【IT】2段階認証をねらった偽サイトが急増中
■ このスレッドは過去ログ倉庫に格納されています
インターネット決済などで、セキュリティーを高めるために使われる「2段階認証」をねらった偽のサイトが増えているとして、情報セキュリティー会社が注意を呼びかけています。
2段階認証はログインする際に事前に登録したスマートフォンに追加の暗証番号を送るなどして本人確認をする方法で、不正アクセスを防ぐのに効果があるとして、インターネットバンキングやネット通販などで導入されています。
情報セキュリティー会社の調査によりますと、この「2段階認証」をねらった偽のサイトがことし9月だけで94件確認され、前の月から倍以上に増えていたということです。
具体的な手口としては正規の金融機関などを装って、情報を盗み取る偽のサイトに誘導してIDやパスワードを盗み取り、そのうえで、スマートフォンなどに送られてきた2段階認証の暗証番号も入力するよう求めるメッセージが表示されるということです。
入力してしまうと不正に決済されるなどの被害にあうおそれがあるということで、セキュリティー会社ではいつもと異なる手順で暗証番号の入力が求められるなど違和感があった場合は、改めてサイトを確認するよう注意を呼びかけています。
調査を担当したトレンドマイクロの山外一徳さんは「2段階認証だから安心するのではなく、情報を入力する前には、一度立ち止まって確認してほしい」と話していました。
2019年11月4日 6時13分
https://www3.nhk.or.jp/news/html/20191104/k10012163321000.html こういうので来る文章て
間違いだらけの日本語な上に
ビジネス文の体をなしてないし
引っかかる奴がアホなだけ テキストというただのデータを暗号キーとしてぼったくりするサーバ会社。 >>2
そうでもない、URLとか本文もめっちゃ巧妙な奴が最近増えた
特にゆうちょダイレクトとかUFJとか 1.IT犯罪特別捜査機関を早急に
設置して、犯人は全員故意だから
執行猶予なしの3年以上の懲役で。
2.個人情報を扱う、政府や行政
機関とは独立で厳しい資格試験に
通った人たちの第三者機関を作れ。
3.外国のサーバーもすべて上記2の
認可を受けた国内サーバーを経由
させよ。 中国人が日本に侵食してくるに従ってこうゆうのが増えてるんだから誰が原因かは考えなくてもわかる
日本の政治家や経営者って根本的な危機管理ができないから脆弱なんだよなぁ 数日前にドコモのdポイントから
認証設定しろ・メール設定しろとしつこく通知が来てたのは? アマゾンがひどいな
アマゾンを騙ったメールばっかくる
まあほとんどフィルターで引っかかってるが >>7
全部管理されるとかごめんだわ
バカはバカ故に引っかかって早く淘汰されろ
ネット社会でも淘汰は必要だろ >>2
本物の警官が特殊詐欺の受け子として活躍しているんだ
本物の銀行員がフィッシング詐欺に手を出してないとは限らないだろう 二段階認証のコードは一回限りの使い捨てにしろよ
つーか
パスワードでなく一回限りの使い捨てのコードでログインさせろよ >>4
たまに,マジで判断し難いのがあるよなぁ
それでも,「ここにアクセスして」ってのがあるから,かたっぱしから対策協議会に送ってるけど >>7
アホだろ
なんの権限があって外国のサーバーまで規制できるんだろ
まんま中国の金盾じゃねーか
国内で違法な無修正動画をなぜ規制できないのか考えろ >>13
もともとそうだろ
お前2段階認証の意味わかってんの? >>13
真のバカ発見
2段階認証のコードはそもそも使い捨て
二段階認証とはセキュリティを強化するためのものです。
言葉通り「二段階」の「認証」を行うことを指しています。
ログインや取引に使用するパスワード(一段階目の認証)に加えて、使い捨ての確認コード(二段階目の認証)を利用する形です。
https://kasotuuka.com/two-step-authentication/ >>17
>>1の文章ぐらい全て読んでから言えよ
スレタイしか読まないチンパンジーなのか? >>13
その使い捨てのパスワードを中間攻撃者に盗み取られるという話なんだが。 端末が指紋認証か顔面認証で最悪パスワード管理なのにカネ絡んだやり取りにケアレスなんかあり得んだろ
認証以前にアドレスで真偽確認くらいできるだろ
AppleだのGoogleだの楽天だのワケわからんメールなんぞ山ほど来てるが認証い以前にアドレスが無茶苦茶じゃねーか >>25
100段階にしても同じ事
認証するデバイスを物理的に分けないと防げない。 1.偽サイトにアクセスさせる
2.偽サイトにパスワードとアドレスを入れさせる
3.そのアドレスにコードを送信し、アドレス認証する
これ実質2の時点でアウトだろ
というか1で気をつけろという話だよな
二段階認証いうなら3が重要だが、
こんなもん端末があってもなくても詐欺師には大して意味ないだろ
どこの記者だこんなバカな記事を書くのはと思ったら、
なんだ
インターネットに疎い局か >>19 おまえさんが誤解してるんじゃないかなぁ、、これ以上言わないけどさ 今日グーグルの二段階認証でメール来たら
同時に変なところからもグーグル関連で来て焦ったわ
まあ偶然だったんだけど >>24
だよな
本当に>>13はわかってない
多分偽サイトで最初にIDとパスワード入力した時点ではIDとパスワードを盗む目的だから、デタラメ入れてもログインできて2段階認証のコードを求められるはず
だから怪しいサイトだと思ったら最初にわざと間違えればいい
それでも次に2段階認証を求めてくるようだったらフィッシングサイトだって事だ >>7
政府とそれに委託された業界団体が責任もって
ドメイン集を作ればいいんだよ
ブラウザ、メーラーでそれを参照して
引っかかればレ点をつける
まあ、新参者には厳しいが、
それはそれで利用者が特に注意すればよかろう >>31
まあ疑ってみるならそれしかないね
本来はIDとパスワードが合ってないと2段階認証のコードは来ないはずなのに、入力してくださいってきたら間違いなく偽サイト
そのコードの有効期限が切れる前にすかさずクラックされちゃうんだろうな >>31
ニセサイトは本物のサイトを中継しているから、IDとパスワードを間違えたら本物と同じ応答が(エラーで)返ってくる。 なんでメールで認証コード送ってくるだけなのに、
メールのリンク踏むのかと小一時間問い詰めたい Amazonから不正アクセスの警告があったからパスワード速攻で変えたわ
たぶん中華に漏れたんだろうな >>2
正しい日本語でビジネス文の体をなしていたら
引っかかりそうだな、お前。 これ大手のネットショッピングからメアドが漏れてるよな。
10社くらいのネットショッピング利用してるけど、俺のとこにも
すごい数の偽メールが来てる。
ネットショッピングを全く使ってない家族のメアドには
全くそういうメールが届いてないわ。 >>38
エイリアスのアドレスを作って+amazon、とか+rakutenとかにしてるから
大体どこから漏れたかはわかる。 >>36
お前早くクレカ止めろ
来月の請求ヤバいことになるぞ アマの二段認証はMFAだから、漏れたところで
無害だろ クレカはプリペイ式のを使ってる
決済に必要な額だけ入金して使い
残金ある時はロックし決済不可にしておく
番号は都度変わるので割りと安心 メールがインターネットからなくなれば大半のハッキング被害はなくなる >>33
その認識は厳密には正しくないと思う
大抵のサービスはパスワード検証後にMFA検証するけど
中には、パスワードをとりあえず入力させて、MFAと同時に認証するサービスも少しある(どこか忘れた >>33
普段と動作が異なるならまず間違いなく偽サイトだろうけど 2FAは使い捨てじゃないから横取りされたらAUTO
SMSベースとTOTPが多いし
HOTPなら使い捨て、偶にあるけど 送り元のメールアドレスや、そこに貼ってあるページのURLが、
怪しくないか見るべき。 漏らさない対策
漏らした(漏らされた)時の対策
両方重要 >>13にレスしてる奴に聞きたいんだ
煽るつもりは全く無く純粋に教えてください。
>>正規の金融機関などを装って、情報を盗み取る偽のサイトに誘導してIDやパスワードを盗み取り、
ここまでは分かった
>>そのうえで、スマートフォンなどに送られてきた2段階認証の暗証番号も入力するよう求めるメッセージが表示される
ここが分からない
誘導された先って偽サイトだろ?
そこからスマートフォンにSMSで暗証番号が送られてくるの?SMS以外の方法で送られてくる?正規の番号が?偽サイトがワンタイムパスワードを自動生成して?
そもそも、電話番号とのマッチングはどやってるの? >>53
怪しいか怪しくないかの判断よりも、
常に手元に事前に記録した正式URLからログインするのを心がける方がよいかと
ライトユーザに正確な判断ができるとは思えないです 試しに適当な偽パスワードを入れてみればいいんだよ
それで通るようなら偽物確定ってことで >>2
メール文面に
「○○じゃなければ」
みたいなあったら、詐欺確定だよな。
なぜ確定なのかは、まともな日本語を習ってないバカにはわからないんだろうけど。 >>56
この事例ではないけれど
SMSでdポイントサイトを名乗るメッセージが送られてきたことがあった
その場合は手当たり次第の番号で送ったようだったな
偽サイトへのリンクに番号が埋め込まれているのだろう
偽サイト側ではアクセスしてきた奴の番号はそれで拾える
認証コード送るなら、その番号を使えばいいが、
謎なのは、すでにその時点でID、パスワードの盗み取りが
出来ているんじゃないかな? まずリンク先のURLを見ろ。
それで半数以上は篩にかけられる。 >>60
ああ、なるほど理解しました。
ありがとうございました。 二段階認証の為、携帯を交換したので半年程度してから新携帯メアドを登録してみた。
そしたら1週間もしたら日常会話を漏らしてしまったようなスパムが続々と突然来るようになった。
丹念に迷惑メール登録してたら週1で10件程度がまとめてAUから報告が来ている。
PCへのCMメールが毎日数十件もあるので携帯へは微々たるものだけど少しうっとおしい。 たとえば
youtube.comも youtu.beになっていたら
怪しさ満点だろうが。
まず疑え。
ググれ、そうすれば使っていいものかどうかおまえにも判断できるだろ
youtu.beが短縮用ドメインだってわかる。 >>60
以下の流れの認識で間違いないかな
ユーザー
偽サイトに誘導される
偽サイトにIDとパスワードを入れる
偽サイト運営者
それを正規のサイトに入力する
ユーザー
SMSに正規のサイトから暗証番号が送信されてくる
それを偽サイトに入力する スパムメールが多い人
あちこちのクズで信頼できないサイト(キャンペーン、懸賞、エロ、違法)で、メインメアド入力してるの? 今時のブラウザなら、「このサイトは安全ではありません」って出るんじゃないの? 緊急のセキュリティ対策が必要です
※2段階認証しますので、最初にパスワードを送る
携帯電話番号を入力してください アマゾン系詐欺サイト誘導メールが使ってくるメアド
@edm1(-3).dedxddr.com
@a5.amazcanoena66.cn
.cnってチャイナじゃねぇかwwww
これですでに日本でないことがわかる。つまり無差別対象の詐欺 2段階に行く以前の問題で、
1つ目の時にそれが詐欺かどうか
わからないほどのミジンコはまぁカモられていいよ・・。
アホすぎる >>2
最近のは巧妙だよ
セキュリティアラートとか本文は実際にメーカーやベンダーが
送ったモノをほとんど流用してリンク先だけ変えてたりするし >>72
文体や音が同じだろうと、
詐欺かホンモンかのチェック項目なんぞ腐るほどあるし
更に最終手段、 こっちから公式に問い合わせる って
ことをしない時点でどうでもいいよwww キャリア携帯メアドやプロバイダのメアドを使うのは、実住所を街中で拡声器使って宣伝するようなものだと思ってる
変えたくても簡単には変えられない
スパムメールとフィッシング詐欺の餌食になりやすい ここで「〜すれば大丈夫」って言ってる奴は軒並みヤバい認識であることを意識しておいたほうがいいよ。
セキュリティに定まった解法なんてない。常にイタチごっこを繰り返しているんだから。 パスワードだけじゃなくてメアドも使い回ししないようにしてる
なぜなら、大抵のサイトでメアドがログインIDの代わりになってるから
私は、とあるメールホスティングサービスを使ってサービス毎にメアドを無限に量産登録してる
メールチェックや管理を楽にする為に、全てのメアドを別の単一のアドレスに転送し、更に閲覧専用のWebメアドに転送してる
閲覧専用のWebメアドは誰にも教えない
どうしてもメールに返信したい時はメールホスティングサービスのWebメーラーから直接返信
万が一、スパムが来たらそのサービスと対応メアドをバッサと切り捨てる
メールホスティングサービスは、さ○らの年1000円なので安い
これは数多くある対策の1つに過ぎないけど >>76は、エイリアス方式(+つける奴)でもいいのだけど、色々あって好きじゃないからやってない
+記号を含むメアドを登録できないサービスが稀にあったり、オリジナルのアドレスがバレバレだったり まず本体そっくりというかほぼ同じのが来てもメールからのリンクで其処に行かんわ メインで使っている銀行はネットに繋げない様に
可能ならばキャッシュカードも止めておきたい所 メールのリンクは絶対に踏まない
最近酷いなと思うのが、HTMLメールになってて、表示URLと実際に飛ぶURLが違う奴があるw
いわゆる有名企業でも偶にそれやってるわ まぁ・・・
日本に来た韓国人留学生が、在日韓国人に絡まれ殺されるという事件や、
日本に来た中国人労務研修生が、在日中国人に詐欺られるとか、
今の日本は闇の社会もグリーバル化してるからなぁwww >>1
「創意工夫アル」
「このやり方はウリジナルニダ!」 量子コンピューターが普及する頃には
2段階認証も一瞬で突破されるんだろうな。 一番最初のショップサイトが偽物ということか、自分のブックマークからアクセスするのが安全なのかな >>1
で、肝心な94件はどこよ
そこを説明しろよタコ というか、前から二段階認証って、面倒な割にこういう使われ方されるんじゃないかと思ってたから驚きも少ないが
あといつもと違うのに気をつけろとか言っても、最近、突然二段階認証するようになったとことかあるし、それでは弱い気がする AmazonとAppleと楽天とみずほ使わなきゃ大抵大丈夫 >>77
プラス記号ってgmail以外でも対応してるところあるの? ここ最近は、ヤフーがらみが多い
ヤフオクとかでペイペイの登録の強要をやってるからでしょ
金を独占したくて、銀行口座さえジャパンネットに全部変えさせようとしてるし 一度パスワードをブラウザーに保存しておいて、保存されたパスワードのみを使うのはマズい? >>94
マズくない
偽サイトだと否応なく入力を求めてくるから
普段自動入力なのに入力を求められたら疑ってみるといい
(ブラウザ保存はアドレスで自動入力される)
サイトのリニューアルも否定出来ないけどそんな頻繁に行うものでもない 疲れてるときのメールチェックは気を付けて
フィルタ潜り抜けた奴に催眠状態でやられる >>1
メールなどでログインするように促されるアドレスを載せてあっても
メールに記載されているアドレスからではなく
必ず公式サイトのトップページからログインするようにすればまず安全だろうね
そういう意味ではアプリログインも安全
普段はブラウザなどの記憶されたログイン情報で入れるのに
メアドなどのアドレスからログインを試みてフル入力が求められるようなら疑ってみるといいですね >>1、グーグルクロームが攻撃に対して脆弱性があるから更新してくれってw アマゾンが巧妙。アッと気がついたときはプライムに加入してた。 アマゾンっで購入するといつの間にかプライム会員にされている ★★★携帯番号入力してください⇒さぎに使われる(番号偽装システムから 振込み詐欺!!!)
だから Twitterなどの怪しいプレゼント詐欺に きおつけよ! >>56
入力されたidとパスワードを
偽サイト側で正規のサイトに入力すれば
正規の二段階認証パスワードがユーザーに送られるだろ
そのパスワードを偽サイトに入力させれば
偽サイト側はそれを正規サイトに入力するって話 銀行関係とか決済関係はネットで便利にしちゃいけないんだよ
不便なアナログそれ自体がセキュリティの役目を果たしていたんだから >>70
本当に危ないサイトなら.cnなんか使わないけどな でも実際AppleやGoogleだと今まで使ったことのない端末でログインしようとすると知らせてくるからね
別に新しい端末でもないのに通知来たらすぐわかる
それに生体認証も加えれば今のところは突破されない 記事読めばわかるのに
二段階認証の通知は本物のサイトからしか来ないだろ!フェイク記事だ!
で思考が止まってるやつがいて笑う
「SONYのiPhone」を馬鹿にできないぞ >>2
> こういうので来る文章て
> 間違いだらけの日本語な上に
> ビジネス文の体をなしてないし
> 引っかかる奴がアホなだけ
文体がおかしいとか正しいとか文体で判断するのが間違い。
まあ、どのスレでも2番から20番までは下らないレス。
無視した方がいい。 >>110
でもAppleのサイトは今まで使ってない端末でログインするともう一回2段階認証必要だからね
最終的にログインできないだろ
新しい端末でログインがありましたとか来て気が付かなかったらアホだわ >>110
SMSの2段階認証なんて意味がないって知らない奴が多いんだな。
必要なのは2要素認証 詐欺サイトはに証明書発行できないよね?
それを確認すれば良いのではないかな? >>116
スレタイしか読んでない脊髄反射レスw
MITM攻撃の対策にはメールなんかのリンクを踏まないこととEV-SSL対応のブラウザだぞ >>118
本文中に「2段階認証だから安心するのではなく」と書いてあるが。 グーグルとかインスタの広告で明らかにヤバイサイトが引っかかるご時世だからな
スマホでネットデビューなんてしたらカモにされるわ アマゾンのIDがどうとか、ラインのIDがどうとかのメールの文面の文面が怪しすぎ。
メールアドレスの確認と併せてやってれば、あんなのに引っかからんやろ。
引っかかるのはバカなの? まあ素性の知れないサイトにいろんな人の個人情報がっつり載ってても、
問い合わせフォーム有るんなら削除依頼出せば?とか言う
素晴らしいサイバー担当の部署が警察内にあるんだから、
巧妙な詐欺サイトとか利用者に注意喚起する以上の能力は警察にはないよw アマゾン、楽天、LINE、Apple、銀行系はメール・サイトを絡めたフイッシングが
ものすごく多い。いわばネット環境を使ったオレオレ詐欺。
ドメインやサーバ証明書がほぼ無料で取得できるもんで、不正サイトのURLを大量
派生し、存在時間が数時間と極端に短いから、不正URLをデータベースで照合する
タイプのセキュリティを回避してる。
このほか、個人情報など盗む不正ソフトの仕組みが日本語OS、国内キャリアの
IPか、仮想CPU(検疫システム)でないか確認してから動き出す細工があって、
明らかに日本を狙ったものになってる。
企業・個人関係なく、会員情報確認や更新のお知らせが来たら慎重に確認する
ようにしてちょうだい。 >>119
だから本文読んでなくスレタイしか読んでないと書いたんだが? >>125
フィシングに気をつけましょうの記事じゃないよ。読解力の問題かな? 気をつけろってどうやって気を付けるんだよ?
巧妙に作られてると書いてあるだろ 見分けがほとんどつかないようになっているのに引っかかるなという方が無理
具体的な対策を示して記事を書けよ >>127
メールやSNSなどのリンクを踏まない
毎回アクセスするURIを確認する
正しいURI(ドメイン)を知らないと意味がないので日頃から記憶しておく >>128
それをできない人が多いからどうするの?って話なんだが 日本はキャリアメール自体がセキュリティホールだからな >>128
一時期短縮URLはどこに飛ばされるかわからないから踏んではいけないとなってたのに
スマホSNS流行り短縮が当たり前になり、なおかつスマホアプリはURL表示の範囲が狭かったり
すぐ消えるからセキュリティ意識ガバガバが大量に生み出されてる >>33
>本来はIDとパスワードが合ってないと2段階認証のコードは来ないはずなのに、入力してくださいってきたら間違いなく偽サイト
>そのコードの有効期限が切れる前にすかさずクラックされちゃうんだろうな
わかってないな
偽サイトで得たIDとパスワードを本物のサイトで即座に使うから2段階認証のコードが来るんだぞ
そのコードを使えば引き出し完了 第一段階目でブラウザから
「セキュアなサイトではありません」って
警告出るんじゃないのかな こういうの引っかかるのは馬鹿だと思ってたけど騙されかけたよ
ショートメールで不正アクセスの疑いがあるから利用停止の手続きしろってきて踏んだら三井のログイン画面と全く同じで第一暗証も入力しちゃって次にタイムパスワード入力するところでやり方わからないから調べてたらフィッシングじゃねえのと気付いて間一髪助かったよ ■ このスレッドは過去ログ倉庫に格納されています