二段階認証の入力画面にも更なる工夫が必要ということだろう。
アプリ連携の多要素認証じゃないともう無理か?
これを絵柄にするとどう良くなるのだっけ🐶🐱🐰🐷🐻🐒🐼🦊 /login試行後に証券会社が送るメールにログインURL載せる、以外の方法を考えたいな(otp生成機やパスキーを入れさせるのは👴には難しいとして)
イタチごっこだなー、いやだいやだ。FIDO認証導入してるとこはどうなんだろう。
”認証パスコードがユーザーのSMSやメールに送られる。ユーザーがフィッシングサイトに入力すると、悪用者はそれを盗み ”バケツリレーか。追証なら踏む率高そう。厳格に証明書認証するしかなさそうね。
SMSとかをどうやって突破するのかと不思議だったのだが、類似のサイトを用意して、プロキシのようにして動くのか……コレ、ユーザーが入力するタイプの認証全部突破されるやん。パスキーなら防げそうな気がするが……
単純に考えると要はなりすましなので対策手段は認証ではなく証明書では(恐らく一般人は専用アプリのみ使うのが手っ取り早い)/URLに応じ入力するPM狙う攻撃も既に https://gigazine.net/news/20231208-android-password-managers-leak-autospill/
マイナンバーカードを使ったデジタル認証を導入するとかかな。金融系だと三菱 UFJ 銀行が導入済か https://services.digital.go.jp/auth-and-sign/
URLを見にくくした、全ての改悪が良くない。更に言うと、JPNIC と金融庁が協力して、正規の金融機関のみが例えば .fn.jp で終わるドメインを取得できるようにすべき。
“2段階認証まで突破する「リアルタイムフィッシング」詐欺も横行している”
2段階認証突破のやり口が超シンプルで笑える(笑えない)。2段階認証が普及してからかなりの年数が経つけど、よく今までこんな単純な穴が長年問題なく続いていたなーと思えるレベル。
メールはfrom見る癖つけとけば怪しいのはすぐわかるのに。焦って開いちゃうんかな。
メールもSMSも完全無視で通知もオフ。スマホアプリのみにするのが一番安全なのでは。
対策に加えるなら『ログイン履歴を確認する』だろう。CIS氏も面倒と言いながら、繰り返していた。乗っ取り犯は即売買せず、抜いてから寝かしてる可能性もある。
やっぱり主に流出経路はフィッシングなんだな。パスワードマネージャ使って人間が直接パスワード入力しなければ防げる話ではある(のに株動画でパスワードマネージャ危険みたいな話が流れてて驚いた)
変なメールを開いてそこからログイン操作してしまうと、いくら2段階認証を設定したりパスワードを変更したりしても無意味ということか
フィッシングサイト対策ならパスキー導入やろなあ
フィッシングサイトが中継できる情報は全てダメか。証明書も多要素も意味無し。経路を一直線往復に限定、経路記憶、TTL詐称させない新しいプロトコルが必要だ。ますます不便になりそう
今回問題になって証券会社が被害補償するかみたいな話になってるのはフィッシングサイトではないので、古い話してるなという感じだが……。これだけならパスワードマネージャー使いましょうで済む。
結論は出ていて悪意には勝てない
結局メールかSNSだから何事もアプリを起点に操作したほうが良さそう。
結局はここに尽きる
少なくともここで提示されている話は「何を今更」の話で、今問題なのはそうじゃない手法があるらしい、ということくらいは書いたらどうかね?
アプリのみ接続可にしないと駄目かな。それも突破されそうならおじさんには思い浮かばないな
うわ、ユーザを偽サイトで騙せた途端2段階認証は実質最後の砦だった取引パスワードかPINジェネレータが唯一残る鍵になると。これは証券会社以外も含めた抜本的なセキュリティ方式の変更が要りそうだ。
この件に関してはSBI証券の印象がすごく悪い。対応とか、そもそものセキュリティ意識の低さが感じられる。ネット証券トップだからっておごりがあるんじゃないの?
MITMなんて高度なことしなくても、偽サイトに正規の情報入れられたら同じだもんな…
クライアント証明書はCNとドメインの一致をブラウザが検証するし相違がある場合は警告されるんやで/もはや人間に判断は不可能なのでパスワードマネージャでドメイン一致してるかどうかを判断すべきなんやわ
パスキーなら、本物のサーバを乗っ取るか DNS を詐称しない限り通らないので、現時点ではパスキーが解決策だと思うけど、デバイスの紛失や故障時のリカバリーをどうするか、という辺りがなぁ。
アプリにすればいいと思ったけど、すると今度は誤認させる偽アプリとか出てきそうだなとかおもったが、配信側審査で弾ける…かな?
おそらくは本物の証券会社からのメールであってもメール内のリンクをクリックせず、ブックマークからアクセスするようにしてる。それだけでもフィッシングサイトに引っかかりにくくなるはず。
ブラウザ自動入力してるとそもそもパスワード覚えてないから自動入力されない時点で気がつく…がサイト側がリニューアルしててドメイン変わっててみたいなケースを誤認させられるとやらかすかも
NOV1975氏コメ。マジか。 / https://toyokeizai.net/articles/-/876277?display=b
URLを検証するパスワードマネージャを対策として紹介しろよ
フィッシングが怖い人はパスワードマネージャーの自動生成&記録機能を使って自分はパスワードを覚えないようにしよう。自動入力できない=ドメインが違う=フィッシングと気づける。
またしても、積み立てを設定したら後は二度とアクセスしない死人式投資術が攻守最強と証明されたか。
2から3への画面遷移は弾けるんじゃないかな。あれ?いろいろ考えたけど、ブラウザ側が対応しないと難しいな。サイトで指定した以外のアクセスを弾くという機能が必要。
だからパスキーか必要なんだよね。パスキーは公開鍵暗号方式だからフィッシングで認証情報を得るのは仕組み的に不可能。クライアントの秘密鍵とサーバの公開鍵で検証してて認証情報は流れないので中間者攻撃できない
“摂取した情報” → 窃取した情報
間に挟めばできる仕組みって今のwebの仕組みだとなかなか防ぎにくいなぁ。クライアント証明書使うのが技術的には容易ではあるが。
まぁ普通に突破できるよな。/コメントを見て。リアルタイムの仲介者攻撃だと攻撃者が本物のサイトにログインして、パスキーの承認要求が被害者の端末に出るからやはり突破されるような。
一周前の話を書いてるな…。
(多段階とか多要素認証を突破するための)リアルタイムフィッシングは加害者にとってコストとリスクが高いから誰もやらないと思っていただけで、そうではないならやる人は出てくるよな。イタチごっこだとは思う。
これを「突破」とは言わないのでは
ユーザー側にフィッシングの注意喚起する暇あるならとっととパスキー導入してそっちに移行しろってやれば済む話なのに、もっとまともなITリテラシをもったネット証券は出てこないものか…
フィッシングサイトならchrome等のパスワードの自動入力がされない。これと同様の技術を上手く使って、自分が信頼できるサイト(ホスト、ドメイン)を記憶する仕組みを提供できないだろうか。
新規接続元のアラートが足りてない。いつもと違う接続元なので、フィッシングではないか※※※を確認ください(スマホからの接続ではないなどの警告とともに)、の確認させてからMFAのコード表示にするべきでは。
まあ現状だと「クリティカルな認証はパスキー以外認めない」(「パスキーも使えるけど、固定パスワード+OTPの多要素認証でもログイン可能」みたいなのは無し)が一番確実だわな。
リアルタイムフィッシングの分かりやすい解説。2段階認証と称してパスコードを入力させるのは2段階認証として穴があるのね。偽サイトを経由されたら無力。プッシュメディアからのログインは絶対にしてはいけない。
多要素認証導入しても同じ様に突破されるのでは…
二段階認証ハッキング手段の話。フィッシングサイトにアクセスさせID/Passを入れさせ「Loading」と表示させてる間に悪用者が本物のサイトに盗んだID/Passでログインし、ユーザー本人に二段階認証させると
TOTPかパスキー選べるようにしてくれ。独自認証は使いにくすぎる。電話認証の方がマシなレベル。
セキュリティ関連の件が収まらないと安心して投資できない。今は現金化して様子見が吉。
「ログイン成功!勝手に株を売買」と図に書かれてるけど、ログインできても取引用暗証番号がなければ売買できないよ?
フィッシングサイト経由で乗っ取られているなら防衛はしっかり出来るんだけど、それ以外の方法が怖い
証券とか銀行のサイト、セッションが無駄に短く頻繁にログインさせられるのがますますフィッシングに弱くなってるような
わざと一回パスワード間違えるといいみたいなのも通用しないよね。
MSの認証だと今Web画面に表示されている数字をアプリに入力させる形だから、これでも回避できるね
メールからリンクを開いてはいけないねもう
なんというか設計が酷いだけでは?/2段階認証をSMSやメールで通知するなよ。
EV証明書を意味がないと攻撃して追いやった風潮も良く無かった。EV証明書は厳格な審査がありコストもかかるので詐欺にはハードルが高く、グリーン表示してくれていたのはかなりの安全の目安になっていた。
こんな昔からよくある手口の解説でこんなにブクマ付くんだから引っかかるやつ多いんだろうね
メールとかに書いてあるURLクリックしてログイン情報入れるのは基本的にバッドプラクティス。自分でPWのリセットしてPW設定用のURLが届いた場合とか以外は入力すべきではない。検索かブクマからログインすべき。
10年くらい前からSMS通知はクソって思ってるんだけど、世間は今だに気づかないのな
日本語がかなり自然なサイト増えててこわっぴ
三菱UFJ銀行がマイナンバーカードを使ったデジタル認証使っているコメントがあるが、スマート口座開設アプリだけで、通常のネットバンキングのログインに利用できるわけではないような
お金とられるの?にゃん!ボク、おやつちょうだいするにゃ!
フィッシングを防ぐにはメール、SMSの連絡禁止で、アプリかサイトの通知だけにするしかないんじゃない。
ブックマーク数で本物か判定するはてなユーザー割といると思う(自分もその一人)
パスコードってサービス側の認証入れてないの?と思ったけどMITMを防ぐのは難しいかねえ (validな名前リストを検証可能な形で提供できればよさそうだけど)
基本的にSMSは友人同士のチャット利用に限るべきで、企業が広告とか送るべきじゃない😳 キャリアメールも然り😳 しかも昔からPC使ってる人ほど生体認証使わんでPWも自分で覚えて使い回してるから偽サイトに気づけん😳
自分が利用しているサイトは必ずブクマしておいて、検索・他サイト・メール文中からリンクを踏まないようにするだけでこの手の詐欺は防げる。それはそれとして、詐欺は最高刑死刑にすべき定期。
なるほどそうやってんのか
ひょええ 株持ってないけど怖い
え、リアルタイムで2段階認証やってるってこと? 機械的にやってるんだろうけど……アナログなのかわけわからんな
中国株を取引禁止にすべき。
最近来たSBI証券を騙ったフィッシングメールのタイトル例「バイス認証未設定による補償対象外のご案内」「未読メッセージによる機能制限について」:これは騙される人多くなるわ
二要素認証はフィッシングには無力よ😭😭ベンダーは分かってたはずだが、事業者は理解していなかったのかもね😢😢
スマホしか使ってないような人はセキュリティ意識も低いんだと思ってる。
SBIも楽天も自分らでその偽サイト提供してただろ
証券会社のユーザーは高齢でPCやスマホにそれ程詳しくない層も居るから対策考えるの大変だよね。そんな人ほど金持ってて上客だったりするから切り捨てる訳にいかないし。
最近アプリやらなんやらのログインでメールアドレス使わないようにしてるわ、Googleやらgithubやらでログインするようにしてる
こういうのってフィッシングサイト経由なのか。 公式サイトのログインページをブックマークしてそこからしかログインしてないから セーフでいいのかな
だーかーら、さっさとパスキー対応実装してっていう。。
オレの決済する踏ん切りのつかない長期塩漬け株をいっそ売り払ってくれ >ハッカー
アプリがあるものは、アプリ内からの閲覧のみにしとけば問題ないんだけどね。メールが来ててもURL開かずまずアプリから確認。
やっぱアナログ最強よ!
パスキー対応早よ。
リアルタイムでフィッシングするのは手込んでるなぁ…。こういうの防ぐためにも、パスワードマネージャは活用するべきだが、そもそも使い方が難しいと感じるらしくて辛い。
株とかやめれば。
現状の多要素認証はFIDO含めてクライアント認証の強化でしかなくサーバ認証が脆弱なままなので容易にMITMを受ける。ログイン要求時点でメールでURLを発行するぐらいしか方策はないがメール経由だとそれはそれで問題あり
例示ではSMSになっていますが、TOTPのスマホアプリやハードウェアトークンでも突破できるので、フィッシングに強い認証方式が普及してほしいですね
これ2段階認証の形式がワンタイムパスワードでもメールで送られてくる10分くらい持つやつだとやられるな。
だから結局phishingに引っかからないようにすることが一番肝要。この最初の関門過ぎたら2段階認証だろうがなんだろうがいくらでも突破される。
EV証明書はアドレス欄に組織の表示を続けるべきだったよなあ
リアルタイムフィッシング…。犯人の特定が難しいとか言ってる場合じゃねーぞ!
なるほどなあ、楽天証券のランダムに出現するアイコンからメールと一致するものを選ばせるのはこういう攻撃への対策としては意外と悪くないのか。しかしメールからログインは極力やめたほうがいい……
『〇〇証券:口座のアクティビティが異常に増加しています。』みたいなメッセージが届いた。そんな口座はない。即ブロック
普通に FIDO とかなら突破されんのにな...
普通に古典的なフィッシングサイトだった。ID・パスワードと認証コードを全て偽サイトに入力すれば普通に突破されるよなあ。
https://www.lacdp.org/250953/how_do_i_speak_directly_to_robinhood_contact_us
まだ勘違いしてる人がいるね。「楽天証券のランダムに出現するアイコンから…」形式も、公式サイトをリバースプロキシで偽サイトに出すだけ。対策にならない。evilginx調べれば、どれだけツール揃ってるか分かるよ
「このままだとロスカットに…」が例として挙げられているが、ここ1週間のフィッシングメールのトレンドは「ログイン時の追加認証が必須になります。今すぐこのURLから手続きを」って感じのやつ っていう感じのものだ
金融機関側の対策が「メールにリンクを載せない」(リンクがある≒フィッシング)になる公算が大。原始的だが効果はどれくらいあるかなあ/なおパスワード再発行が窓口受付になる公算も大…401k加入者サイトみたいに
要は古典的なMITMにも見えるけど…。確実に潰すならクライアント認証とかになっちゃうのかな。フィッシングに引っかからないようにすれば取りあえずは防げそうだが一般人リテラシーでは難しいのかな
https://www.lacdp.org/250975/_e_how_do_i_speak_directly_to_robinhood
デバイス依存のパスキーは端末が不良になった瞬間に根本問題として何も出来なくなる危険性が辛い。
くそあついのにパーカー着てて大変そう(´・ω・`)
“フィッシングサイトの流入経路はSMSかフィッシングメールの2つだ。URLをクリックすると本物そっくりのログイン画面。 対策:SMSとメールに記載されたURLは開かない”
なぜ各証券会社はパスキーを頑なに実装せず、セキュリティの低くて使いにくい独自アプリ認証に異常に拘るんだろう。その結果、被害が多数。パスキーも問題点はあるが
なら、テスタ氏はなんで口座乗っ取られたんだろうなとは思う。セキュリティソフト入れていた、二段階認証導入済みと言ってたと思う
フィッシングに掛かるやつは何しても掛かるわな。こういうニュースのおかげで詐欺側もセキュリティ対策装ったフィッシングメールが捗ってるのが皮肉よね。余計被害出てそう。
フィッシングだったか。パスキー辺りなら回避できそうだから詳細仕様調べてない
最近、新しい友達が欲しいなと思っています。 たまに写真も載せたりするので、気になる方はこっそり追加してください。 Gleezy:t594570 追加したら、どこで見たかひとこと教えてもらえると助かります。
https://www.lacdp.org/250975/_oo_l_can_i_talk_to_people_at_robinhood
インターネット真理教信者の末路だ(笑)。
この図、わかるけどわかりにくくない?
二段階認証はすでに死に体になっている。二要素認証でないとね、
メールの電子署名今どうなってるんだっけ
ジャンケンで買う人決める時代に戻るんか?
https://www.lacdp.org/250985/can_i_get_my_money_back_from_coinbase_money_back_issues
さっきヤフーショッピングの注文履歴見るときに生体認証したんだけど、注文履歴よりセキュリティおんぼろな証券口座ってやばない?
あれ?無料アプリとかエロサイトから感染したウィルスって話じゃなかった? トレーダーが今更こんなん引っかからんだろ
こういう攻撃に有効な認証はパスキーかFIDO認証。それ以前に、「正規のURL」であるかどうかをわかりやすく示せない今のWebの仕組みにも問題あるよなぁ。
まじか。パスコードを入れさせるところまで偽サイトに入れさせるのか。確かにこれなら二要素認証なんか意味ない。SMSだけでなくメールもOTP認証アプリも全部無意味じゃんか/OIDCかパスキー移行まったなし
結局日本のセキュリティーは薄々だったってことか。大手に全く対応できるエンジニアがいないよな。不正に大量購入なら相手方分かるはずなのになぜ対応しないんだ。やみバイトを大量に使ってて足切りされてるのか?
ポンチ絵の犯罪者の表情が実に楽しそうである
さっさとパスキーに対応してくれ
AIが不完全なのはこういう問題には何にも対応できないこと
おバカな民はfishingに無防備すぎるサイト認証に多要素認証を導入しても防げないな、fishing対策に有効な方法、通信でDNSFやVPNF、メールでDMARC対策済サービスで対策可能で日経さん不安を煽る前に対策を何故書けない。
力技でワロタ(ワロエナイ
中間者攻撃ってやつだよね。もう2要素認証やってれば安全というわけではないのだな
投資専用端末を用意すれば更に盤石 "①フィッシングサイトの流入経路であるSMSとメールに記載されたURLは基本的に開かない②本物の公式サイトをブックマークしておく③公式アプリからサイトにアクセスし..."
100段階くらいにすれば良いのでは
此の期に及んでも尚、雨後の筍のごとくプロキシという概念がない方々が対フィッシングサイトのソリューションを堂々と出してくる姿には毎度涙を禁じ得ない…
セキュリティ対策を見直す必要性がますます高まりますね。 こうした事案に対して、具体的にどのような防御策が考えられるか、気になりますね。
2段階認証を後から必須にしたから余計に被害が拡大している。全部パスキーになれ
偽サイトで2段階認証も突破する「証券口座乗っ取り」横行 - 日本経済新聞
二段階認証の入力画面にも更なる工夫が必要ということだろう。
アプリ連携の多要素認証じゃないともう無理か?
これを絵柄にするとどう良くなるのだっけ🐶🐱🐰🐷🐻🐒🐼🦊 /login試行後に証券会社が送るメールにログインURL載せる、以外の方法を考えたいな(otp生成機やパスキーを入れさせるのは👴には難しいとして)
イタチごっこだなー、いやだいやだ。FIDO認証導入してるとこはどうなんだろう。
”認証パスコードがユーザーのSMSやメールに送られる。ユーザーがフィッシングサイトに入力すると、悪用者はそれを盗み ”バケツリレーか。追証なら踏む率高そう。厳格に証明書認証するしかなさそうね。
SMSとかをどうやって突破するのかと不思議だったのだが、類似のサイトを用意して、プロキシのようにして動くのか……コレ、ユーザーが入力するタイプの認証全部突破されるやん。パスキーなら防げそうな気がするが……
単純に考えると要はなりすましなので対策手段は認証ではなく証明書では(恐らく一般人は専用アプリのみ使うのが手っ取り早い)/URLに応じ入力するPM狙う攻撃も既に https://gigazine.net/news/20231208-android-password-managers-leak-autospill/
マイナンバーカードを使ったデジタル認証を導入するとかかな。金融系だと三菱 UFJ 銀行が導入済か https://services.digital.go.jp/auth-and-sign/
URLを見にくくした、全ての改悪が良くない。更に言うと、JPNIC と金融庁が協力して、正規の金融機関のみが例えば .fn.jp で終わるドメインを取得できるようにすべき。
“2段階認証まで突破する「リアルタイムフィッシング」詐欺も横行している”
2段階認証突破のやり口が超シンプルで笑える(笑えない)。2段階認証が普及してからかなりの年数が経つけど、よく今までこんな単純な穴が長年問題なく続いていたなーと思えるレベル。
メールはfrom見る癖つけとけば怪しいのはすぐわかるのに。焦って開いちゃうんかな。
メールもSMSも完全無視で通知もオフ。スマホアプリのみにするのが一番安全なのでは。
対策に加えるなら『ログイン履歴を確認する』だろう。CIS氏も面倒と言いながら、繰り返していた。乗っ取り犯は即売買せず、抜いてから寝かしてる可能性もある。
やっぱり主に流出経路はフィッシングなんだな。パスワードマネージャ使って人間が直接パスワード入力しなければ防げる話ではある(のに株動画でパスワードマネージャ危険みたいな話が流れてて驚いた)
変なメールを開いてそこからログイン操作してしまうと、いくら2段階認証を設定したりパスワードを変更したりしても無意味ということか
フィッシングサイト対策ならパスキー導入やろなあ
フィッシングサイトが中継できる情報は全てダメか。証明書も多要素も意味無し。経路を一直線往復に限定、経路記憶、TTL詐称させない新しいプロトコルが必要だ。ますます不便になりそう
今回問題になって証券会社が被害補償するかみたいな話になってるのはフィッシングサイトではないので、古い話してるなという感じだが……。これだけならパスワードマネージャー使いましょうで済む。
結論は出ていて悪意には勝てない
結局メールかSNSだから何事もアプリを起点に操作したほうが良さそう。
結局はここに尽きる
少なくともここで提示されている話は「何を今更」の話で、今問題なのはそうじゃない手法があるらしい、ということくらいは書いたらどうかね?
アプリのみ接続可にしないと駄目かな。それも突破されそうならおじさんには思い浮かばないな
うわ、ユーザを偽サイトで騙せた途端2段階認証は実質最後の砦だった取引パスワードかPINジェネレータが唯一残る鍵になると。これは証券会社以外も含めた抜本的なセキュリティ方式の変更が要りそうだ。
この件に関してはSBI証券の印象がすごく悪い。対応とか、そもそものセキュリティ意識の低さが感じられる。ネット証券トップだからっておごりがあるんじゃないの?
MITMなんて高度なことしなくても、偽サイトに正規の情報入れられたら同じだもんな…
クライアント証明書はCNとドメインの一致をブラウザが検証するし相違がある場合は警告されるんやで/もはや人間に判断は不可能なのでパスワードマネージャでドメイン一致してるかどうかを判断すべきなんやわ
パスキーなら、本物のサーバを乗っ取るか DNS を詐称しない限り通らないので、現時点ではパスキーが解決策だと思うけど、デバイスの紛失や故障時のリカバリーをどうするか、という辺りがなぁ。
アプリにすればいいと思ったけど、すると今度は誤認させる偽アプリとか出てきそうだなとかおもったが、配信側審査で弾ける…かな?
おそらくは本物の証券会社からのメールであってもメール内のリンクをクリックせず、ブックマークからアクセスするようにしてる。それだけでもフィッシングサイトに引っかかりにくくなるはず。
ブラウザ自動入力してるとそもそもパスワード覚えてないから自動入力されない時点で気がつく…がサイト側がリニューアルしててドメイン変わっててみたいなケースを誤認させられるとやらかすかも
NOV1975氏コメ。マジか。 / https://toyokeizai.net/articles/-/876277?display=b
URLを検証するパスワードマネージャを対策として紹介しろよ
フィッシングが怖い人はパスワードマネージャーの自動生成&記録機能を使って自分はパスワードを覚えないようにしよう。自動入力できない=ドメインが違う=フィッシングと気づける。
またしても、積み立てを設定したら後は二度とアクセスしない死人式投資術が攻守最強と証明されたか。
2から3への画面遷移は弾けるんじゃないかな。あれ?いろいろ考えたけど、ブラウザ側が対応しないと難しいな。サイトで指定した以外のアクセスを弾くという機能が必要。
だからパスキーか必要なんだよね。パスキーは公開鍵暗号方式だからフィッシングで認証情報を得るのは仕組み的に不可能。クライアントの秘密鍵とサーバの公開鍵で検証してて認証情報は流れないので中間者攻撃できない
“摂取した情報” → 窃取した情報
間に挟めばできる仕組みって今のwebの仕組みだとなかなか防ぎにくいなぁ。クライアント証明書使うのが技術的には容易ではあるが。
まぁ普通に突破できるよな。/コメントを見て。リアルタイムの仲介者攻撃だと攻撃者が本物のサイトにログインして、パスキーの承認要求が被害者の端末に出るからやはり突破されるような。
一周前の話を書いてるな…。
(多段階とか多要素認証を突破するための)リアルタイムフィッシングは加害者にとってコストとリスクが高いから誰もやらないと思っていただけで、そうではないならやる人は出てくるよな。イタチごっこだとは思う。
これを「突破」とは言わないのでは
ユーザー側にフィッシングの注意喚起する暇あるならとっととパスキー導入してそっちに移行しろってやれば済む話なのに、もっとまともなITリテラシをもったネット証券は出てこないものか…
フィッシングサイトならchrome等のパスワードの自動入力がされない。これと同様の技術を上手く使って、自分が信頼できるサイト(ホスト、ドメイン)を記憶する仕組みを提供できないだろうか。
新規接続元のアラートが足りてない。いつもと違う接続元なので、フィッシングではないか※※※を確認ください(スマホからの接続ではないなどの警告とともに)、の確認させてからMFAのコード表示にするべきでは。
まあ現状だと「クリティカルな認証はパスキー以外認めない」(「パスキーも使えるけど、固定パスワード+OTPの多要素認証でもログイン可能」みたいなのは無し)が一番確実だわな。
リアルタイムフィッシングの分かりやすい解説。2段階認証と称してパスコードを入力させるのは2段階認証として穴があるのね。偽サイトを経由されたら無力。プッシュメディアからのログインは絶対にしてはいけない。
多要素認証導入しても同じ様に突破されるのでは…
二段階認証ハッキング手段の話。フィッシングサイトにアクセスさせID/Passを入れさせ「Loading」と表示させてる間に悪用者が本物のサイトに盗んだID/Passでログインし、ユーザー本人に二段階認証させると
TOTPかパスキー選べるようにしてくれ。独自認証は使いにくすぎる。電話認証の方がマシなレベル。
セキュリティ関連の件が収まらないと安心して投資できない。今は現金化して様子見が吉。
「ログイン成功!勝手に株を売買」と図に書かれてるけど、ログインできても取引用暗証番号がなければ売買できないよ?
フィッシングサイト経由で乗っ取られているなら防衛はしっかり出来るんだけど、それ以外の方法が怖い
証券とか銀行のサイト、セッションが無駄に短く頻繁にログインさせられるのがますますフィッシングに弱くなってるような
わざと一回パスワード間違えるといいみたいなのも通用しないよね。
MSの認証だと今Web画面に表示されている数字をアプリに入力させる形だから、これでも回避できるね
メールからリンクを開いてはいけないねもう
なんというか設計が酷いだけでは?/2段階認証をSMSやメールで通知するなよ。
EV証明書を意味がないと攻撃して追いやった風潮も良く無かった。EV証明書は厳格な審査がありコストもかかるので詐欺にはハードルが高く、グリーン表示してくれていたのはかなりの安全の目安になっていた。
こんな昔からよくある手口の解説でこんなにブクマ付くんだから引っかかるやつ多いんだろうね
メールとかに書いてあるURLクリックしてログイン情報入れるのは基本的にバッドプラクティス。自分でPWのリセットしてPW設定用のURLが届いた場合とか以外は入力すべきではない。検索かブクマからログインすべき。
10年くらい前からSMS通知はクソって思ってるんだけど、世間は今だに気づかないのな
日本語がかなり自然なサイト増えててこわっぴ
三菱UFJ銀行がマイナンバーカードを使ったデジタル認証使っているコメントがあるが、スマート口座開設アプリだけで、通常のネットバンキングのログインに利用できるわけではないような
お金とられるの?にゃん!ボク、おやつちょうだいするにゃ!
フィッシングを防ぐにはメール、SMSの連絡禁止で、アプリかサイトの通知だけにするしかないんじゃない。
ブックマーク数で本物か判定するはてなユーザー割といると思う(自分もその一人)
パスコードってサービス側の認証入れてないの?と思ったけどMITMを防ぐのは難しいかねえ (validな名前リストを検証可能な形で提供できればよさそうだけど)
基本的にSMSは友人同士のチャット利用に限るべきで、企業が広告とか送るべきじゃない😳 キャリアメールも然り😳 しかも昔からPC使ってる人ほど生体認証使わんでPWも自分で覚えて使い回してるから偽サイトに気づけん😳
自分が利用しているサイトは必ずブクマしておいて、検索・他サイト・メール文中からリンクを踏まないようにするだけでこの手の詐欺は防げる。それはそれとして、詐欺は最高刑死刑にすべき定期。
なるほどそうやってんのか
ひょええ 株持ってないけど怖い
え、リアルタイムで2段階認証やってるってこと? 機械的にやってるんだろうけど……アナログなのかわけわからんな
中国株を取引禁止にすべき。
最近来たSBI証券を騙ったフィッシングメールのタイトル例「バイス認証未設定による補償対象外のご案内」「未読メッセージによる機能制限について」:これは騙される人多くなるわ
二要素認証はフィッシングには無力よ😭😭ベンダーは分かってたはずだが、事業者は理解していなかったのかもね😢😢
スマホしか使ってないような人はセキュリティ意識も低いんだと思ってる。
SBIも楽天も自分らでその偽サイト提供してただろ
証券会社のユーザーは高齢でPCやスマホにそれ程詳しくない層も居るから対策考えるの大変だよね。そんな人ほど金持ってて上客だったりするから切り捨てる訳にいかないし。
最近アプリやらなんやらのログインでメールアドレス使わないようにしてるわ、Googleやらgithubやらでログインするようにしてる
こういうのってフィッシングサイト経由なのか。 公式サイトのログインページをブックマークしてそこからしかログインしてないから セーフでいいのかな
だーかーら、さっさとパスキー対応実装してっていう。。
オレの決済する踏ん切りのつかない長期塩漬け株をいっそ売り払ってくれ >ハッカー
アプリがあるものは、アプリ内からの閲覧のみにしとけば問題ないんだけどね。メールが来ててもURL開かずまずアプリから確認。
やっぱアナログ最強よ!
パスキー対応早よ。
リアルタイムでフィッシングするのは手込んでるなぁ…。こういうの防ぐためにも、パスワードマネージャは活用するべきだが、そもそも使い方が難しいと感じるらしくて辛い。
株とかやめれば。
現状の多要素認証はFIDO含めてクライアント認証の強化でしかなくサーバ認証が脆弱なままなので容易にMITMを受ける。ログイン要求時点でメールでURLを発行するぐらいしか方策はないがメール経由だとそれはそれで問題あり
例示ではSMSになっていますが、TOTPのスマホアプリやハードウェアトークンでも突破できるので、フィッシングに強い認証方式が普及してほしいですね
これ2段階認証の形式がワンタイムパスワードでもメールで送られてくる10分くらい持つやつだとやられるな。
だから結局phishingに引っかからないようにすることが一番肝要。この最初の関門過ぎたら2段階認証だろうがなんだろうがいくらでも突破される。
EV証明書はアドレス欄に組織の表示を続けるべきだったよなあ
リアルタイムフィッシング…。犯人の特定が難しいとか言ってる場合じゃねーぞ!
なるほどなあ、楽天証券のランダムに出現するアイコンからメールと一致するものを選ばせるのはこういう攻撃への対策としては意外と悪くないのか。しかしメールからログインは極力やめたほうがいい……
『〇〇証券:口座のアクティビティが異常に増加しています。』みたいなメッセージが届いた。そんな口座はない。即ブロック
普通に FIDO とかなら突破されんのにな...
普通に古典的なフィッシングサイトだった。ID・パスワードと認証コードを全て偽サイトに入力すれば普通に突破されるよなあ。
https://www.lacdp.org/250953/how_do_i_speak_directly_to_robinhood_contact_us
まだ勘違いしてる人がいるね。「楽天証券のランダムに出現するアイコンから…」形式も、公式サイトをリバースプロキシで偽サイトに出すだけ。対策にならない。evilginx調べれば、どれだけツール揃ってるか分かるよ
「このままだとロスカットに…」が例として挙げられているが、ここ1週間のフィッシングメールのトレンドは「ログイン時の追加認証が必須になります。今すぐこのURLから手続きを」って感じのやつ っていう感じのものだ
金融機関側の対策が「メールにリンクを載せない」(リンクがある≒フィッシング)になる公算が大。原始的だが効果はどれくらいあるかなあ/なおパスワード再発行が窓口受付になる公算も大…401k加入者サイトみたいに
要は古典的なMITMにも見えるけど…。確実に潰すならクライアント認証とかになっちゃうのかな。フィッシングに引っかからないようにすれば取りあえずは防げそうだが一般人リテラシーでは難しいのかな
https://www.lacdp.org/250975/_e_how_do_i_speak_directly_to_robinhood
デバイス依存のパスキーは端末が不良になった瞬間に根本問題として何も出来なくなる危険性が辛い。
くそあついのにパーカー着てて大変そう(´・ω・`)
“フィッシングサイトの流入経路はSMSかフィッシングメールの2つだ。URLをクリックすると本物そっくりのログイン画面。 対策:SMSとメールに記載されたURLは開かない”
なぜ各証券会社はパスキーを頑なに実装せず、セキュリティの低くて使いにくい独自アプリ認証に異常に拘るんだろう。その結果、被害が多数。パスキーも問題点はあるが
なら、テスタ氏はなんで口座乗っ取られたんだろうなとは思う。セキュリティソフト入れていた、二段階認証導入済みと言ってたと思う
フィッシングに掛かるやつは何しても掛かるわな。こういうニュースのおかげで詐欺側もセキュリティ対策装ったフィッシングメールが捗ってるのが皮肉よね。余計被害出てそう。
フィッシングだったか。パスキー辺りなら回避できそうだから詳細仕様調べてない
最近、新しい友達が欲しいなと思っています。 たまに写真も載せたりするので、気になる方はこっそり追加してください。 Gleezy:t594570 追加したら、どこで見たかひとこと教えてもらえると助かります。
https://www.lacdp.org/250975/_oo_l_can_i_talk_to_people_at_robinhood
インターネット真理教信者の末路だ(笑)。
https://www.lacdp.org/250975/_oo_l_can_i_talk_to_people_at_robinhood
https://www.lacdp.org/250975/_oo_l_can_i_talk_to_people_at_robinhood
この図、わかるけどわかりにくくない?
二段階認証はすでに死に体になっている。二要素認証でないとね、
メールの電子署名今どうなってるんだっけ
ジャンケンで買う人決める時代に戻るんか?
https://www.lacdp.org/250985/can_i_get_my_money_back_from_coinbase_money_back_issues
さっきヤフーショッピングの注文履歴見るときに生体認証したんだけど、注文履歴よりセキュリティおんぼろな証券口座ってやばない?
あれ?無料アプリとかエロサイトから感染したウィルスって話じゃなかった? トレーダーが今更こんなん引っかからんだろ
こういう攻撃に有効な認証はパスキーかFIDO認証。それ以前に、「正規のURL」であるかどうかをわかりやすく示せない今のWebの仕組みにも問題あるよなぁ。
まじか。パスコードを入れさせるところまで偽サイトに入れさせるのか。確かにこれなら二要素認証なんか意味ない。SMSだけでなくメールもOTP認証アプリも全部無意味じゃんか/OIDCかパスキー移行まったなし
結局日本のセキュリティーは薄々だったってことか。大手に全く対応できるエンジニアがいないよな。不正に大量購入なら相手方分かるはずなのになぜ対応しないんだ。やみバイトを大量に使ってて足切りされてるのか?
ポンチ絵の犯罪者の表情が実に楽しそうである
さっさとパスキーに対応してくれ
AIが不完全なのはこういう問題には何にも対応できないこと
おバカな民はfishingに無防備すぎるサイト認証に多要素認証を導入しても防げないな、fishing対策に有効な方法、通信でDNSFやVPNF、メールでDMARC対策済サービスで対策可能で日経さん不安を煽る前に対策を何故書けない。
力技でワロタ(ワロエナイ
中間者攻撃ってやつだよね。もう2要素認証やってれば安全というわけではないのだな
投資専用端末を用意すれば更に盤石 "①フィッシングサイトの流入経路であるSMSとメールに記載されたURLは基本的に開かない②本物の公式サイトをブックマークしておく③公式アプリからサイトにアクセスし..."
100段階くらいにすれば良いのでは
此の期に及んでも尚、雨後の筍のごとくプロキシという概念がない方々が対フィッシングサイトのソリューションを堂々と出してくる姿には毎度涙を禁じ得ない…
セキュリティ対策を見直す必要性がますます高まりますね。 こうした事案に対して、具体的にどのような防御策が考えられるか、気になりますね。
2段階認証を後から必須にしたから余計に被害が拡大している。全部パスキーになれ