気になる今日のニュース
Robinhood、700万人分の顧客データ流出（金銭的損失はない）

[ばばさん通信ダイジェスト] 賛否関わらず話題になった/なりそうなものを共有しています。

気になる今日のニュース
アニメグッズ通販サイトにTwitter乗っ取り被害、公式と名乗るPS5関連アカウントに変貌

不正アクセス対策の多要素認証。フィッシングで巧妙な仕組みで被害が増加。モバイルセキリュティ、出入口対策など監視の再確認も１つの考え。

多要素認証を理解しておくことは大切。
それ以上に使うサービスの理解も必要だ。

マジっすか。油断禁物だな…😓

まあ、人間の作ったものですし、まして高い安全性を謳う相手には挑戦したくもなるものなのでしょう。

顧客をだましてIDとパスワードを入力させようとするフィッシング詐欺が横行しているとして、公式ブログで注意を呼びかけていた
↑何をどう信じたらいいのかわからなくなってくるな。どう気をつけべきか

2021.11. 5
この頃、セキュリティ界隈で

Cybercriminals going after one-time passwords with Telegram-powered bots

2faで認証する側に脆弱性があったら打つ手ない……
（フィッシング詐欺にそもそもひっかからないのだいじだけど、明日は我が身……）

「2要素認証の形態としては、認証アプリで生成する時間ベースのワンタイムパスワードコードやプッシュ通知ベースのコード、FIDOセキュリティキーなどの方が確実性は高い」

結論から言うとフィッシングに引っかかるのが原因。
プールのサーバーログインにワンタイムパスワードを使用しているケースも多いですが、セキュリティ対策を講じていても結局は本人次第ってことですね。

刑務所行きはよ．

“例えば銀行からの正規の電話を装って被害者をだまし、ワンタイムパスワードなどの認証コードを入力するよう仕向ける作業をbotが代行する。詐欺グループは被害者が入力した認証コードを傍受できるという仕組みだ”

リテラシーの話か

イタチごっこだよなぁ。
➡➡➡

--
▶ブログ【IFTTTの先へ】：『目的別（ソリューション別）の目次』:

怖い＞

ここまでやられちゃうともはやイタチごっこ😫

詐欺グループに通知が飛んだらOTP自動更新するアプリ作って欲しいw
『認証情報を入力するたびに、詐欺グループ側の管理画面に通知が出る』

詐欺が巧妙化してる

MFAの準備、進んでますか？
SalesforceではSMSやメールは2要素として認めていませんが、この記事のような懸念があるからなんですね。なるほどな。

多要素認証は、パスワードが漏洩しても不正アクセスを防ぐわけですが、この多要素認証のキーすらも偽サイトや偽電話で傍受する手口のようです。

SMSはメールよりも更に真偽の判断が難しいので平気で使おうとする銀行やカード会社は基本的に信頼できないと思っていた。ほら、やっぱりそうだったろう。

読んだ:

IDとパスワードを漏洩させないのが大事ですね。

「この手のワンタイムパスワード詐取は、詐欺グループが事前に被害者のアカウントのIDやパスワードを入手していることを前提とする。」

凄いなぁ〜。

なかなか、これはまずい。。

"Krebs on Securityによると、この手のワンタイムパスワード詐取は、詐欺グループが事前に被害者のアカウントのIDやパスワードを入手していることを前提とする"

SMSベースのワンタイムコードは多要素認証としてはもう厳しいかも

一般ユーザにそれぞれの意味とかを認識させるのは無理だからなぁ。なんちゃって多要素認証は業界でなくしていかないと

突破された言うても仕組みそのものが破られたわけではなく、結局騙されて入力ってだけなんだよね
自動化された点が厄介なのかな

⭕️詐欺グループ向けに、狙った相手のワンタイムパスワードを傍受できるとうたうサービスも

⭕️例えば銀行からの正規の電話を装って被害者をだまし、ワンタイムパスワードなどの認証コードを入力するよう仕向ける作業をbotが代行

"「SMSや電話を使ったOTP（ワンタイムパスワード）サービスは、何もないよりはましだが、犯罪集団は相手をだまして安全対策をかわす手段を見つけている」"

お、間に入ってログインを傍受するのかな？とおもったら、全然違った。
バグとヒューマンハックじゃん。
別にこれ2faが破られてるわけじゃないじゃん。

(1ページ目しか読んでないし読む気もない)

「ワンタイムパスワード」で大雑把に括るのはやめなはれw
つか，もう SMS で認証するのやめようぜ

そりゃこんだけ多要素認証が普及したら狙われるのは自明。
SMSを多要素と謳っているのはアホなので、さっさと別のものに切り替えたほうが良いとのこと。

暗号資産取引所大手のCoinbaseでは、顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生した。

CoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があったことが判明🥶

①アホ企業が顧客情報漏洩
②フィッシング🎣
③金融口座釣れる
めっちゃハッカーに協力的なアホ企業
悪意の第三者と言っていいのではないか

おい！>>>

二段階認証だから安心せず詐欺などに注意しましょうってお話

銀行を狙う時、攻撃者が銀行を装うんじゃなく別企業を装って「今からワンタイムパス送るので読み上げて」と言いながら陰で被害者の銀行口座のワンタイムパス請求するって手口を聞いた時はすげーってなった

「自動応答サービスを装った詐欺chatbot」 には感心させられた。僕らは合成音声の指示通りボタンを押すよう習慣付けられている。人間なら、声色で詐欺と気付く機会もあるだろうに

【テクノロジー】

可能な多要素認証手段へとユーザーを誘導するWebサイトやサービスがあまりに多い」と指摘する。」

あー、そういうかんじか。

気になる今日のニュース

「このQRコードを読み取ってくれないか」──街中での謎の声かけがTwitterで話題 セキュリティ企業も警鐘

「CoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があったことが判明」これがあると防げないよな。。

【ビジネス】

ワンタイムパスにSMSはとっくの昔に危険が指摘されていた。SMS自体詐欺ツールだし危険。早晩廃止しよう。

ログイン通知メール、も突破されそやな

別に新しくない。2019年には既にとても普通で日本の銀行も大きな被害を出している。脆弱性も関係ない。多要素認証では防げない。MITM耐性のある認証手段が必要＞

画期的（？）な奪取方法かと思ったら。多要素認証が強制/一般化されたらまぁそうなるわなって話だった。ある意味ソーシャルハックでは？

右ほか、複数の話 ＞しかしCoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があったことが判明。

「実際には、同じ知識情報（パスワードとワンタイムコード）を、同じチャネル（Webブラウザ）経由で入力させるサービスも多い」

多要素認証組むならもう生体認証入れないとアカンのか？ まあ、生体認証入れてもいずれ破られるんだろうが <

ワンタイムパスワードを実装する例が多いが、この仕組みを突破しようとする攻撃が増えつつあるという

完璧…大丈夫….なんて無いってことなんだよね
あぁ… 嫌だ、人を騙す…

多要素認証も正しく実装しなければ破られてしまう。また、SMSや電話よりもTOTPやプッシュ通知、FIDOセキュリティキーの方が確実性が高いとの指摘。実装に自信がなければIDaaSの利用をご検討ください。（文字化けがあったので再掲）

📍
【出所： / 厳選】

“アンダーグラウンドのサイバー犯罪集団は詐欺グループ向けに、狙った相手のワンタイムパスワードを傍受できる、とうたうサービスを展開しているという。”

『SMSを使ったアカウント復旧プロセスに脆弱性があったことが判明』🧐

アンダーグラウンドのサイバー犯罪集団は詐欺グループ向けに、狙った相手のワンタイムパスワードを傍受できる、とうたうサービスを展開しているという。

気になる日本のITニュース📺

フィッシング詐欺と組み合わせることで突破されているとのこと。

"銀行からの正規の電話を装って被害者をだまし、ワンタイムパスワードなどの認証コードを入力するよう仕向ける作業をbotが代行する。詐欺グループは被害者が入力した認証コードを傍受できるという仕組み"

結局アナログな人間が穴なんだよなぁ

ワンタイムパスワードが絶対的なものとは思ってなかったけど、ほんとこういうのはイタチごっこだな、と。。
生体認証も組み合わせていかないとなかなか厳しそう。

【IT media News】

ﾋｴｴ

dアカウントはパスワードレスの多要素認証だが、メールでアンケートをお願いしてくる間抜けぶり。

アンケートなんて古典的なリサーチとかもうええやろw

多要素認証は一個は生態認証じゃないとダメルールになるだろなーそのうち。

新しい技術が出れば，それを破る技術も出てくる:

先日もTwitterの乗っ取り事件が流れてきたけど、2段階認証してるからと安心できる時期が過ぎ去っていってるのかもしれない

ワンタイムパスワード自体は強力なんだが、再設定手続きがな。再設定にワンタイム使わないと意味ないってのがさ。ところが機種変で再設定必須にしてるところがあって、そうすると、前機種がない時にはまる。PC側も用意するべきだが...

"正規の電話を装って被害者をだまし、ワンタイムパスワードなどの認証コードを入力するよう仕向ける作業をbotが(略)銀行だけでなく、PayPalやApple Payといった決済サービス、さらにはFacebook、Instagram"