auじぶん銀行アプリに対する不正出金の驚くべき手口
Ғылым және технология
2020年10月13日に一部報道でauじぶん銀行の「スマホATM」という機能がフィッシング被害にあい、現金を不正に引き出される事件の容疑者が逮捕されました。報道およびauじぶん銀行のリリースを元に、このフィッシングの手口を再現してみます。この事件からもわかるように、フィッシングに対しては2要素認証に対する過度の期待は禁物であり、利用者側としてSMSやメールで送信されるURLにはアクセスしない、アクセスしてもパスワード等を入力しないという自衛策が求められます。
本日お伝えしたいこと
・じぶん銀行アプリのスマホATMによる不正出金の手口を再現します(一部推測)
・中継型フィッシングによるなりすましは、二要素認証を突破できることを紹介します
参考情報
・銀行アプリ悪用 42万円窃盗疑い 福岡県警、中国籍の男逮捕|【西日本新聞ニュース】
web.archive.org/web/2020110113... (アーカイブ)
・昨日および本日の一部報道について | auじぶん銀行
www.jibunbank.co.jp/announcem...
・auじぶん銀行のフィッシングSMSが届いた(実際のSMSから偽サイトの様子を紹介しています)
blog.tokumaru.org/2020/11/aus...
音源など
・音声読み上げ: ondoku3.com
・使用した音素材:OtoLogic(otologic.jp)
・ 効果音ラボ(soundeffect-lab.info/)
------------
■EG セキュアソリューションズ株式会社
www.eg-secure.co.jp/
■セミナー情報
www.eg-secure.co.jp/seminar/
■お仕事の依頼はこちらから
www.eg-secure.co.jp/contact/
------------
Пікірлер: 18
リアルタイムに中継してしまえば多要素認証突破できてしまうわけですか…ううむ
@websecstudy
3 жыл бұрын
はい。昔から知られている手口ですが、今回のリリースはそれが明らかなケースなのでまとめてみました
めちゃくちゃわかりやすい解説ありがとうございました!
私のとこにも届いた。怪しいと思って開かなくて良かったと思う。
宅配業者からのメッセージのリンクを踏んだのに銀行の警告ページが出たら変だと思わんのかな。 思わないような人だからこうして騙されるんだろうけど。。。w
こんなことを攻撃者は考えているんですね。このハッキングソフトウェアは1人で開発したのではないですね。組織的な犯罪集団が暗躍しているということなのでしょうね。最初の誘導が宅配の不在通知だったかどうかわかりませんが、これがじぶん銀行のハッキング確認のためと言われれば騙されてしまう人も いるかもしれません。私も気を付けます。
ライブにフィッシングとはアナログな感じもありますが効果テキメンですね 被害者の入力情報を公式サイトに転写する処理ももうすでに自動化がなされているかも… ネットで完結するサービスも良し悪しありますね
こんだけセキュリティガチガチなのになぜ・・・? と思ったらこういう手法があるんですね。 この動画を見ずに、酒飲んで思考がガバガバなときならば騙される気がする。 Gmailならば迷惑メールフォルダに入るから怪しいと思ってみるけど、 SMSだとそれがない分かなり危ないですよね。
私はauのスマホでしたがマイauにも簡単に入られてハッキングされました。auはセキュリティーが甘いです。ですのでau関係も危険だと思いました。
こんなので騙されるなんて間抜けやんけ 俺なら電話確認するぞい 間抜けすぎる
@user-wt9yb9or5i
9 ай бұрын
その電話番号は正しいのかい。偽物の電話番号(詐欺師の用意した連絡先)だったら、コロリと騙される。 電話をかけて確認するというのはたしかに有効なのだが、確認先が正しいか否かというのを適切に確認できているかが重要。 この適切に確認できていて、その電話番号が間違いなく銀行の正規の窓口の電話番号であるという『真正性』が担保できていなければ、 ”電話確認すれば騙されない” という論理は破綻しまう。 真正性の担保をどうするのかを考えることは重要だね。