• はてなブックマーク
  • テクノロジー
  • 狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上
  • Twitterでシェア
  • Facebookでシェア

狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上

テクノロジー カテゴリーの変更を依頼 記事元:www.itmedia.co.jp
適切な情報に変更
248 usersがブックマーク コメント27

    記事へのコメント27

    • 注目コメント
    • 新着コメント
    JULY
    JULY 手口はアカウント復旧手続きの問題だったり、偽サイトへの誘導だったり、多要素認証の有無とは関係ない。「無いよりマシ」は、さすがに過小評価。

    2021/11/05 リンク

    その他
    tettekete37564
    tettekete37564 “CoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があった”< ワンタイムトークン自体を破る方法ではなかった[security]

    2021/11/05 リンク

    その他
    legnum
    legnum 銀行を狙う時、攻撃者が銀行を装うんじゃなく別企業を装って「今からワンタイムパス送るので読み上げて」と言いながら陰で被害者の銀行口座のワンタイムパス請求するって手口を聞いた時はすげーってなった

    2021/11/05 リンク

    その他
    dollarss
    dollarss ワンタイムパスにSMSはとっくの昔に危険が指摘されていた。SMS自体詐欺ツールだし危険。早晩廃止しよう。

    2021/11/05 リンク

    その他
    robokichi
    robokichi 一番の脆弱性は利用者っていう。。

    2021/11/05 リンク

    その他
    dorje2009
    dorje2009 同じ多要素認証でもGoogle Authenticatorのような認証アプリの方がより安全という話。といってもユーザー側で手段を選べるわけじゃないけど

    2021/11/06 リンク

    その他
    s-yata
    s-yata ほかの穴をきちんと埋めておかないと,多要素認証を導入しても安心はできない.それから,大金を取り扱うサービスに対しては,攻撃側も相応のコストをかけてくる.

    2021/11/05 リンク

    その他
    spark7
    spark7 ソーシャルハック出てくるのが面白い。脆弱性は第8層にもある。「認証コードを入力するよう仕向ける作業をbotが代行する」

    2021/11/05 リンク

    その他
    mohri
    mohri 多要素認証をどうやって破ってるのかざっと読んだだけではよくわからなかった……

    2021/11/21 リンク

    その他
    aox
    aox ツータイムとかスリータイムにしていけば良いのでは ʕ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ•̫͡•ʕ•̫͡•ʔ•̫͡•ʕ•̫͡•ʕ•̫͡•ʔ•̫͡•ʕ•̫͡•ʕ•̫͡•ʔ

    2021/11/06 リンク

    その他
    dorje2009
    dorje2009 同じ多要素認証でもGoogle Authenticatorのような認証アプリの方がより安全という話。といってもユーザー側で手段を選べるわけじゃないけど

    2021/11/06 リンク

    その他
    tach
    tach SMSはメールよりも更に真偽の判断が難しいので平気で使おうとする銀行やカード会社は基本的に信頼できないと思っていた。ほら、やっぱりそうだったろう。

    2021/11/06 リンク

    その他
    hiroomi
    hiroomi “例えば銀行からの正規の電話を装って被害者をだまし、ワンタイムパスワードなどの認証コードを入力するよう仕向ける作業をbotが代行する。”

    2021/11/05 リンク

    その他
    nilab
    nilab 狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上:この頃、セキュリティ界隈で(1/2 ページ) - ITmedia NEWS

    2021/11/05 リンク

    その他
    s-yata
    s-yata ほかの穴をきちんと埋めておかないと,多要素認証を導入しても安心はできない.それから,大金を取り扱うサービスに対しては,攻撃側も相応のコストをかけてくる.

    2021/11/05 リンク

    その他
    moerrari
    moerrari IDやパスワードが漏れていて、その上でサイトの脆弱性を突かれたり、フィッシングサイトへ入力してしまったりして2段階認証を突破されたとのこと。メールのリンクはクリックしないという従来通りの対応で問題なさそう

    2021/11/05 リンク

    その他
    robokichi
    robokichi 一番の脆弱性は利用者っていう。。

    2021/11/05 リンク

    その他
    wats2012
    wats2012 そもそも被害者はフィッシングで釣られてるのが問題。「2段階認証だから安心」と最低限のリテラシーを持ってなかったのが落とし穴だと思う。

    2021/11/05 リンク

    その他
    acealpha
    acealpha ソーシャルハックでそれぞれの要素を破ったことを多要素認証を破ったと言っていいんかいな

    2021/11/05 リンク

    その他
    tettekete37564
    tettekete37564 “CoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があった”< ワンタイムトークン自体を破る方法ではなかった[security]

    2021/11/05 リンク

    その他
    mint6626
    mint6626 ワンタイムパスワード発行と同時に入力を求めるメールを送るのかな

    2021/11/05 リンク

    その他
    legnum
    legnum 銀行を狙う時、攻撃者が銀行を装うんじゃなく別企業を装って「今からワンタイムパス送るので読み上げて」と言いながら陰で被害者の銀行口座のワンタイムパス請求するって手口を聞いた時はすげーってなった

    2021/11/05 リンク

    その他
    cinefuk
    cinefuk 「自動応答サービスを装った詐欺chatbot」 id:entry:4710703174389652066 には感心させられた。僕らは合成音声の指示通りボタンを押すよう習慣付けられている。ニンゲンの詐欺師相手なら、声色で詐欺と気付く機会もあるだろうに

    2021/11/05 リンク

    その他
    yamami78651
    yamami78651 お魚として釣られてしまう世界。自分は大丈夫と思っても相手が強すぎると、知識なしには太刀打ちできない。。怖がって使わないのではなく、知識を身につけたいもの

    2021/11/05 リンク

    その他
    nobodyplace
    nobodyplace ワンタイムパスワードが技術的に破られたっていう話ではないのね。ソーシャルエンジニアリングでワンタイムパスワードを回避するっていう話。

    2021/11/05 リンク

    その他
    magnitude99
    magnitude99 最強の個人情報保護は最大限にネット社会を縮小して物理的な個人情報保護方法を復活、アナログ社会に帰る中で不足する人材雇用を増やせば99%層に一石二鳥だ。ネット機能拡大の最大利得者は支配層以外にいない。

    2021/11/05 リンク

    その他
    khtokage
    khtokage 復旧プロセスか、なるほどー。 そもそもの話として、フィッシングサイトに引っかかってID・PW・OTP全部入力しちゃえば侵入されちゃうしね。OTPは優秀な多要素認証手段ではあるけど完璧ではないよ、と。

    2021/11/05 リンク

    その他
    dollarss
    dollarss ワンタイムパスにSMSはとっくの昔に危険が指摘されていた。SMS自体詐欺ツールだし危険。早晩廃止しよう。

    2021/11/05 リンク

    その他
    spark7
    spark7 ソーシャルハック出てくるのが面白い。脆弱性は第8層にもある。「認証コードを入力するよう仕向ける作業をbotが代行する」

    2021/11/05 リンク

    その他
    AQMS
    AQMS 多要素認証を破ってない。

    2021/11/05 リンク

    その他
    moegisakuzo
    moegisakuzo そこそこ勉強して知識もあり、地上でもいい給料もらえるだろうにふつうに働く選択肢はなかったんかな。どんな経緯でアンダーグラウンドな世界いったんやろ

    2021/11/05 リンク

    その他
    itochan
    itochan 右ほか、複数の話 >しかしCoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があったことが判明。

    2021/11/05 リンク

    その他
    amebacore
    amebacore "要素認証の形態としては、認証アプリで生成する時間ベースのワンタイムパスワード(TOTP)コードやプッシュ通知ベースのコード、FIDOセキュリティキーなどの方が確実性は高い"

    2021/11/05 リンク

    その他
    JULY
    JULY 手口はアカウント復旧手続きの問題だったり、偽サイトへの誘導だったり、多要素認証の有無とは関係ない。「無いよりマシ」は、さすがに過小評価。

    2021/11/05 リンク

    その他
    fashi
    fashi フィッシングSPAMっぽいSMSが届いたタイミングで既に待ち構えてる可能性があるのか

    2021/11/05 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上

    狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上:この頃、セキュリティ界隈で(1/2 ...

    ブックマークしたユーザー

    • shckor2023/02/19 shckor
    • mjtai2022/01/28 mjtai
    • teruyastar2021/12/04 teruyastar
    • mohri2021/11/21 mohri
    • fusanosuke_n2021/11/09 fusanosuke_n
    • kyo_ago2021/11/08 kyo_ago
    • shikimihuawei2021/11/08 shikimihuawei
    • neunzehn2021/11/08 neunzehn
    • nwcft2021/11/08 nwcft
    • poad10102021/11/07 poad1010
    • kdtssan2021/11/07 kdtssan
    • and_hyphen2021/11/07 and_hyphen
    • zakinco2021/11/06 zakinco
    • zu22021/11/06 zu2
    • manakyu2021/11/06 manakyu
    • akaz332021/11/06 akaz33
    • nabinno2021/11/06 nabinno
    • Hiro_Matsuno2021/11/06 Hiro_Matsuno
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.