【IT】「２段階認証」　突破狙う詐欺サイトが急増作成ツール出回る　【2FA】

◆ZATZYO/mSYbR **雑用縞工作 ★** · 2019/12/02(月) 01:42:33.52

インターネット上で偽のウェブサイトに誘導し個人情報などを盗み取るフィッシング詐欺をめぐり、金融機関が本人確認強化のため導入している「２段階認証」が突破されるケースが増えている。詐欺サイト上で打ち込ませたＩＤやパスワードを正規の銀行サイトに入力、利用者のもとに届いた１回限り有効なパスワード（ワンタイムパスワード）を再び詐欺サイトに入力させ、盗み取る手口だ。２段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。

（以下記事全文はソース元にてご確認ください）

産経新聞 201912.1 17;44
https://www.sankei.com/affairs/news/191201/afr1912010010-n1.html

**名無しさん＠１周年** · 2019/12/02(月) 01:44:51.36

安全なものなんてない
2段階認証というアホが考えたとしか思えない仕組みも同様

**名無しさん＠１周年** · 2019/12/02(月) 01:45:30.50

GメールはほとんどブロックしてくれるけどYahooメールはガンガン入ってくる

**名無しさん＠１周年** · 2019/12/02(月) 01:45:38.97

ワンタイムパスが送られるメールのパスワードが漏れてなきゃ大丈夫だよね

**名無しさん＠１周年** · 2019/12/02(月) 01:46:24.98

セブンイレブンの社長！

**名無しさん＠１周年** · 2019/12/02(月) 01:47:58.49

どうやるんや？サイトをラップするみたいな事が出来るんか？

**名無しさん＠１周年** · 2019/12/02(月) 01:49:52.01

>>4
多分そのパスワードを打ち込む先も偽サイトって事なんだと思うよ？
タイムアウトの1秒前まで待機して入れれば良いのかな？

**名無しさん＠１周年** · 2019/12/02(月) 01:49:59.56

イタチごっこだろw

２段階認証を考えた奴らが詐欺の方にも関わってたら意味無いし

**名無しさん＠１周年** · 2019/12/02(月) 01:50:03.00

セブンペイ「ほーら、そんなの役に立たなかっただろ？」

**名無しさん＠１周年** · 2019/12/02(月) 01:52:11.50

>>7
そっか、騙される奴がメール見てワンタイムパス入力するのね
俺引っかかりそうだ

**名無しさん＠１周年** · 2019/12/02(月) 01:53:34.19

>>6
俺が何かで見たのはメールから偽サイト飛ばす
そこでログインすると一段目バレる
そのバレた物で犯人ログインするとワンタイムパスが来る
知らないでそのパスワード打ったら完成！ってのだった

**名無しさん＠１周年** · 2019/12/02(月) 01:53:54.25

>>6
ごくごく簡単に言えばリバースプロシキ的に機能するサイトなんだろう

SSL/TLSのセッションを利用者端末との間と銀行サイトとの間の2つ張る
フィッシングサイト上で一旦暗号を解除して中身を抜いて、再度暗号化してエンドポイントに渡す

**名無しさん＠１周年** · 2019/12/02(月) 01:54:11.02

もう通信の秘密も限界だろ
特殊詐欺取り締まるために抜本的な対策用意しろよ

**名無しさん＠１周年** · 2019/12/02(月) 01:55:01.27

2段階馬鹿認証かよ

**名無しさん＠１周年** · 2019/12/02(月) 01:55:11.24

ネットに繋がってる限りどんなセキュリティも突破されるんじゃないの。
紙とかで保管するしかない。

**名無しさん＠１周年** · 2019/12/02(月) 01:58:39.84

sbi銀行のスマート認証は無敵

**名無しさん＠１周年** · 2019/12/02(月) 02:02:33.50

ふふふ、所詮第一　第二が突破されだだけだ
我々にはまだ、第三　第四
大五郎がｱﾙｺｰﾙ

**名無しさん＠１周年** · 2019/12/02(月) 02:03:01.06

man-in-the-middle attack
中間者攻撃かな。

そもそもなんで、銀行はワンタイムパスワードが安全だと思ったんだろう。
パスワードを何重にしたところで
中間者攻撃で突破されるだろ。

**名無しさん＠１周年** · 2019/12/02(月) 02:07:25.75

Facebk ad～とかってので勝手に引き落とされたわ
Facebookのアカウント持ってないのに

**名無しさん＠１周年** · 2019/12/02(月) 02:08:18.81

ログインした後にでてくる画面は正しいサイトと区別つきにくいからな

リンクから偽サイトに飛ばして、入力させたIDとパスワードは正規のサイトに入力する
その結果も即座に偽サイトの表示に反映する
だから前回のログイン日時とか残高とか振込み履歴なんかも全て本物と同一になる

**名無しさん＠１周年** · 2019/12/02(月) 02:11:40.92

身も蓋もないが
設置者側がセキュリティ対策の責任を負って
万一の際に補償もある銀行ATMの方が結果的には安全だろうな

**名無しさん＠１周年** · 2019/12/02(月) 02:13:30.23

今までは、IDとパスワードを入力させたらすぐに使用しなかった
控えておいて後で不正利用した

二段階認証を導入したら盗み取った認証情報はすぐに使えなくなる
だからほぼリアルタイムで不正利用が行われるようになった

対策は簡単だよ
ログインも支払いも、いつも使っているアプリを使えばよい
リンクから支払いサイトに飛ぶな

**名無しさん＠１周年** · 2019/12/02(月) 02:16:11.73

オンラインバンキングとかは全く素の状態の別OS起動してやってるわ

**名無しさん＠１周年** · 2019/12/02(月) 02:22:52.34

通信機能付きのハードウェア型キーロガーとかも有るんだよね…まぁこの場合は犯人が直接仕込む必要あるから誰にも触らせなければ良いのだか…

**名無しさん＠１周年** · 2019/12/02(月) 02:24:01.73

そもそも二段階認証は悪意のある第三者がログインした時の被害を防ぐものであって、
自分自信が詐欺サイトで誘導されるがままに入力したものを防ぐものじゃない

そんなの認証が10段あろうが100段あろうが無駄だから

**名無しさん＠１周年** · 2019/12/02(月) 02:24:14.65

nProtectさえ入れてなかったら大丈夫だよｗ

**名無しさん＠１周年** · 2019/12/02(月) 02:28:01.62

auスマホの支払いにペイジーとか言うの良く利用するけど、警戒しといた方がいいのかな。
こう言うネット関係良く分からんw

**名無しさん＠１周年** · 2019/12/02(月) 02:31:07.89

アプリあるサイトならそっち使った方が安全か？

**名無しさん＠１周年** · 2019/12/02(月) 02:32:27.28

App Storeから謎の高額請求メールがしばしば送られてくるが
ああいうリンクを踏むとジ・エンドなんだろうなぁ

**名無しさん＠１周年** · 2019/12/02(月) 02:35:56.11

PCからしか利用しない
ブックマークに登録済みの正規サイトから入り
URL全表示にして正しいか確認してから操作すれば問題ない

**名無しさん＠１周年** · 2019/12/02(月) 02:38:28.37

>>2
じゃああなたのおすすめは？

**名無しさん＠１周年** · 2019/12/02(月) 02:44:02.54

アマの偽メールであったなような

**名無しさん＠１周年** · 2019/12/02(月) 02:45:38.68

2段階認証でエラー出まくって銀行に電話したら、スマホの時計狂ってるとバグるから再起動かけろと言われて解決した

**名無しさん＠１周年** · 2019/12/02(月) 02:50:27.84

二段階認証で通知されたメールの番号を画面に入力させるのではなく、画面に表示された番号を二段階認証で届くメールに貼られたURLの飛び先の画面に入力させて、そこからログインする様にすればいいんじゃね？

**名無しさん＠１周年** · 2019/12/02(月) 02:57:03.71

二段階認証詐欺(笑)

アマゾンは全く追従してない

**名無しさん＠１周年** · 2019/12/02(月) 03:12:23.82

厳罰化すりゃいいんだよ
ネット使えないなら不自由しかない

**名無しさん＠１周年** · 2019/12/02(月) 03:16:09.73

詐欺は捕まえたら即死刑にしろ

**名無しさん＠１周年** · 2019/12/02(月) 03:17:44.12

２段階認証って止めて欲しいわ
技術に付いていけなくなったオヤジが、入力画面開いたままどうやってメール見るんだって聞いてきて
新しいウィンドウか新しいタブ開くか他の他のブラウザ立ち上げれば良いだろって言っても理解出来なくて
もうちょっとでＰＣ取り上げる事態になった

**名無しさん＠１周年** · 2019/12/02(月) 03:38:22.07

>>30
これは大事
パスワード入れるようなサイトにはリンクから飛ばないこと
リンクから飛ぶくらいならブラウザーに記憶してもらってた方が安全かも

**名無しさん＠１周年** · 2019/12/02(月) 03:39:11.45

元々この仕組みが脆弱なんだよな
マンインザミドルとかアープポイズンとか
古典的な手法が今でも使えるんだから

仕様を考えるエンジニアのレベルが低すぎるんだよ
作るコストなんて対して変わらないのに設計がゴミすぎる

**名無しさん＠１周年** · 2019/12/02(月) 03:55:14.55

そもそも大多数のユーザーが複雑なPASSWORDを憶えられないっていうね
必ずある程度の規則性が生まれるから簡単に突破されちゃうんだよな

**名無しさん＠１周年** · 2019/12/02(月) 03:58:00.23

二段階認証なんか意味ねえんだよ
っていうセブンの言い訳のために書かせた記事

**名無しさん＠１周年** · 2019/12/02(月) 03:59:51.53

二段階認証なんて

セキュリティー強度をあげるためとして

わざわざ電話番号とかの半公開個人情報を集めただけで　

しかもその情報を秘密の質問にして
わざわざattackリスクを背負わされる

アホすぎるセキュリティー

Twitterは辞めるらしいぞ(笑)

**名無しさん＠１周年** · 2019/12/02(月) 04:00:20.88

スマホ自体がユーザーのうっかりでやられやすいって感じが(´･ω･`)

**名無しさん＠１周年** · 2019/12/02(月) 04:03:06.25

そりゃあそうだよな

スマホのロックさえ解除出来れば

GoogleもTwitterも

二段階目から完全アクセス可能(笑)

**名無しさん＠１周年** · 2019/12/02(月) 04:06:10.14

2FAだけではMITBへの耐性を持たないからな
トランザクション認証との併用などが肝要

**名無しさん＠１周年** · 2019/12/02(月) 04:11:15.58

セブンペイは一歩先

**名無しさん＠１周年** · 2019/12/02(月) 04:22:37.31

urlとか使わずにipアドレスのみにすればフィッシングなんてできないだろうに
何でそうしないのかな。

**名無しさん＠１周年** · 2019/12/02(月) 04:34:55.30

インターネットバンキング使う時
きつもキーワード検索して
最初に出てきた自分の銀行であるはずのサイトに
ログインして使ってたが
危ないのか？

**名無しさん＠１周年** · 2019/12/02(月) 04:35:24.51

インターネットバンキング使う時
いつもキーワード検索して
最初に出てきた自分の銀行であるはずのサイトに
ログインして使ってたが
危ないのか？

**名無しさん＠１周年** · 2019/12/02(月) 04:43:29.72

ならば三段階認証だなw

**名無しさん＠１周年** · 2019/12/02(月) 04:49:50.87

>>6
＞リバースプロシキ的に

この一言でレス全部の説得力が全滅ｗ

52 · 2019/12/02(月) 04:50:44.47

おっと、>>6じゃなくて >>12だった

**名無しさん＠１周年** · 2019/12/02(月) 04:57:46.97

正しいURLを単語登録でもしといて
毎回そこからログインし、メールや検索で誘導されてログインしない

**名無しさん＠１周年** · 2019/12/02(月) 05:01:50.36

現金だな

**名無しさん＠１周年** · 2019/12/02(月) 05:22:56.08

まぁ財産はオフラインに預けとくのが一番

オンラインは財布代わり位に

**名無しさん＠１周年** · 2019/12/02(月) 05:23:21.50

>>54
まぁ之だよね

**名無しさん＠１周年** · 2019/12/02(月) 05:38:04.96

>>38
開発側ならまだしも、ユーザー側にとって技術というほどのものでは・・
単なる慣れの問題でそこまでイキれるあたりに、他に何の取り柄もない悲惨さと必死さが透けて見えると言ったら言い過ぎか。

**名無しさん＠１周年** · 2019/12/02(月) 05:46:23.71

こわいから
ネットバンクやQR決済は使ってないわ

**名無しさん＠１周年** · 2019/12/02(月) 05:55:55.07

セキュリティ上げるためにとか言って、いちいち自動ログアウトされて、毎回パスワードを入力させる
何度も同じ操作させられたら、たまに来る詐欺メールに引っかかるわな

**名無しさん＠１周年** · 2019/12/02(月) 06:03:21.61

メールから飛ばなきゃいいだけだろ?

**名無しさん＠１周年** · 2019/12/02(月) 06:08:55.44

メールから飛ばないようにすればええ

**名無しさん＠１周年** · 2019/12/02(月) 06:25:05.69

メールで謎URL踏む人は振込み詐欺にも引っかかりそう
電話番号リストで網羅しきれない人がメールであぶり出されてる

**名無しさん＠１周年** · 2019/12/02(月) 06:38:12.16

>>52
ピロシキ食べたかったんだ

**名無しさん＠１周年** · 2019/12/02(月) 06:39:10.49

こういうのって逮捕して死刑に出来ないのか
この手ので逮捕って全然聞かない

**名無しさん＠１周年** · 2019/12/02(月) 06:43:01.88

ワンタイムパスってケータイにSMSで送られてくるんでねーの

**名無しさん＠１周年** · 2019/12/02(月) 06:44:49.07

>>41
最近はパスワードの決まりが
「アルファベット・数字・記号のうち2種類以上で8文字以上」
「アルファベットの大文字・小文字・数字・記号を混ぜて9文字以上」
「8文字以上」
と百花繚乱だからなぁ

**名無しさん＠１周年** · 2019/12/02(月) 06:51:46.75

>>66
そういうのもあるし、スマホに直接表示するのもある
暗記力がないと入力できないわな、スマホ能力がないともとの画面に戻れないし

**名無しさん＠１周年** · 2019/12/02(月) 06:53:20.50

パスワードって定期的に書き換えろとか、
複数サイトあるのに
おぼえられる人っているのか？

**名無しさん＠１周年** · 2019/12/02(月) 07:00:38.82

>>3
Yahoo!は名アシストだから

**名無しさん＠１周年** · 2019/12/02(月) 07:06:18.61

運営が無能なせいでどんどん使い勝手が悪くなっていく

**名無しさん＠１周年** · 2019/12/02(月) 07:06:49.64

その前にアダルトサイトの画像認証マジで鬱陶しいから
やめてくれよ(´・ω・`)

**名無しさん＠１周年** · 2019/12/02(月) 07:16:32.48

>>72
信号機に柱が含まれるものと含まれないもの
白線が僅かにかかっているマスが含まれるものと
自動車に…同
もう見なくていいやになるね

**名無しさん＠１周年** · 2019/12/02(月) 07:16:52.08

メールが来てもサイト開く時はお気に入りから開いてるわ
まぁお気に入り自体を書き換えられたら終わるけど

**名無しさん＠１周年** · 2019/12/02(月) 07:21:07.17

情報源はトレンドマイクロか。
解散。

**名無しさん＠１周年** · 2019/12/02(月) 07:29:10.10

256文字のパスワード

**名無しさん＠１周年** · 2019/12/02(月) 07:30:51.72

>>9
お前らのはそれ以前の問題やろうが

**名無しさん＠１周年** · 2019/12/02(月) 07:40:44.10

指紋認証とかの生体認証が最強だろ。

**名無しさん＠１周年** · 2019/12/02(月) 07:44:52.86

詐欺サイトならSSLが無いんじゃないの？
詐欺サイトでもSSLの証明書取れるのか。

**名無しさん＠１周年** · 2019/12/02(月) 07:45:40.39

LINEから俺の電話番号で入るためのパスを要求してるヤツがいるって通知が来たな
「それ、俺じゃねぇから通報してくれ」ってLINEしたのに既読にもならずに無視されたぜ

**名無しさん＠１周年** · 2019/12/02(月) 07:46:14.98

まだ二段階なんて表現してるのか
二要素だろ

**名無しさん＠１周年** · 2019/12/02(月) 07:50:13.44

簡単な話、クレジットやめて
振り込みにすればいいのでは

**名無しさん＠１周年** · 2019/12/02(月) 07:52:46.45

>>22、28
プラットフォーマーがPWAを公式ストアから配布する仕組みを作って、そこからアクセスするのがいいんじゃないかと。
　プラットフォーマーもこういうのに関してはUIガイドライン周りのの審査を緩めにした方がいい。

**名無しさん＠１周年** · 2019/12/02(月) 07:53:17.47

画像認証の類なんてAI得意そうだよな、
人間すらよく間違えるんだから何度か間違ってもロボットと気づかれんと思うわ。

**名無しさん＠１周年** · 2019/12/02(月) 07:53:34.20

パスワード管理ソフト使ってればドメインが違うので自動入力出来ない。
それで気づくはずだが、よく見ないでやってしまう可能性はある。

**名無しさん＠１周年** · 2019/12/02(月) 07:56:57.88

経済詐欺犯一律死刑にして欲しい
こいつ等のせいで世の中の手続が年々面倒くさくなっていってる

**名無しさん＠１周年** · 2019/12/02(月) 07:58:12.27

銀行からのメールを見てるから釣られるんだよ
あんなもん迷惑メールに設定しておけ

**名無しさん＠１周年** · 2019/12/02(月) 08:06:13.16

>>25
その通り。パスワードを「1234」みたいに設定してるような奴らが引っかかるのかもw

**名無しさん＠１周年** · 2019/12/02(月) 08:14:56.94

>>22
だね
いつも使ってるアプリから飛ぶなら介入される隙間がない
メールのリンクからブラウザ使うと詐欺サイトを踏む余地が出る

**名無しさん＠１周年** · 2019/12/02(月) 08:23:23.30

シナチョンのどちらかだろ

**名無しさん＠１周年** · 2019/12/02(月) 08:27:58.03

>>79
無料もあるし共有鯖も格安あるから信用できないかも

**名無しさん＠１周年** · 2019/12/02(月) 08:28:51.00

>>12
騙せれてるほうはhttpでないと騙しづらいな

**名無しさん＠１周年** · 2019/12/02(月) 08:47:53.96

これ手動だったら笑えるなw偽サイトに入力されたワンタイムパスワードを詐欺師達が正規の銀行のサイトで手入力してたらw

**名無しさん＠１周年** · 2019/12/02(月) 08:54:33.07

だからアマゾンや楽天やyahooで買うのが正解

**名無しさん＠１周年** · 2019/12/02(月) 08:59:11.03

>>22
>>89
馬鹿そう

**名無しさん＠１周年** · 2019/12/02(月) 09:02:14.06

バーコード認証とかの話題でも思ったけど、交通系iCって、なんで偽造されないんだろう。作りはチャチっぽいのに

**名無しさん＠１周年** · 2019/12/02(月) 09:09:09.51

>>91
もう気を付けようが無いな

**名無しさん＠１周年** · 2019/12/02(月) 09:20:01.35

ネットショッピングの時の決済方法は現金一択にしてる
多少面倒だが単純で確実

**名無しさん＠１周年** · 2019/12/02(月) 09:24:05.13

世の中には、かしこい人もいるもんだなあ
とりあえず、３段階認証にすればいいんじゃないかな？

**名無しさん＠１周年** · 2019/12/02(月) 11:33:10.41

怖いな