RSSおすすめ記事です

スポンサーリンク

ネットバンキング被害4倍に 「ワンタイムパス」破る

ニュースセキュリティ

セキュリティ

スポンサーリンク

ネットバンキング被害4倍に 「ワンタイムパス」破る

1 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:09:05 ID:CAP_USER.net

インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。

ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パスワードに加え、事前に登録した携帯電話などに毎回異なる使い捨てのパスワードが届く仕組み。固定パスワードが漏洩した場合でも第三者の不正ログインを防ぐことができ、不正送金の被害防止に有効とされてきた。

19年秋ごろから、ワンタイムパスワードが破られるケースが目立ち始めているという。犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ、その情報を基に正規のネットバンキングにログイン。銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる手口だ。

こうした情報を盗まれると、利用者は自身の口座から別の口座へ不正送金されてしまう。捜査幹部は「ワンタイムパスワードを設定すれば安心という心理的な隙を突いた巧妙な手口だ」と話す。

不正送金被害は19年9月から急増し、10月の被害は397件、被害額は5億1900万円。11月はさらに増えて578件、7億8700万円となり、月間としての件数、被害額とも過去最悪だった。19年全体の被害件数は1813件で、過去最多だった14年(1876件)に迫る水準だった。
2020/2/6 10:19
https://www.nikkei.com/article/DGXMZO55313840W0A200C2MM0000/


スポンサーリンク

ネットの反応

5 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:16:58 ID:qnTJ1uDi.net
Left Caption

ワンタイムパスのシステム化そのものが破られた訳ではなく
「偽サイトに騙されてセキュリティ情報を入力するバカ」というおなじみのパターンじゃん

142 : 名無しのシステムエンジニアさん 2020/02/06(木) 18:23:55.11 ID:JHuQzI9T.net
Left Caption

>>5
だな、びっくりした
どうして破ったのかと思ったよ

7 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:17:56 ID:cpLAqZC8.net
Left Caption

SMSのリングなんか踏むなよ

10 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:22:11 ID:x2/74WIL.net
Left Caption

Amazon公式を名乗って送られてるくる迷惑メール
スパムとして報告してるのにまだ送られてくるわ
ヤフーメールに

56 : 名無しのシステムエンジニアさん 2020/02/06(木) 13:20:19.33 ID:XbjAZwTg.net
Left Caption

>>10
スパムでAmazonの名前でメール送っといて、送り主が「@youtube.com」だったのがあって笑った
しかもその横には本当の送り元の乱数メアドまで出ている始末
「やる気あんのかコイツラ?」と思った

187 : 名無しのシステムエンジニアさん 2020/02/06(木) 21:19:19.06 ID:j30n29L+.net
Left Caption

>>56
土日は迷惑メール激減するからな
あいつら土日休みのホワイト環境でまったりぬるめの仕事してんだよ
やる気なんか在るわけない
気が向いたらオモシロ作文して反応待ってみたり楽しみながら働いてるわ

12 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:23:19 ID:zBTvxUk/.net
Left Caption

こんなん引っかかるアホは何しても無駄

15 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:26:13 ID:jSwxr8k2.net
Left Caption

>>12
人はリンクがあるとクリックしたくなる

16 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:26:27 ID:8EL7sb6m.net
Left Caption

ワンタイムパスワードの仕組みわからん
あれ通信してないのになんで認証できんの?

41 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:51:27 ID:lPzv2Am6.net
Left Caption

>>16
単なる時計表示と同じ。
何時何分にIDを紐付けして暗号化しているだけ。
だから、同じ時刻を示していれば同じ結果になる。
問題は携帯機器の精度と、入力者の速度を考慮した場合、1分毎の更新しかできない事。

67 : 名無しのシステムエンジニアさん 2020/02/06(木) 13:34:52.82 ID:iEMiDgwj.net
Left Caption

>>41
へぇ
じゃあ1時間に60回×24時間=1440個しか数字持ってないんだ?

81 : 名無しのシステムエンジニアさん 2020/02/06(木) 14:39:57.12 ID:lPzv2Am6.net
Left Caption

>>67
月日まで入れたら525600通りまで増えるね。
ただ、問題は1分以内なら同じパスが何度でも通ること。
リダイレクトされればたまったもんじゃない。

87 : 名無しのシステムエンジニアさん 2020/02/06(木) 14:56:36.01 ID:y/mV9g3u.net
Left Caption

>>81
1分内に使用する乱数を60個程度持っておいて
1回使ったら破棄で次のやつでないと入れなくしたらどうだろうか

まぁフィッシュされて、自分が正規ログインで乱数消費する前に
相手に使われたら意味ないけど(´・ω・`)
そういう意味ではフィッシュされた時点でお手上げだなぁ

89 : 名無しのシステムエンジニアさん 2020/02/06(木) 14:59:13.27 ID:LxAIwSg2.net
Left Caption

>>87
ワンタイムパスの発行依頼をする端末/IPと紐付けするだけで不正は防げそう。

32 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:42:36 ID:OF58w27S.net
Left Caption

犯罪者のほうが頭いいという 

39 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:49:25 ID:unG+Gdmx.net
Left Caption

プレーンテキスト風でURLの文字列とリンク先は別とかあるしな
最低限リンク先のURLを見るか
アクセスはWebブラウザから直接にしないとな

42 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:51:33 ID:F6J+MEBr.net
Left Caption

総括:アホはネットバンキング使わず窓口で高い手数料払ってろよ

43 : 名無しのシステムエンジニアさん 2020/02/06(Thu) 12:54:36 ID:XivAVKiT.net
Left Caption

だったらATMとネットバンキングで振込手数料を同じにしろ

52 : 名無しのシステムエンジニアさん 2020/02/06(木) 13:06:43.48 ID:ZsKXTClg.net
Left Caption

本物のドメインかどうか確認しないのか?

65 : 名無しのシステムエンジニアさん 2020/02/06(木) 13:25:57.89 ID:GDcPew87.net
Left Caption

>>52
昔からネットやってる人じゃないと気にしないと思う
そもそもURLの意味が分かってない人も多いだろうから
例えば hogebank.jp/login と example.jp/hogebank/ のどっちが怪しいかも分からんだろうな

60 : 名無しのシステムエンジニアさん 2020/02/06(木) 13:21:41.79 ID:98jezp8k.net
Left Caption

ワンタイムパスなんてあんなもんどうやって破るんだと思ったら、フィッシングサイトでログインID入れたのと同時に裏で正規サイトに同じようにログインして、
正規に送られてくる2段階認証のワンタイムパスも入力させる訳か。
まあフィッシング偽サイトにID入力しちゃった時点で二段階認証してようが終わりって事だわな。

64 : 名無しのシステムエンジニアさん 2020/02/06(木) 13:25:02.48 ID:1D76lmM6.net
Left Caption

>犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ

この時点で何やっても無駄だろ

158 : 名無しのシステムエンジニアさん 2020/02/06(木) 19:13:51.52 ID:veGD+/VP.net
Left Caption

>>64
ログインパスワードが漏れても安心てのがワンタイムパスワードだったわけでな。
偽サイトに誘導されちゃったらどうにもならんてこったね。

68 : 名無しのシステムエンジニアさん 2020/02/06(木) 13:35:42.63 ID:KTfH2ME2.net
Left Caption

人間は一番のセキュリティホール

Posted by flac