【IT】 「2段階認証」 突破狙う詐欺サイトが急増 作成ツール出回る 【2FA】
■ このスレッドは過去ログ倉庫に格納されています
インターネット上で偽のウェブサイトに誘導し個人情報などを盗み取るフィッシング詐欺をめぐり、金融機関が本人確認強化のため導入している「2段階認証」が突破されるケースが増えている。詐欺サイト上で打ち込ませたIDやパスワードを正規の銀行サイトに入力、利用者のもとに届いた1回限り有効なパスワード(ワンタイムパスワード)を再び詐欺サイトに入力させ、盗み取る手口だ。2段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。
(以下記事全文はソース元にてご確認ください)
産経新聞 201912.1 17;44
https://www.sankei.com/affairs/news/191201/afr1912010010-n1.html 安全なものなんてない
2段階認証というアホが考えたとしか思えない仕組みも同様 GメールはほとんどブロックしてくれるけどYahooメールはガンガン入ってくる ワンタイムパスが送られるメールのパスワードが漏れてなきゃ大丈夫だよね どうやるんや?サイトをラップするみたいな事が出来るんか? >>4
多分そのパスワードを打ち込む先も偽サイトって事なんだと思うよ?
タイムアウトの1秒前まで待機して入れれば良いのかな? イタチごっこだろw
2段階認証を考えた奴らが詐欺の方にも関わってたら意味無いし セブンペイ「ほーら、そんなの役に立たなかっただろ?」 >>7
そっか、騙される奴がメール見てワンタイムパス入力するのね
俺引っかかりそうだ >>6
俺が何かで見たのはメールから偽サイト飛ばす
そこでログインすると一段目バレる
そのバレた物で犯人ログインするとワンタイムパスが来る
知らないでそのパスワード打ったら完成!ってのだった >>6
ごくごく簡単に言えばリバースプロシキ的に機能するサイトなんだろう
SSL/TLSのセッションを利用者端末との間と銀行サイトとの間の2つ張る
フィッシングサイト上で一旦暗号を解除して中身を抜いて、再度暗号化してエンドポイントに渡す もう通信の秘密も限界だろ
特殊詐欺取り締まるために抜本的な対策用意しろよ ネットに繋がってる限りどんなセキュリティも突破されるんじゃないの。
紙とかで保管するしかない。 ふふふ、所詮第一 第二が突破されだだけだ
我々にはまだ、第三 第四
大五郎がアルコール man-in-the-middle attack
中間者攻撃かな。
そもそもなんで、銀行はワンタイムパスワードが安全だと思ったんだろう。
パスワードを何重にしたところで
中間者攻撃で突破されるだろ。 Facebk ad〜とかってので勝手に引き落とされたわ
Facebookのアカウント持ってないのに ログインした後にでてくる画面は正しいサイトと区別つきにくいからな
リンクから偽サイトに飛ばして、入力させたIDとパスワードは正規のサイトに入力する
その結果も即座に偽サイトの表示に反映する
だから前回のログイン日時とか残高とか振込み履歴なんかも全て本物と同一になる 身も蓋もないが
設置者側がセキュリティ対策の責任を負って
万一の際に補償もある銀行ATMの方が結果的には安全だろうな 今までは、IDとパスワードを入力させたらすぐに使用しなかった
控えておいて後で不正利用した
二段階認証を導入したら盗み取った認証情報はすぐに使えなくなる
だからほぼリアルタイムで不正利用が行われるようになった
対策は簡単だよ
ログインも支払いも、いつも使っているアプリを使えばよい
リンクから支払いサイトに飛ぶな オンラインバンキングとかは全く素の状態の別OS起動してやってるわ 通信機能付きのハードウェア型キーロガーとかも有るんだよね…まぁこの場合は犯人が直接仕込む必要あるから誰にも触らせなければ良いのだか… そもそも二段階認証は悪意のある第三者がログインした時の被害を防ぐものであって、
自分自信が詐欺サイトで誘導されるがままに入力したものを防ぐものじゃない
そんなの認証が10段あろうが100段あろうが無駄だから auスマホの支払いにペイジーとか言うの良く利用するけど、警戒しといた方がいいのかな。
こう言うネット関係良く分からんw App Storeから謎の高額請求メールがしばしば送られてくるが
ああいうリンクを踏むとジ・エンドなんだろうなぁ PCからしか利用しない
ブックマークに登録済みの正規サイトから入り
URL全表示にして正しいか確認してから操作すれば問題ない 2段階認証でエラー出まくって銀行に電話したら、スマホの時計狂ってるとバグるから再起動かけろと言われて解決した 二段階認証で通知されたメールの番号を画面に入力させるのではなく、画面に表示された番号を二段階認証で届くメールに貼られたURLの飛び先の画面に入力させて、そこからログインする様にすればいいんじゃね? 厳罰化すりゃいいんだよ
ネット使えないなら不自由しかない 2段階認証って止めて欲しいわ
技術に付いていけなくなったオヤジが、入力画面開いたままどうやってメール見るんだって聞いてきて
新しいウィンドウか新しいタブ開くか他の他のブラウザ立ち上げれば良いだろって言っても理解出来なくて
もうちょっとでPC取り上げる事態になった >>30
これは大事
パスワード入れるようなサイトにはリンクから飛ばないこと
リンクから飛ぶくらいならブラウザーに記憶してもらってた方が安全かも 元々この仕組みが脆弱なんだよな
マンインザミドルとかアープポイズンとか
古典的な手法が今でも使えるんだから
仕様を考えるエンジニアのレベルが低すぎるんだよ
作るコストなんて対して変わらないのに設計がゴミすぎる そもそも大多数のユーザーが複雑なPASSWORDを憶えられないっていうね
必ずある程度の規則性が生まれるから簡単に突破されちゃうんだよな 二段階認証なんか意味ねえんだよ
っていうセブンの言い訳のために書かせた記事 二段階認証なんて
セキュリティー強度をあげるためとして
わざわざ電話番号とかの半公開個人情報を集めただけで
しかもその情報を秘密の質問にして
わざわざattackリスクを背負わされる
アホすぎるセキュリティー
Twitterは辞めるらしいぞ(笑) スマホ自体がユーザーのうっかりでやられやすいって感じが(´・ω・`) そりゃあそうだよな
スマホのロックさえ解除出来れば
GoogleもTwitterも
二段階目から完全アクセス可能(笑) 2FAだけではMITBへの耐性を持たないからな
トランザクション認証との併用などが肝要 urlとか使わずにipアドレスのみにすればフィッシングなんてできないだろうに
何でそうしないのかな。 インターネットバンキング使う時
きつもキーワード検索して
最初に出てきた自分の銀行であるはずのサイトに
ログインして使ってたが
危ないのか? インターネットバンキング使う時
いつもキーワード検索して
最初に出てきた自分の銀行であるはずのサイトに
ログインして使ってたが
危ないのか? >>6
>リバースプロシキ的に
この一言でレス全部の説得力が全滅w 正しいURLを単語登録でもしといて
毎回そこからログインし、メールや検索で誘導されてログインしない まぁ財産はオフラインに預けとくのが一番
オンラインは財布代わり位に >>38
開発側ならまだしも、ユーザー側にとって技術というほどのものでは・・
単なる慣れの問題でそこまでイキれるあたりに、他に何の取り柄もない悲惨さと必死さが透けて見えると言ったら言い過ぎか。 セキュリティ上げるためにとか言って、いちいち自動ログアウトされて、毎回パスワードを入力させる
何度も同じ操作させられたら、たまに来る詐欺メールに引っかかるわな メールで謎URL踏む人は振込み詐欺にも引っかかりそう
電話番号リストで網羅しきれない人がメールであぶり出されてる こういうのって逮捕して死刑に出来ないのか
この手ので逮捕って全然聞かない ワンタイムパスってケータイにSMSで送られてくるんでねーの >>41
最近はパスワードの決まりが
「アルファベット・数字・記号のうち2種類以上で8文字以上」
「アルファベットの大文字・小文字・数字・記号を混ぜて9文字以上」
「8文字以上」
と百花繚乱だからなぁ >>66
そういうのもあるし、スマホに直接表示するのもある
暗記力がないと入力できないわな、スマホ能力がないともとの画面に戻れないし パスワードって定期的に書き換えろとか、
複数サイトあるのに
おぼえられる人っているのか? 運営が無能なせいでどんどん使い勝手が悪くなっていく その前にアダルトサイトの画像認証マジで鬱陶しいから
やめてくれよ(´・ω・`) >>72
信号機に柱が含まれるものと含まれないもの
白線が僅かにかかっているマスが含まれるものと
自動車に…同
もう見なくていいやになるね メールが来てもサイト開く時はお気に入りから開いてるわ
まぁお気に入り自体を書き換えられたら終わるけど 詐欺サイトならSSLが無いんじゃないの?
詐欺サイトでもSSLの証明書取れるのか。 LINEから俺の電話番号で入るためのパスを要求してるヤツがいるって通知が来たな
「それ、俺じゃねぇから通報してくれ」ってLINEしたのに既読にもならずに無視されたぜ 簡単な話、クレジットやめて
振り込みにすればいいのでは >>22、28
プラットフォーマーがPWAを公式ストアから配布する仕組みを作って、そこからアクセスするのがいいんじゃないかと。
プラットフォーマーもこういうのに関してはUIガイドライン周りのの審査を緩めにした方がいい。 画像認証の類なんてAI得意そうだよな、
人間すらよく間違えるんだから何度か間違ってもロボットと気づかれんと思うわ。 パスワード管理ソフト使ってればドメインが違うので自動入力出来ない。
それで気づくはずだが、よく見ないでやってしまう可能性はある。 経済詐欺犯一律死刑にして欲しい
こいつ等のせいで世の中の手続が年々面倒くさくなっていってる 銀行からのメールを見てるから釣られるんだよ
あんなもん迷惑メールに設定しておけ >>25
その通り。パスワードを「1234」みたいに設定してるような奴らが引っかかるのかもw >>22
だね
いつも使ってるアプリから飛ぶなら介入される隙間がない
メールのリンクからブラウザ使うと詐欺サイトを踏む余地が出る >>79
無料もあるし共有鯖も格安あるから信用できないかも >>12
騙せれてるほうはhttpでないと騙しづらいな これ手動だったら笑えるなw偽サイトに入力されたワンタイムパスワードを詐欺師達が正規の銀行のサイトで手入力してたらw バーコード認証とかの話題でも思ったけど、交通系iCって、なんで偽造されないんだろう。作りはチャチっぽいのに ネットショッピングの時の決済方法は現金一択にしてる
多少面倒だが単純で確実 世の中には、かしこい人もいるもんだなあ
とりあえず、3段階認証にすればいいんじゃないかな? ■ このスレッドは過去ログ倉庫に格納されています