【社会】ネットバンキング被害4倍に 「ワンタイムパス」破る
■ このスレッドは過去ログ倉庫に格納されています
インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。
ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パスワードに加え、事前に登録した携帯電話などに毎回異なる使い捨てのパスワードが届く仕組み。固定パスワードが漏洩した場合でも第三者の不正ログインを防ぐことができ、不正送金の被害防止に有効とされてきた。
19年秋ごろから、ワンタイムパスワードが破られるケースが目立ち始めているという。犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ、その情報を基に正規のネットバンキングにログイン。銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる手口だ。
こうした情報を盗まれると、利用者は自身の口座から別の口座へ不正送金されてしまう。捜査幹部は「ワンタイムパスワードを設定すれば安心という心理的な隙を突いた巧妙な手口だ」と話す。
不正送金被害は19年9月から急増し、10月の被害は397件、被害額は5億1900万円。11月はさらに増えて578件、7億8700万円となり、月間としての件数、被害額とも過去最悪だった。19年全体の被害件数は1813件で、過去最多だった14年(1876件)に迫る水準だった。
2020/2/6 10:19
https://www.nikkei.com/article/DGXMZO55313840W0A200C2MM0000/ だからワンナイトラブは危険だと、あれ程・・・(´・ω・`) ワンタイムパスのシステム化そのものが破られた訳ではなく
「偽サイトに騙されてセキュリティ情報を入力するバカ」というおなじみのパターンじゃん Amazon公式を名乗って送られてるくる迷惑メール
スパムとして報告してるのにまだ送られてくるわ
ヤフーメールに ワンタイムパスに正規サイトのURLつけるんじゃダメなのか 自分が失敗しないようには注意できても、
企業側からすると、こういう「アホ」が出ないようにするのは難しいから、
社会全体としてこういう犯罪をなくすことは難しいんだろうな。 ワンタイムパスワードの仕組みわからん
あれ通信してないのになんで認証できんの? 他人にIDとパスワード送りつけるバカが被害者になるのは防げないよ 新たな振込先を登録するときは、
たとえば振込先口座番号を、配られたテンキー付きカード型ワンタイムパスワード生成器に入力しないと登録できないとか、
振込先口座番号を、配られた乱数表で変換して入力しないと登録できないとか、
そんなのにしろよ
ただし、一部の信用できる業者の口座番号だけは、このプロセスを省いて登録できるようにして ワンタイムパスってつまらんのじゃのう
最強じゃなかったんかい URLを確認しろよ アドレスバー緑になってカギのマークでてるのか 野良wifiならDNSの設定で公式サイトすら偽装できるからな これってスマホでネットバンキングやってるアホだろ
ネットバンキング専用のパソコンでやれよ
メールと兼用すんなよ >>5
え、オンラインバンクってアプリ以外でアクセススンの?
馬鹿なの? >>29
偽装サイトがgoogle検索にひっかかるの? >>31
アプリだろうがWebだろうが何も変わらないが? ボタン電池のジェネレーターで生成してるランダムなあれかと思った プレーンテキスト風でURLの文字列とリンク先は別とかあるしな
最低限リンク先のURLを見るか
アクセスはWebブラウザから直接にしないとな 技術的に破られてるんじゃなくて、当人が二重三重に騙されてるだけじゃないか? >>16
単なる時計表示と同じ。
何時何分にIDを紐付けして暗号化しているだけ。
だから、同じ時刻を示していれば同じ結果になる。
問題は携帯機器の精度と、入力者の速度を考慮した場合、1分毎の更新しかできない事。 総括:アホはネットバンキング使わず窓口で高い手数料払ってろよ だったらATMとネットバンキングで振込手数料を同じにしろ >>31
↑
この人はアプリとWebブラウザとインターネットが区別できてない馬鹿の一例です。 Google 検索から行くほうがむしろ危ないと思うんだけど 一番のセキュリティホールは「人間」
どんなに堅牢なセキュリティ組んでも
結局それを利用する人間がマヌケならどうしようもない
RSA鍵を幾ら複雑にしてスパコンで解読不能な暗号でも
それを設計してる奴らを買収すれば一発で解決する >>45
URLを確認しろよ アドレスバー緑になってカギのマークでてるのか 家計簿アプリがパスワード入力の転送やってるわけで
詐欺サイトかどうかは信用できるかどうかの差でしかない 住信SBIのスマート認証なら送金の確認が別アプリに飛んでくるので騙されててもそこで阻止できる
今のところこれが万全 ブックマーク以外からはアクセスするな、ってことだな。 送金しようとしたらAIが電話かけてきてどこどこへ送金しますがいいですか?って聞くシステム作ればいいじゃない >>10
スパムでAmazonの名前でメール送っといて、送り主が「@youtube.com」だったのがあって笑った
しかもその横には本当の送り元の乱数メアドまで出ている始末
「やる気あんのかコイツラ?」と思った なお日本人がやってるオレオレ詐欺の被害額wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww 俺もJNBに500万くらい入れてるから心配で夜しか寝られない ワンタイムパスなんてあんなもんどうやって破るんだと思ったら、フィッシングサイトでログインID入れたのと同時に裏で正規サイトに同じようにログインして、
正規に送られてくる2段階認証のワンタイムパスも入力させる訳か。
まあフィッシング偽サイトにID入力しちゃった時点で二段階認証してようが終わりって事だわな。 >>20
ほんとなんでその対策ができないのか不思議になるは
>>51
乱数表でも振り込みできるのが… >犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ
この時点で何やっても無駄だろ >>52
昔からネットやってる人じゃないと気にしないと思う
そもそもURLの意味が分かってない人も多いだろうから
例えば hogebank.jp/login と example.jp/hogebank/ のどっちが怪しいかも分からんだろうな >>63
携帯だろうがトークンだろうが偽サイトに入力しちゃった時点でアウトな訳で。
固有識別番号とか使えばセキュリティも少しは上がるんだろうけど今度は個人情報保護との兼ね合いが出てくるから難しいんだろな。 >>41
へぇ
じゃあ1時間に60回×24時間=1440個しか数字持ってないんだ? >>20
スマホじゃなくてネットバンキング専用端末を配布して、その端末からしかログイン出来ないってやれば、物理的に端末を奪われない限り大丈夫。
問題はそんな専用端末を作っても利用者が買ってくれないこと。 >>5
書いたやつはわざとなのか、本当に情弱なのか
たぶん後者 ワンタイムパスワードをサイトに表示する銀行なんてあるのか?
普通専用アプリじゃねえの つまり技術的に破ったというよりほぼスマホや回線をハックされてるようなもんやんwww 偽装サイトに気が付かない程度の人はネットを使っちゃダメ。 これを「心理的隙を付いた巧妙な手口」
とか語るバカが警察幹部就いちゃダメだろw >>12
結構巧妙だしお前みたいな奴が騙されるんだぞ 三菱ufjとか、どれぐらい被害あったのか公にできないんだろな
まあ、全部経費で処理されるんだろ >>67
月日まで入れたら525600通りまで増えるね。
ただ、問題は1分以内なら同じパスが何度でも通ること。
リダイレクトされればたまったもんじゃない。 >>69
思ったより電池の消耗が速いんだよな、月2回しか使わんのに2年持たなかった >銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる手口だ。
こんな事が可能?
要するに、犯罪者側が銀行にログインするタイミングに合わせて、
実際の利用者の画面に偽のワンタイムパスワードを入力させる画面を表示させて入力させるってとだろ。
唐突に表示されたワンタイムパスのログイン画面に入力するアホがいるってこと? >>81
1分内に使用する乱数を60個程度持っておいて
1回使ったら破棄で次のやつでないと入れなくしたらどうだろうか
まぁフィッシュされて、自分が正規ログインで乱数消費する前に
相手に使われたら意味ないけど(´・ω・`)
そういう意味ではフィッシュされた時点でお手上げだなぁ ごめん、逆だった。よく読んでなかった。
別IPで発行されたワンタイムパスでも通るんだな。 >>87
ワンタイムパスの発行依頼をする端末/IPと紐付けするだけで不正は防げそう。 なるほどリアルタイムに取って入るのかw
ネットに明るくないやつなら騙せそうだな。
最近は年よりも無理してスマホ使ってるし
そういう層向けの、おせっかいで具体的な警告表示するセキュリティいりそう こんなの銀行のセキュリティが甘いだけでしょ
送金依頼後に承認させるように変更すれば、知らない所に送金はできないでしょ クーリオのギャングスタパラダイスの原曲はスティービーワンダーのパスタイムパラダイス、豆 中共が導入している顔認証指紋システムがイチバンの対抗策だな。 三菱が紙の通帳やめたら2000円やるとかやってなかったっけ >>94
フィッシングサイトに騙されてる時点で何の認証だろうと入力させて盗み取るだけ PHSから070なんでSMSなんか送られてきたこと無いは >>81
あぁカードには一年分はいってるのね。なるほど。
たしかに1分は長いね。リダイレクトされなくても出先で使って落としてすぐ使われる可能性もあるしなあ > 銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ、
破ったわけじゃなくて、これかよ >ワンタイムパスワードを設定すれば安心という心理的な隙を突いた巧妙な手口だ
誰あてよw
何度も言うがバカに文明の利器を使わせてはならない
自己責任 >>31
典型的な知ったかビジ板民(通称ビジクソ)の書き込み そもそもなんで銀行の偽サイトに誘導されちゃうんだろ?
トークンの数字を打ち込むタイミングに合わせて、本物の銀行サイトで打ち込まれたら盗まれちゃうし。 こんなんジジババしか引っかかんねえだろ
どんな業界でも馬鹿相手は儲かるんだな バカがネットバンキング使うな死ね
ワンタイムパスワードは破られてないわバカ 三菱UFJの 手認証
毎回 30回から50回
やらないと 認証しない
糞 システム デジタルは永久にいたちごっこになるよ。完全なセキュリティはない 結局、偽サイトに騙されたら同じ
メールのリンクは信用しないに尽きる >>108 リアルでも劇場型詐欺で偽の銀行員や警察にも騙されるしなぁ 偽サイトに行っただけか
セキュリティソフトってみんな入れないのか? >>1
アプリにログインしたら、画面いっぱいに本人の名前を表示して
「田中さんですよね?違う名前が出たら偽サイトなので覚えておくように」とか表示させろ
偽サイトなら本名わからないだろ。 送られたメールが公式のものか判断する場合難しいわ
公式サイトからメールの内容に該当する項目探すほうが安全だけど大変だし PCもスマホもせっかくキャメラあるのにどうして烏賊さないの? >>31が馬鹿にされてる理由がわからん
銀行の公式アプリを普段から使えば偽URLでアイパスを入れることはないということなのでは?? Googleがやってるような2段階(2要素?)認証じゃダメなん? >>113
メールのURLからログインなんて絶対やらないわ
基本メールは信用してない >>116
そもそもそのサイトがGooogleだからダメという話し 二段階認証ではダメ
三菱UFJの法人向けビズステーションでは電子証明書とワンタイムパスワードカードを発行して利用PC毎に認証してログインさせている >>104
銀行の内部に、犯罪に関係してる人がいるのかもな?
そういう仕組みは、外部からわからないんじゃね。 そもそもワンタイムパスはPCでログインする時にスマホとかにパスを送信して
盗まれたPCではないという本人確認をするもの。トークンも同じ。
SMSのURLクリックして騙されてるってことは、スマホからログインしてるんだな。
アプリなら大丈夫というけど、フィッシングURLがアプリ画面そっくりの表示なら騙されるだろうね。 >>1
金融機関のワンタイムパスワードも破られるってのに、中小零細企業が小銭で何かやっても、狙われたら即アウトの焼け石に水w >>54
日本人は、同じ釜のメシという意識があるからね。
だから親しくなると、情報をベラベラ話すだろ。
中国とかに、悪用されかねないんじゃね? 騙される方がバカなだけ
こういう奴は何やっても同じ 専用アプリ経由でしか手続きできないようにするしかないのでは? ワンタイムトークン持ってようが
ワンタイムパスワードをsmsで受け取ろうが
入力するサイトが詐欺サイトなら意味ないんですがそれは
サイトのシグネチャ確認は最近しっかりしてるけど、
根本的に利用者側で判断できないと意味ないよね 安倍政権で、外国人が増えてきてるからね。
日本的な「同じ釜のメシ」みたいな感覚は、もう通用しないだろ。
セキュリティをいくら強化しても、最後は人だからね。 問題の本質は偽サイトとユーザーのリテラシーの低さだろ
>捜査幹部は「ワンタイムパスワードを設定すれば安心という
>心理的な隙を突いた巧妙な手口だ」と話す。 専用アプリそっくりのフィッシングサイト画面でIDパス入力
→犯人が専用アプリ使って本物サイトにIDパス入力。
ユーザーのメールかSMSに、ワンタイムパスが送られてくる。
専用アプリそっくりのフィッシングサイト画面でワンタイムパス入力
→犯人が専用アプリ使って本物サイトにワンタイムパス入力。 生体認証は一見安全そうに見えるけど怪しい
一回情報を盗まれたら変更がきかない
富士フイルムが盗撮カメラを販売し始めた
あれで手を撮影されてみ
指紋抜かれるから
実際、指が写ってる盗撮写真が公開されてたし
やばいんだぜ 三菱UFJの個人向けはスマホで1分間だけ有効のワンタイムパスワードが表示される
それを入力しないと振り込みできなくなってる これってワンタイムパス破ったと言えるのか?w
セキュリティホールなんかで本人の伺いしれないところで密かに突破されてるもんだと思ったが単に間抜けが騙されてるだけじゃないのか
詐欺の技術としてはこんなのより実際に会話して金出させる振り込め詐欺の方が遥かに上だろ >>20
振込みにりそな銀行使ってるけど専用のワンパス生成機使ってパス作成して入力してるな
ただこれ、スマホアプリじゃできなくてWeb専用なのが難点だが ネットバンキング使えなくなるね
国が進めるマイナンバーとの紐付けなんてもっての他 >>137
本人がフィッシングサイトでIDパスやワンタイムパス入力した瞬間に、
犯人は本物サイトに自動転送してるだろうね >>5
だな、びっくりした
どうして破ったのかと思ったよ >>10
これ最近多いわ
あとAppleを語るiTunes Store関係メール >>1
これそのうち起こりそうな気がしてた
例えばMUFGの法人用のBizStationだとログイン時も振込時もそれぞれワンタイムパスワード入れる必要あるんだけど
個人用の三菱ダイレクトだとログイン時にはワンタイムパスワード要らないんだよね
でも普通のユーザー感覚としてはログイン時にも当然入力させられるだろうと予測してるから
偽のログイン画面にワンタイムパスワード入れろって表示されてたら誰でも入れちゃうと思うんだ
まぁURL確認せずに偽サイト誘導されちゃうのはその人が間抜けってのは異論はないが >>1はアホ
ワンタイムパスのシステムが破られたのではなく、ワンタイムパスが偽サイトで盗まれただけ
もう少し勉強しような! >>144
振込ごとにワンタイムパス要求でも、犯人側がログインした画面をコピーして
ログイン状態の偽ページを自動生成してユーザーに見せたら、全部意味ないんじゃない?
「振り込み完了」の最後まで偽ページ見せられる。 ネットバンキングは盗まれてもいいように50万程度しか入れてない。
それでいいだろ >>152
1000万円くらいある預金口座を
ネットバンクできる設定にしてるんだがやばいか?
ちなwin7 あれだけ偽サイトに気をつけろと警告しても
誘導されるやつは自己責任だろ
こんなバカに付きあってられんわが正直なところだろうよ PCやスマホのどちらか1台だけでログインする人が多いなら、
ワンタイムパス送るより、ランダムなワンタイムURL送る方がマシかもね。
ログインがありました。覚えのない人はクリックしないでみたいな。
端末の盗難や本人成りすましは防げないが。 >>25
DOMベースで改竄されることもあるんやけど? >>64
ログインパスワードが漏れても安心てのがワンタイムパスワードだったわけでな。
偽サイトに誘導されちゃったらどうにもならんてこったね。 >>155
スレチだがau payは利用するたびに利用店舗や利用金額のメールが送られてくるな
他のpayは使った事無いから知らんけど >>1
だから嫌いなんだよネットバンキングなんて!凸(゚Д゚#) パソコンだと画面が大きいから、いろいろと気がつくけど、
スマホの画面は小さすぎる。 要するに被害者はクルクルパーの人いうわけやな
俺には関係ないわ ワンタイムパスワードアプリがスマホ上で動いてるって時点で危ないだろ >>167
メールやSMSからのリンクを踏まないことだ トールキンはどうやっても破られる事ないだろ
盗むしかないだろ 犯人は内部反抗か、その人に成りすましてアクセスしてワンタイムパスで
入ったたかどちらか? 破られたんじゃなくて自分で教えたんだろw
つーかPCじゃなくてスマホ使ってる奴は気軽にタップするから
今後もこの手のバカが増えるだろうな >>1
SMSなんか詐欺に決まってるだろう
引っかかるほうも隙がありすぎる 生体認証が内部的にディジタルに変換されずに
純粋にアナログで処理されているなら
安心かもね。 すごく古典的 これって技術的には大したことないよな
逆にクリックしてパス入力するやつが知恵足らずか人信じすぎなんだよ ディジタル社会は資本主義の根本原理である私的所有を脅かす能力を持っているね。 >>20
それじゃなんの操作か誤魔化した画面表示をして入力を促されたらやられる 青い銀行・NortonIDsafeからログイン→VASCO社の電卓型カード使用ログイン続行
IDsafeに登録できない三友はお気に入り→ソフトウェアキーボード入力→VASCO社の電卓型カード使用ログイン続行
アマゾン、楽天などは偽メールがそれなりにあるから注意。IDsafeからしかログインしていない。 >>139
そりゃすごい仕組みだな
振込先の口座番号でパス生成するのか? 一週間前にうちにも来たわ。三菱ufj銀行を名乗るやつから。
「口座が不正利用されています」だとよ。
ちなみに自分はufjに口座持っていないんでw
誘導アドレスが https://mubfg.com でmufgっぽくはなっていたんだが
これってアドレス取得時の情報で犯人の痕跡残らないものなの? ワンタイムパスを都度盗まれるから一日の振込額の設定してても意味ないのか
SMSのリンクは絶対に押さないってだけで防げるのが救いかな >>30,1
Λ,,,Λ
( ・ω・)そうだろ、セキュリティーの欠片も無いスマホでやってる馬鹿どもだろ
Λ,,,Λ
( ・ω・)個人情報ほいほいのandroidで決済やらバンキングやら
Λ,,,Λ
( ・ω・)馬鹿の象徴
Λ,,,Λ
( ・ω・)銀行も個人情報が欲しいからスマホでやらせようと仕向けているしな
Λ,,,Λ
( ・ω・)銀行も責任を取らせる必要はあるよ SMSを信用するとかユーザーがアホなだけやん
セキュリティ的なものかと思ったが拍子抜けだよ >>56
土日は迷惑メール激減するからな
あいつら土日休みのホワイト環境でまったりぬるめの仕事してんだよ
やる気なんか在るわけない
気が向いたらオモシロ作文して反応待ってみたり楽しみながら働いてるわ 八百長事件で選手逮捕以外も不祥事
先輩選手に服を脱がされ撮影された
後輩選手
滋賀県在住の中島秀治24歳ボートレーサー
https://i.imgur.com/gIsUej4.jpg >>1
偽か真かはウェブ証明書確認するくらいはやるんだが、メンドクセーよなw
ウェブ証明書のインターフェイスも素早く分かりやすくするのも、これからの課題
おれらも爺になって頭ぼけたら、おしまいだからなw
世界全体の課題。 ワンタイムなんて数分で別の数字に切り替わるわけだが
24時間監視してないと反応できんだろ >>127
うちも消費税が上がったときに解約したわ。
新聞解約したら毎年5万円のキャッシュバックがあると考えるとでかいよ。
知り合いもみんな解約してる。ニュースならスマホで見れるし。
いまじゃ月に1回、爪切り用に分厚いから日経新聞を買うぐらい(笑) いつもの所からのメールと思ったら
疑いもせずにクリックしてしまう
そういう人も多かろ
俺は、ネットバンクに預けるほどの金も無いから
絶対に引っかからない自信があるが >>191
偽のWEB画面で入力させて、相手の取引前に強引に決済、その後通常取引に移行する。
コンピュータ同士の決済だから、その間僅か数秒程度。
多分何が起こったのかもわからないうちに終わるよ。 騙される人多いだろ。
全く同じ偽サイトでSMSまで実装されたら これ誰でも引っかかる可能性あると思うけどね
自分は大丈夫とか思ってるやつほど騙されやすい >>191
まさか人間が監視して手動でやってるとでも思ってるのかお前w
スクリプトで自動実行に決まってるだろ 生体認証も結局はコードに変換されるんだから
それ盗まれたら一緒じゃん。
下手したらそれを転用されて他の口座も乗っ取られる。 >>56
自分の所に来る迷惑メールは未来から送られてくるのしかない >>1の場合だとメールまで乗っ取られている訳無いから振込確認メールで直ぐに気が付けるのかな?
それともログインされちゃってるからその手のメールも届かない様に設定を改変されちゃうのかね。
まあせめて銀行の取引くらいは専用アプリ使うなり自分で登録したリンクから飛ばないとあかんわな。 三井住友が急に引き出し上限額の変更を停止したり立て続けに強引な変更をしてきたんで
怪しいと思ったが、やっぱりワンタイムパスワード破られてたんだな。 セキュリティの専門家は責任重大。失敗したら銀行から損害賠償請求。 今日早速三菱UFJを騙る日本語あやしいSMSがきてたわ 送信には口座番号が必要なトランザクション認証すればいい程度
みずほ銀行は個人口座でも導入済み SMSから直接、偽サイトに行くような横着をするから・・・ >犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導して
やぶったつーか、アホ釣り上げてるだけか
1万人に仕掛けて10人も引っかかれば十分だし ワンタイムパスのキーの発生に振込先口座番号も関係させればいいんじゃないんかね?
口座を確認しながら振り込めば少なくとも被害にあうことはないと思うんだが。 ちっちゃい電卓みたいな形の毎回違う数字が出るのってどういう仕組みなんだろうか
同じ時刻に同じ乱数を吐き出すものが銀行側にもあるのかな まぁ、50万預けてくれれば毎月10万配当出しますなんて有り得ない話にひっかかる
おつむの弱いのが実際世の中にいるのだから、そういうのが勝手に偽サイトで
ひっかかるのはどうにもならんし、救う必要もない。 銀行もネットバンキングのサイトの模様替え頻繁にやり過ぎで鬱陶しいけど
偽サイトにはアドレスのとこに認証のマークないんでしょ
それぐらいはチェックしないとな >>1
Man in the Middle攻撃やね
フィッシングサイトだとワンタイムパスワード効かないからな >>209
ハッカーが受け取ったformデータの振込先や金額を、スクリプトで自分の口座に
自動変更してから本物サイトに流してれば、ワンタイムパスは常に正規のものになる。
あと一度ログイン状態を取られた時、アカウント変更でワンタイムパスの
送り先メールアドレスを変えられたら完全に乗っ取られる 利用者が偽サイトにワンタイムパス送信してるんだし
人間がガンなものは防ぎようがないだろう >>97
楽天は市場・銀行・クレカともにワンタイムパスワードすら使ってない
問い合わせはナビダイヤルでウマウマ フィッシングサイト踏む人間がいても安全な仕組みって作れるのだろうか
SMSでパスワード送るときに発行目的(振込先)を記載する?
スマホにオンラインバンキングサイトと連動するOTPアプリを入れさせて
HMAC(鍵, 時刻+振込先)みたいに目的を持たせたパスワードを生成する?
そうやったところで偽サイトにそれっぽい理由を書いておけば何の疑問も持たず
入力する人間はいるよなぁ >>31
Googleで一番上に出てきたやつにアクセスするだろ普通 >>33
Googleだって偽装できちゃうんだからっ!舐めないでよね! >>65
俺も最近思った
URLって、名前がハイパーリンクだっけ
2000年頃はgeocitiesでみんなホームページを作ったりしてたし、
ラジオなどでもURLを教えていた
今はやり方が違うだろうし、ネットの基礎も分かってない人が多い気がするがどうなのやら クライアント認証も入れないとダメだな
企業向けはやってるんだから個人向けでもヤレ >>214
いや無理でしょ?
口座番号をもとに算出されるワンタイムパスワードなんだから
そのパスを奪ったところで本来の振込先以外には使えない。
それ以外の口座に使えるようなアホ仕様なわけないんだし。 >>225
それネットバンキングのハッキングと関係ないよねw >>227
なんで?
振込先口座番号を事前に別の方法で確認すれば回避できるよね?
事前の振込先からして騙されてたらネットバンキングの問題じゃないんだけど? >>229
だからその別の方法も偽装されてたらどうすんだ
少しは考えろ 鬼子没用在地上アル! じゃ P軍はアホの集団二ダ!!
. (u `ハ´) <`∀´u >
/.⌒`γ´⌒`ヽつ⊂/.⌒`γ´⌒`ヽ
★ロシアによるソフトバンクスパイ事件
女工作員から悪のハッカー集団まで
https://blog.goo.ne.jp/axxxxxa0000/e/8c45969c74d9f51b8e9f2d6e13544b02 >>226
このスレは元々
ニュースソースも話の流れもネットバンキングのハッキングなど無関係なんだが これ破られたっていわないんじゃ…
利用者がアフォなだけでしょ >>234
みんな年取るとアホになるんやで
今は若くとも自覚だけはしとくんやで 10年以上前からネットバンク利用を検討してるが
いまだに怖くてできないわ
少なくとも専用のPCを用意してとか考えたりするが
スマホで運用なんてあり得んわ・・ 友達のソフトバンクのキャリアメール見せてもらったけどすごいよな
毎日のようにフィッシングメールして来てて草生えたわ
フィルタリングしてないから騙されるやつ多そう バカなやつにはどんな高度な暗号やシステムも機能しない
要は「お前のパスワードなに?」
って聞かれて答えちゃうやつを守ることは不可能 偽メールで中間サイトに誘導
そこで、idとログインパスワード入力させる
中間サイトはこれをもとにログインして振込まで進む
ユーザーにワンタイムパスワードが届く
中間サイトはそれをユーザーに入力させる
振込完了、ありがとうございました
この時点でユーザーは裏で何が行われてるか全く知らない
発信されるSMSにキーだけでなく取引内容も詳細に書けば、SMSが届いた時点で気づくやつはいるだろう 中間者攻撃に対して
・パスワード
・二重認証
・二要素認証
・生体認証
は効果をなさない
パソコン大先生が知ってる知識を全て使っても防げない
中間者攻撃への防止策としてはフィッシングサイトにアクセスしないことが重要
そのためにも
・フィッシングメールのリンクを踏まない
・EV-SSL対応ブラウザでURLが緑色になることを確認すること。(黄色のSSLは悪意ある攻撃者でも取得できるので無意味)
・ネットバンキングアプリを利用する
・それでも被害に会うリスクがあることを心得ておく >>239
auだけど迷惑メール来る度に報告してたら月1〜2通位しか来なくなったわ
それもauからのお客様へのご報告です、とかのタイトルのメールをgmailでおくって来るとかの騙す気が元から無いようなのばっか >>18
金融機関がコストかけたくないからアプリのワンタイムパスワードにしたがる
トークンだとコストかかるし更新の分も考えると金融機関は嫌なんだろう >>241
スマート認証がそれだが、そもそもフィッシングのページ開いちゃうような奴が
2度も取引内容を確認するとも思えない。メール来たらはいOKみたいな 偽サイトにワンタイムパスワードを入力したから、盗まれたわけだな。 設計が悪いな。俺ならこうする。
送金時にワンタイムパス送ればいい。
ショートメッセージに送金先と金額とワンタイムパスを書いてさ、これに送金しますか?って確認する。
ショートメッセージはハッキング出来てないんだから、これで防げる。 犯人側の頭いいなってのがよくわかる。こりゃ騙される方が悪いわ。仕方ないけど。 >>10
疲れてボーッとしてた時に情報送っちゃったw
即止めてカード再発行したけどね
インヴィに影響するかな?
自分と犯人に殺意わいたよ ・新しい振込先を登録するときにOTPもしくはSMS認証
・振り込み実績の無いor少ない振込先に振り込むときにOTPもしくはSMS認証
この2つをやれよ
あとはホワイトリストを作って、
ホワイトリストに載ってるところへの振り込みはこれらの手続きを一部もしくは全部省略 ブラウザのアドレス欄に緑の鍵マークが出ていてもフィッシングサイトだったりするの? ネット銀行使い出したら
死ぬほどフィッシングメール来るのな
発信元のメアド偽装して本家と同じにしててリンク先の偽サイトのアドレスも本物っぽくて見分けつかん
とにかく踏まないのが吉 >>252
・ブラウザそのものが偽物か
・ウイルスに感染している
・偽物の証明書をインストールされてる
上記の場合あり得る >>253
オンラインバンキングはメガバンク・地銀・ネット専用と初期の頃からやってるけど迷惑メールなんて全く来ないわ。
ネット銀行のメールに偽装されてるならその銀行に近いどこかからリスト漏れてんだろね。 >>214
だからさーハードウェアのワンタイムパス発生機をどうハッキングするんだ?
>>209の話は内容からハードウェア使うって意味だぞ
口座番号7桁で生成されるようにしたら振込先の正確な番号を発生機に入力しないと振り込みできないし
そりゃ騙された本人が犯人の用意した口座7桁を発生機に入力したらどうしようもないが
>>231
お前頭悪すぎじゃねw >>257
少しはこのスレぐらい読んでからレスしろ間抜け 【フランスパリ女帝★川越あすぽん】池袋ギャルデリらら浜松ハンパじゃない伝説静岡沼津五反田サンキュー川越キスにゃん富山イキすぎハイスタイル町田ヤリスギ越谷君とサプライズ学園八王子ペロンチョヤリスギ横浜厚木すぐ舐め立川もっと欲しい金沢城咲エル みずほのワンタイムパスワードは手持ちのカードで表示させるんだけど、仕組みが分からん。 >>262
Λ,,,Λ
( ・ω・)それがどういう仕組みか知らんけど
Λ,,,Λ
( ・ω・)住友は紙のカード表から電卓みたいのに変わったぞ >>253
auの自分銀行とりそなとUFJのネットバンキング使ってるけど迷惑メール来た事ないぞ >>262
口座番号に紐付くワンタイムパスワード生成機固有IDと時刻を組み合わせた数字をハッシュ関数で疑似乱数を作っている
この操作をサーバでも行って疑似乱数が一致するかどうかで認証としている >>15
「絶対押すな」って書いてあるボタンがあると押したくなるのと一緒だな 証券会社のサイトのセキュリティって緩そう
ワンタイムパスすら無いし…
取引で頻繁に開くので自動ログインにしているけど、止めた方がよいのかな… >>257
おめえばかだな
ハッキング済サイトが本家サイトにデータそのまま送って
その結果流れたきた情報をそっくりハッキング済サイトが表示するだけの話しやんけ
ワンタイムパスを解析してんじゃなくて、銀行のサイトを乗っ取ってるってなんでわかんないんだろう
必要なのはユーザーが入力するパスと、それで得られる結果だけなんだから
全ユーザーのワンタイムパスを暴く必要があるなら解析せないかんが、誰でもいいから
振り込むことがあったらその金額のみチョロまかすってのが目的なんだから
お前目的とその解決手段を全然理解できてない 昔のワンタイムパスは秘密コードを両側に登録しておいて、片方から送られる毎回変わるチャレンジコードと秘密コードから生成されるパスワードを入れる方式だったから盗聴されてもフィッシングでもセキュリティ保てるはずだったぞ 三井住友、三菱UFJとも電卓みたいなワンタイムPWカード。
みずほも同じらしいが、みずほは有料なので従来通り6つの数字の第二暗証番号でやってる。 >>270
それは今までの方法だから有効ってことで
振込先の口座番号が一致しないと振り込みは実行されないようにしたらいいって話なんだが
テンキー付きのハードウェアのワンタイムパス発生機に振り込み相手先の口座番号を入れるんだよ
口座番号も加えて生成されたワンタイムパスワードを利用するときは発生機に入力した口座番号にしか送金でいない
なんかもうびっくりするぐらいアホが湧いてるなw >>274
まだ理解できてないのかよ本当にアホだなお前
その振込先自体がすり替えられたら何も意味無いだろ あのパスワード生成機のテンキーは、そもそもなんのためにあるのか >>275
振込先がすり替えられるって人を騙すってことだぞ
この相手先に振り込むってところを書き換えて発生機に詐欺師の口座番号を押下させなきゃいけないし
紙に印刷してるような振込先を手作業で入れてるような場合人を騙すのは難易度高いと思うが
具体的にどうするの? >>277
トークンにそんな機能無いし偽装された振込先の画面見ながら口座番号入力したら同じだろw
新しく何百万個も配布するってのならもっと良い方法あるだろうし そう
トークンだだけでは意味なし
画面表示が全て書き換えられたらわからない
SBIネット銀行だとスマート認証アプリにプッシュ送信で送金先などが送られてきて
そちらで確認しないと送金されないから偽装のしようがない >>278
もともとはそういう機能をつけたらどうかなって話の流れだったから
電池寿命もあるし使用期限がある発生機もあるんだから
少しずつ交換していくって手もある
あと発生機に入れるのは振り込み先の口座番号じゃなく振込金額にするって手もあるし
人間は1万円振り込もうとして100万なんて数字入れないだろうから
作動テストのために999999と入れて表示されたパスワードを入力してくださいなんて騙し方も出来るが
詐欺の効率が落ちればターゲットにされにくい これは利用者が馬鹿すぎるので、何の保証もないやつね。バカを騙すのって楽だよな。 偽画面に誘導して情報抜き取るのは昔からよくある手口 見てるスマホの画面が本物かどうかなんて分からんしな ■ このスレッドは過去ログ倉庫に格納されています