どんな安全なシステムでも、システムの手前をハックされると… っていうのはオレオレ詐欺を見れば。
泥棒が来て「家をきれいにしてあげるから鍵開けてください」っていって鍵開けて「きれい」にされちゃう、みたいな話を「突破の恐れ」という他責感満載の表現をするからいかんのでは。
窓口か電話口のみで売ろう。昭和でも出来てたから行けるよ。
https://note.com/bruteforce_diy/n/n30e2a965e48d 比較的分かり易い解説。TOTPですら最早不十分。はてなはパスキーを売り込むべきだと思う。
MITMとかセキュリティ何周目よ。ワンタイムパスだけで完璧になるわけじゃなくて、ドメイン見て入力しろでしかない。
ワンタイムパスワードも偽サイトに入力しちゃったら意味ないからね。FF14でもそれでアカウント乗っ取られてた人がいた。スクリプトを使って同時に本物のサイトに入力するらしい。
リアルタイムフィッシングならそら破られるだろうと。証券会社を語るメールのリンクを安易に踏むなとしか言えんよ
OSやブラウザの不具合を除けばほぼ中間者攻撃が不可能で現状最善なパスキーを金融機関は必須にすべきなんやで。選択肢としてすら用意しないなら全額補償すべきやね
取引用LinuxPCが必須。メールアドレスも証券会社専用のを用意しろ。
もう積立設定してるし今後ログインせずに放置するのが一番安全な気がしてきた… パスワードを強化したり変更するのすら怖いよ…
コワイ!
ご注意くださいませ。不正アクセスの脅威は増していますわね。対策と情報保護が大切ですの。
タイトルが誤解を招くから変えた方がいいのでは?ワンタイムパスワードの仕組みそのものを簡単に破る方法あるように見える。脅迫されてワンタイムパスワード入力させられてる状況と同じ。
SBI,これの設定してなかったら株買えなくなっててめんどくさい。コールセンターは一生繋がらないしどうにかしてほしい
パスキー対応早よ。
パスキー早く実装しようね
多要素認証はフィッシングには無力だから、URLの確認を撤退したり、信用できるパスワードアプリ、パスキーを使ったりしましょう←もはや全国民知っててほしい
パスワードマネージャ使って人間がパスワード入れなければ、パスワードのほうを抜けないから大丈夫だと思うんだけどなあ。人間が入力するから偽サイトに引っかかるわけで
ただ単に偽サイトに気づかずにワード入れてんやから当然やろ?悪いのは自分や。
毎回電話かけて認証してもらってからログインするSBI。毎回よくわからない絵合わせをしてメールが絵合わせとログイン報告であふれる楽天。
うーむ
パスワードマネージャーにドメイン確認任せるのはだいぶマシだけどDNS偽装とRootCAインストールを重ねられると攻略される。パスキーはそれも耐えるはず
今の技術で言えばさ、フィッシングサイトにはフルスクリーンの <canvas> を一つだけ置き本物のサイトをそのままストリーミングで投影して、本物にログインさせた後に制御を奪うことも出来るな、とか思った。
OTP使ってても、ログイン後のセッションID取られると終わるサービス多いだろうからなぁ(ブラウザの機能拡張が悪意ある第三者に乗っ取られる等)
中間者攻撃(AiTM、敵対者割込)って言わないとMFA不信が先行するから…。楽天証券の絵文字認証もAiTMフィッシングには効かないと思うのよね。
ネット証券で口座乗っ取られるか、証券マンに強盗と放火されるかの究極の選択
パスキーはFIDOサーバーがチャレンジを扱う時に認証を許可するホスト名を含めるから偽サイトがチャレンジさせても本物のサイトにはログインできない訳ね /つまり、パスワード認証でも、認証前にブラウザのアドレスバー
そりゃそうだが、IDとパスワードのセット販売を買ってきた人のハッキングは防げるのは防げる。それはそうと、みんなパスワードマネージャー使ってくれよとは思う
いまの証券会社はとにかくログインが面倒で、昨日の米雇用統計発表時のような急激な為替変動には使えないんじゃないかなぁ
1Passwrod使ってる。Familyプランがお得なので子供含めて家族全員に使うように推奨してる。ほとんどのパスワードマネージャはドメインの確認もあるから余程問題無いと思うが。今後はパスキーの教育もした方が良さそう。
ほとんどのMFAはクライアント認証を強化するだけでサーバ認証能力がないのでフィッシングには無力。MITMで中継されたら終わり。
"一体どうやって防げばいいのか――" パスキー導入すればいいんじゃない
https://fairygodboss.com/community-discussion/6wdhEyq5H/is-there-a-live-chat?utm_source=link&utm_medium=content-share
クソ見出し。こんな見出しで何を扇動したいの?リアルタイムフィッシングなら突破されるのは証券口座だけじゃない。OTP自体が突破された訳じゃないし元々確率論だし
注意喚起のプレゼント https://digital.asahi.com/articles/AST660CKPT66ULFA01VM.html?ptoken=01JX50SB1JFC2Z8WWY03F46CJC
リアルタイムフィッシング > これは証券口座乗っ取り事件発覚当初から指摘されてたぞ。
SBIのFIDOは、webサイトのログインは対象じゃないのよね
乗っ取り被害は本人が詐欺られてるだけなのに、証券会社の漏洩と思いこんでる情報弱者の人たちが多くて辟易する。テスタの件も複数社の口座を同時に乗っ取られたと証言しているので証券会社側が原因とは考えづらい。
証券口座、ワンタイムパスワードも突破の恐れ 同時進行で乗っ取り:朝日新聞
どんな安全なシステムでも、システムの手前をハックされると… っていうのはオレオレ詐欺を見れば。
泥棒が来て「家をきれいにしてあげるから鍵開けてください」っていって鍵開けて「きれい」にされちゃう、みたいな話を「突破の恐れ」という他責感満載の表現をするからいかんのでは。
窓口か電話口のみで売ろう。昭和でも出来てたから行けるよ。
https://note.com/bruteforce_diy/n/n30e2a965e48d 比較的分かり易い解説。TOTPですら最早不十分。はてなはパスキーを売り込むべきだと思う。
MITMとかセキュリティ何周目よ。ワンタイムパスだけで完璧になるわけじゃなくて、ドメイン見て入力しろでしかない。
ワンタイムパスワードも偽サイトに入力しちゃったら意味ないからね。FF14でもそれでアカウント乗っ取られてた人がいた。スクリプトを使って同時に本物のサイトに入力するらしい。
リアルタイムフィッシングならそら破られるだろうと。証券会社を語るメールのリンクを安易に踏むなとしか言えんよ
OSやブラウザの不具合を除けばほぼ中間者攻撃が不可能で現状最善なパスキーを金融機関は必須にすべきなんやで。選択肢としてすら用意しないなら全額補償すべきやね
取引用LinuxPCが必須。メールアドレスも証券会社専用のを用意しろ。
もう積立設定してるし今後ログインせずに放置するのが一番安全な気がしてきた… パスワードを強化したり変更するのすら怖いよ…
コワイ!
ご注意くださいませ。不正アクセスの脅威は増していますわね。対策と情報保護が大切ですの。
タイトルが誤解を招くから変えた方がいいのでは?ワンタイムパスワードの仕組みそのものを簡単に破る方法あるように見える。脅迫されてワンタイムパスワード入力させられてる状況と同じ。
SBI,これの設定してなかったら株買えなくなっててめんどくさい。コールセンターは一生繋がらないしどうにかしてほしい
パスキー対応早よ。
パスキー早く実装しようね
多要素認証はフィッシングには無力だから、URLの確認を撤退したり、信用できるパスワードアプリ、パスキーを使ったりしましょう←もはや全国民知っててほしい
パスワードマネージャ使って人間がパスワード入れなければ、パスワードのほうを抜けないから大丈夫だと思うんだけどなあ。人間が入力するから偽サイトに引っかかるわけで
ただ単に偽サイトに気づかずにワード入れてんやから当然やろ?悪いのは自分や。
毎回電話かけて認証してもらってからログインするSBI。毎回よくわからない絵合わせをしてメールが絵合わせとログイン報告であふれる楽天。
うーむ
パスワードマネージャーにドメイン確認任せるのはだいぶマシだけどDNS偽装とRootCAインストールを重ねられると攻略される。パスキーはそれも耐えるはず
今の技術で言えばさ、フィッシングサイトにはフルスクリーンの <canvas> を一つだけ置き本物のサイトをそのままストリーミングで投影して、本物にログインさせた後に制御を奪うことも出来るな、とか思った。
OTP使ってても、ログイン後のセッションID取られると終わるサービス多いだろうからなぁ(ブラウザの機能拡張が悪意ある第三者に乗っ取られる等)
中間者攻撃(AiTM、敵対者割込)って言わないとMFA不信が先行するから…。楽天証券の絵文字認証もAiTMフィッシングには効かないと思うのよね。
ネット証券で口座乗っ取られるか、証券マンに強盗と放火されるかの究極の選択
パスキーはFIDOサーバーがチャレンジを扱う時に認証を許可するホスト名を含めるから偽サイトがチャレンジさせても本物のサイトにはログインできない訳ね /つまり、パスワード認証でも、認証前にブラウザのアドレスバー
そりゃそうだが、IDとパスワードのセット販売を買ってきた人のハッキングは防げるのは防げる。それはそうと、みんなパスワードマネージャー使ってくれよとは思う
いまの証券会社はとにかくログインが面倒で、昨日の米雇用統計発表時のような急激な為替変動には使えないんじゃないかなぁ
1Passwrod使ってる。Familyプランがお得なので子供含めて家族全員に使うように推奨してる。ほとんどのパスワードマネージャはドメインの確認もあるから余程問題無いと思うが。今後はパスキーの教育もした方が良さそう。
ほとんどのMFAはクライアント認証を強化するだけでサーバ認証能力がないのでフィッシングには無力。MITMで中継されたら終わり。
"一体どうやって防げばいいのか――" パスキー導入すればいいんじゃない
https://fairygodboss.com/community-discussion/6wdhEyq5H/is-there-a-live-chat?utm_source=link&utm_medium=content-share
クソ見出し。こんな見出しで何を扇動したいの?リアルタイムフィッシングなら突破されるのは証券口座だけじゃない。OTP自体が突破された訳じゃないし元々確率論だし
注意喚起のプレゼント https://digital.asahi.com/articles/AST660CKPT66ULFA01VM.html?ptoken=01JX50SB1JFC2Z8WWY03F46CJC
リアルタイムフィッシング > これは証券口座乗っ取り事件発覚当初から指摘されてたぞ。
SBIのFIDOは、webサイトのログインは対象じゃないのよね
乗っ取り被害は本人が詐欺られてるだけなのに、証券会社の漏洩と思いこんでる情報弱者の人たちが多くて辟易する。テスタの件も複数社の口座を同時に乗っ取られたと証言しているので証券会社側が原因とは考えづらい。