.starlingbank.com/blog/introducing-3D-secure/</a> ).</div><div><br></div><div>The user generates a code in their app, which has copious warnings not to share it (screenshots attached).</div><div><br></div><div>I don’t understand the details/limitations of 3d secure, but this feels like the classic problem of OTPs not being context specific - i.e. it’s generally better to have a prompt like “Do you want to approve a transaction of £1523.43 to Amazon Gift Cards?”, although for some reason many of the 3d secure prompts I’ve seen do have a fallback to an sms issued OTP (but again, at least they can include the context in the SMS).</div><div><br></div><div>Thanks</div><div><br></div><div>Joseph</div><div><br></div><div><br></div><div><img src="cid:18639742b9e5ec551e01" alt="IMG_5164.jpeg"><img src="cid:18639742b9e607a2a7f2" alt="IMG_5165.jpeg"></div></div></blockquote></div>