【不正】テレフォンバンキングがリバースブルートフォース攻撃される可能性 #銀行 [雷★]
■ このスレッドは過去ログ倉庫に格納されています
テレフォンバンキングがリバースブルートフォース攻撃される可能性について
2020年09月18日 12時00分
複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している(高木浩光@自宅(テレワークを除く)の日記)。
同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。
編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。
なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
https://security.srad.jp/story/20/09/17/1654244/ ただの残高照会しかできないとしても口座番号と暗証番号が特定できるから攻撃出来てしまう テレフォンバンキングってテレフォンセックス的なやつ? しかしこのリバースブルーオイスターカルトアタックっちゅうのはどのくらいの規模の総当たり数まで有効なんだ >>1
ネット銀行は、間違ってもやらないわ。
紙の通帳に記帳。これ以外、安全策は無い ・テレフォンバンキングはキャッシュカードの暗証番号で残高照会可能(振込は不可)
・テレフォンバンキングは暗証番号間違いでロックが掛かる、が、リバースブルートフォース攻撃可能
・テレフォンバンキングはオプトアウトになっていない
・テレフォンバンキングの利用停止はSMBCダイレクトを開始していないとできない
・口座番号と暗証番号が割れれば磁気ストライプ型の偽造キャッシュカードが作れる
・口座番号と暗証番号が割れてもICチップ型の偽造キャッシュカードは作れない
・キャッシュカードをICカードのみの設定にすれば磁気カードは使用不可
・SMBCダイレクトの初期パスワードはキャッシュカードと共通
・SMBCダイレクトのログインパスワードはキャッシュカードと別のパスワードに設定可能
SMBCダイレクトからしか解除できないのかよ
厄介 >ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ
何言ってるんだこいつ >>1
聞き慣れない単語だから調べたらID総当りのことらしい
バカはすぐ体を表さない名前を作るのな。お前らだよ、クソプログラマーども すげぇ無様なセキュリティなんだな、先進国ではないよ、菅さんアンタさ、考えったほうがいいよ >>19
テレフォンバンキングやネットバンキングをわざと暗証番号間違えてロックするという防御法がある
口座引き落としやATM引き出しはロックされないからテレフォンバンキングやネットバンキング使わない奴は問題ないという話 テレフォンバンキングって口座開設のときに使うかどうか指定したような気がする
使わないのに有効にしてる人多いのかな? テレフォンバンキング?
ダイヤルアップで接続してやるやつ?
ピーヒョローガガガガ… 三井住友銀行の場合は暗証番号が判明しても二要素認証してるから悪用される可能性は低いけど
テレフォンバンキングしてて二要素認証してない銀行は危ないだろうな つーか、今どきテレフォンバンキングしてる奴いるの?w ドコモのサービスでも電話から携帯番号+ネットワーク暗証番号でブルートフォースできそうだよ
怖いことに海外からの電話でも他の電話からもできて拒否設定や番号登録がないみたい
ユーザーが被害者になりうる脆弱性はドコモ放置なんだね
自分を守れれば顧客がどうなろうとどうでもいい
ドコモ口座も手数料とビッグデータがビジネスでそれでユーザーがどうなろうと知ったこっちゃない >>32
問題はネットバンキングを契約してない人じゃね? >>37
自動音声応答による銀行口座残高の照会が逆総当たり攻撃される危険性がある
ならわからないかな >>42
オプトアウトがネットバンキングでしか出来ない、とは限らない
銀行によって違うだろう テレホンバンキングでリバースブルートフォースは難しいだろ。 >>38
正解だ
>>39
コールセンターでよくある自動音声のかな
○○の場合は1を△△の場合は2を押して〜ってやつ >>1 あーわかるわ
パージがルシのコクーンでパルスだろ? リバースブルートフォースアタックなんていう周知の攻撃法に対しては、システムを組む
側はその対策をしているからな
まぁ普通はそうなんだけど、口座番号と名義人と生年月日と4桁の暗証番号だけで本人確認
とした日本の銀行は、世界標準のセキュリティ基準から明らかに劣っているので、日本の
銀行システムの場合はもしかしたらリバースブルートフォースアタックに対する対策を
していない可能性はある >>41
そういやネットワーク暗証番号なんてものもあったっけか… >>51
体をあらわしているとは思わないけど
ブルートフォース攻撃の「リバース」っていったらこれしか思い当たらん系 完全な防御策は無いから、せめてすぐに気付くようにしないと。
入出金ごとにメール送ってくれるソニー銀行に一本化しようかな。 そんな奴には、口からリバース攻撃だ
自作自演で誹謗中傷するのが得意な「砂漠のマスカレード」が、5月中旬位からスレ立てをやめて、逃げました
違う名前でするようになっただけですけど
そんなネット工作員の彼に興味のある方は、モ娘(鳩)はげみんと出入り禁止のスレへ
https://egg.5ch.net/test/read.cgi/zurui/1582888619/ ただ電話でそんな糞面戸くさい事やるかって話だけどな >>56
よく考えたらソニー銀行は、引き落とし設定できないとこがいくつかあるから一本化は無理でした。 キャッシュカードを
磁気ではなくICキャッシュカードにする様に義務付けろ /´∀`;::::\< テレホマンの全身AA貼ったら弾かれるのかな? >>63
なるほど これで意味が通じるよな
漢字は偉大だな ジャパンネット銀は引き落とし・入金ともに送ってくる
三井住友VISAは500円以上のクレカ使用でメール送ってくる
まあ安心 ハローページに全て載せ
番号通知も無い時代。。
番号通知、、
ここから妙な事件、怨恨、詐欺が横行し始めた。
逆なんだよ、
全部晒して信頼関係が最大の治安防御なんだよ
疑心暗鬼が諸悪の根源 >>66
駅前ATMも(専用回線)遠隔だから公衆回線〜かな >>17
なんでもやはり紙が基本だよな。
クレカの請求書も郵送の紙にしたほうがいい。
大多数の人はクレカの毎月の支払いは見るけど、精査はしないから。
紙の請求書だとさっと目を通すだけで変な請求は分かるけど、ネットで確認だとほとんどしなくなる。
なので月数百円の変な請求が続いてもまず気づかない。 テレフォンバンキングは申し込み必要だけどドコモのは完全サイレントだからな防ぎようがないわ じぶん銀行からメール来た
【停止する決済サービス】
・LINE Pay
・PayPay
・メルペイ
・PayB
・FamiPay
・pring
・マネックス証券
【停止するサービス】
・新規口座登録
・チャージ(入金) ※オートチャージを含みます。 >>1
スレタイの意味全然わかんなくてワロタwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww >>75
キン肉マンの敵キャラが何かすごい技を決められたようなスレタイではある。 これ思い出した
テフをオフチョベットする。オフチョベットしたテフをマブガットしてリットを作る。発酵させたリットにアブシィトを加えて混ぜて焼くだけ。
ドコモ口座だけじゃない
こんなにある収納代行サービス!
.
支払いツールはSuicaとクレカだけで十分です!
収納代行手数料を負担するのからしてバカバカしい!!
ぼったくり。ぼったくり。ぼったくり!!!
.
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害は総額600万円以上にも!
.
もう百害あって一利なしです!
こんなの解約しよう!!
絶対につくるのはやめよう!!
.
銀行口座を持ってるだけで不正利用される!
https://asahi.5ch.net/test/read.cgi/newsplus/1600170953/
.
ドコモ口座
ゆうちょペイ
au Pay
Amazon Pay
PayPay
LINE Pay
QUICKPay
楽天ペイ
FamiPay
LAWSONペイ
イオンペイ
Bank Pay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
習近ペイ
加トちゃんペイ
35 金融業のセキュリティ無知はひどいぜ IDを変更すると、新しいIDを書き込んだ確認メールを送ってくる 怒って電話するとバカ女が無知な対応をする いつかはセキュリティの隙を突かれると思っていたよ 特定アジア人、マジでこの世からいなくなってくれないかな ワッハッハッハ、地球はもう我々のものだ!
待て!そうはさせないぞ!
む?!何者だ!
地球の平和を守る、リバートブルースフォースだ! 証券口座に個人向け国債入れ、銀行口座をゼロにして安心してた。からのSBI証券不正流出で衝撃だわ。 >>2
オペレータ介してネットバンキングとほとんど同じことができていた。
廃止してる銀行もある。 Brute-force attack 野蛮 力 攻撃
力ずくというコンピューター業界語か テレフォンバンキングって何じゃ?
ダイヤルナンバーだけで出入金できるのか?
だとして通話中にマクロ動かせるんだろうか?
手動で口座番号総当たりは無理ゲーだろう 原理的にはできるな
でも繋がる電話回線の数でリミットかかるし電話掛けてまたピボパ…のプッシュ音で入力だから1回の試行に時間がかかる
インターネットバンキングを狙うより
だいぶ効率悪そう 今時こんなサービス廃止してもいいと思うけど、どんな人が使ってるんだろ? >>91
ただの総当たり攻撃だからITには限らない
ダイヤル錠を000〜999まで順に試していくのもブルートフォース攻撃 ■ このスレッドは過去ログ倉庫に格納されています