TOP > IT・テクノロジー > 「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁” (1/2) - ITmedia NEWS

「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁” (1/2) - ITmedia NEWS

36コメント 2019-12-27 07:23 | ITmediaキャッシュ

2019年9月からネットバンキングでの不正送金による被害が急増している。その背景には、多要素認証を迂回する手段が登場したことが挙げられるという。 (1/2)...

ツイッターのコメント(36)

単にトークン使っただけでは安全とは言えない状況なんだろうね、残念ながら
こういう記事を見てみてもFIDOの需要ってあるんだよなぁって思う。
そして、FIDOについて詳しい人にも需要ある世の中になってほしいとも思う(具体的には僕にも需要があってほしい . . . )
<正規サイトの情報を基にフィッシングサイトを自動的に生成し、もし利用者が二要素認証のコードを入力してしまうと、そのセッションを詐取してリアルタイムに乗っ取ってしまいます>
>残念ながら中間者攻撃には歯が立たないことが確認されている状況だ
利用者が増えてネットリテラシーの低い層が厚くなっただけでは
(=´ω`=)
外部ドングル等でないとModlishka、Muraena、NecroBrowser等が出回りすぎて中間者攻撃となるとオワコンだな・・・
Social的なものから、中間攻撃にシフトした結果、再び減少から増加傾向になったというお話
「メッセージに記されたURLはクリックせず、事前に自分で正しいサイトをブックマークに登録しておき、そのブックマークからアクセスするとともに、URLを確認すること」
/
Chromeにパスワード覚えさせ、極力手入力しない。
これはこわい。要するにフィッシングメールに引っかからなければOK?
単なる多段階認証 /
追記されてると、関係方面からクレーム来たのかなと思っちゃった。
【それ以前は横ばいだった不正送金被害が19年9月から急増】 破られた“多要素認証の壁”-ITmedia NEWS 「SIMの再発行・携帯電話を乗っ取・人手でフィッシングサイト・監視・情報を悪用・常識、定石が通用しなくなる」
お金が関わる(クレカとか銀行とか)サイトの利用は公式サイト・アプリまたはブックマークから。
警察庁の発表によると、不正送金被害が19年9月から急増して過去最悪の水準になっており、その多くはフィッシングメールによる偽サイトへの誘導によるものとの事
フィッシングサイトでの個人情報の入力にはくれぐれもご注意ください
オンラインバンクの二段階認証を迂回する方法

1. SIMスワッピング
2. Modlishka (ユーザと正規サイトの間で動くリバースプロキシ)
どれだけ頑張っても安全性を確保できないタイプのユーザとかどうしても理解できないリテラシ層の人にオンラインバンキングをすすめないことも解決策足り得る気がしている
中間者攻撃か、怖い
見分け付かない釣りサイト増えて来てるし手段も巧妙で技術レベルも上がってるしなぁ、障壁だった日本語の壁も現地民雇用で品質上がって来てるし油断出来ねぇ −
"スマートフォン向けのフィッシングサイトが増えているのも、URL表示部分が短く、URLを確認しにくいことも要因となっているのではないでしょうか" これはありそう
記事をよく読めば分かりますが「多要素認証」が破られたわけではないですね。フィッシングに引っかかると、SMS・メール認証が無効化されるということ
『多要素認証をかいくぐるツール「Modlishka」(モディスカ)を公開しました。Modlishkaはユーザーと正規サイトの間でリバースプロキシとして動作し、いわゆる中間者攻撃を行います。』
WebAuthn が無事に普及してくれたら中間者攻撃は防げるはずなんだけどいつになることやら・・・ (=ω【みかん
だから多要素なら何でも良いわけじゃないんだよねー。> 破られた“多要素認証の壁”(要約)
要は、SNSやメールで来るリンクは踏まずに、正しいURLをブクマしておけってことね。
「パスワードを盗まれたとしても悪用を防ぐ手段が多要素認証だったが、残念ながら中間者攻撃には歯が立たないことが確認されている状況だ」ということだけは確か
破られているのはワンタイムトークンであって、多要素認証全般に問題があるような言い方は誤解を招く //
細かい区別なしに「多要素認証」とくくってフィッシング対策に効果あったとかなくなったとかいう記事はちょっと...
はーMFAの入力をリアルタイムでproxyするのか……
偽サイトを経由させる中間者攻撃か。まあトークン見られたらそらあかんわなぁ。
他人事だと思いたいですが注意しないとね。
19年になって海外のセキュリティ研究者が、多要素認証をかいくぐるツール「Modlishka」(モディスカ)を公開しました。
"警察庁の発表によると、それ以前は横ばいだった不正送金被害が19年9月から急増して過去最悪の水準…その多くはフィッシングメールによる偽サイトへの誘導によるもの"
mitmか…ウチもそろそろ他経路認証とか考えなきゃダメか
破られた“多要素認証の壁”(要約)
以上
 

いま話題のニュース

もっと読む
PR