アカウント名:
パスワード:
報じられ方も問題在るけど、悪質な手口が大杉。
常駐してるならずっとこっそりと情報収集し続けていればいいのに、わざわざ表に出てきて感染していることがわかりやすくなっている。悪質とは言い切れないのではないか?
マルウェアとして当該PCに常駐して、ブラウザの挙動を乗っ取る、なんてことしてるなら、もっとひっそりといくらでもまずいことができそうな気がするよなぁ……
というか、その手のマルウェアなんて、わりと昔からよく騒がれてたはず。
あえて、わざわざポップアップ出してユーザに入力させるってのは、通常の画面での入出力をジャックするだけじゃ不足な情報があるから、専用の入力でそれを収集したい、とか、そういうことなのかな?
ちょっと追ってみた。
スクショ見ると、ゆうちょは合言葉、三菱東京UFJは乱数表(全部)を入力させるようだ。
ゆうちょの場合、http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_riskbase.html [japanpost.jp]普段と違う環境でアクセスしたときとかに、合言葉を聞いてくる。
三菱東京UFJの場合、http://direct.bk.mufg.jp/secure/index.html [bk.mufg.jp]普段と違う環境からのアクセスのときは、メールで送るワンタイムパスが必要。で、登録情報の変更等を行う時に、カードの乱数表の入力が必要らしい。乱数表入手>メールアドレス追加>ワンタイムパスワードゲット! って流れかな?
三井住友は画面ないからよくわからんけど、まあ、似たようなことだろう。
キーロギングやセッションジャックでIDとパスワードが漏れちゃっても、それだけじゃアクセスできないような仕組みが導入されている。でも、このポップアップで収集した情報があれば、それを突破できるぜ、ってことだね。
>普段と違う環境からのアクセスのときは
これは銀行側ではどうやって判定しているのか分かる?ユーザエージェントの情報の一致不一致とかをやっているのかな??
>これは銀行側ではどうやって判定しているのか分かる?
わかんない。
判定方針ばれたら悪人に対処されちゃうから秘密でしょうね。
#想像だけど、かなりいろいろやってんじゃないかなぁ?
三菱東京UFJでIBやっているけど、いろいろやっている気配はないなあ。
普通にISP接続してPCのブラウザからログインしているだけだから、「普段と違う環境」なんて言っても、そもそも環境の情報なんてユーザエージェントを見るくらいしかないと思うんだけど。
もしかしてクッキーを消したら「普段と違う環境」と判定されるのかな?
ゆうちょはクッキー消したら違うと確か判断したと思う。
>>普段と違う環境からのアクセスのときは>これは銀行側ではどうやって判定しているのか分かる?
某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。PCを初期化してクリーンインストールした直後にも聞かれるなぁ。OSやブラウザのバージョンの細かい違い以外にも、なにかを検知している模様。
>某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。
それはアクセス時に銀行システム側がクッキーを払い出したときのタイムスタンプ情報をチェックしているのだと考えられる。
でも言われてみれば確かに、クッキーでもって過去のアクセス履歴を調べて本人性のチェックをするのが一番安上がりで効果的だね。
調べてないから外しているかもですが、ネットゲームでの不正(パケット改ざんとか)を防止するのに使われているnProとかの銀行版を使っているんじゃないでしょうか。ユーザーがインストールしないとダメなんですけど、一回インストールされればイロイロやってくれます。プロセスの監視はもちろん、PC環境の変更とかも調べて感じですね。
#でも本来の役にはたたないという・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:0)
報じられ方も問題在るけど、悪質な手口が大杉。
だがちょっと待ってほしい (スコア:0)
常駐してるならずっとこっそりと情報収集し続けていればいいのに、
わざわざ表に出てきて感染していることがわかりやすくなっている。
悪質とは言い切れないのではないか?
Re:だがちょっと待ってほしい (スコア:1)
マルウェアとして当該PCに常駐して、ブラウザの挙動を乗っ取る、なんてことしてるなら、
もっとひっそりといくらでもまずいことができそうな気がするよなぁ……
というか、その手のマルウェアなんて、わりと昔からよく騒がれてたはず。
あえて、わざわざポップアップ出してユーザに入力させるってのは、
通常の画面での入出力をジャックするだけじゃ不足な情報があるから、
専用の入力でそれを収集したい、とか、そういうことなのかな?
Re:だがちょっと待ってほしい (スコア:5, 参考になる)
ちょっと追ってみた。
スクショ見ると、ゆうちょは合言葉、三菱東京UFJは乱数表(全部)を入力させるようだ。
ゆうちょの場合、
http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_riskbase.html [japanpost.jp]
普段と違う環境でアクセスしたときとかに、合言葉を聞いてくる。
三菱東京UFJの場合、
http://direct.bk.mufg.jp/secure/index.html [bk.mufg.jp]
普段と違う環境からのアクセスのときは、メールで送るワンタイムパスが必要。
で、登録情報の変更等を行う時に、カードの乱数表の入力が必要らしい。
乱数表入手>メールアドレス追加>ワンタイムパスワードゲット! って流れかな?
三井住友は画面ないからよくわからんけど、まあ、似たようなことだろう。
キーロギングやセッションジャックでIDとパスワードが漏れちゃっても、
それだけじゃアクセスできないような仕組みが導入されている。
でも、このポップアップで収集した情報があれば、それを突破できるぜ、ってことだね。
Re: (スコア:0)
>普段と違う環境からのアクセスのときは
これは銀行側ではどうやって判定しているのか分かる?
ユーザエージェントの情報の一致不一致とかをやっているのかな??
Re:だがちょっと待ってほしい (スコア:1)
>これは銀行側ではどうやって判定しているのか分かる?
わかんない。
判定方針ばれたら悪人に対処されちゃうから秘密でしょうね。
#想像だけど、かなりいろいろやってんじゃないかなぁ?
Re: (スコア:0)
三菱東京UFJでIBやっているけど、いろいろやっている気配はないなあ。
普通にISP接続してPCのブラウザからログインしているだけだから、「普段と違う環境」なんて言っても、そもそも環境の情報なんてユーザエージェントを見るくらいしかないと思うんだけど。
もしかしてクッキーを消したら「普段と違う環境」と判定されるのかな?
Re:だがちょっと待ってほしい (スコア:1)
Re: (スコア:0)
ゆうちょはクッキー消したら違うと確か判断したと思う。
Re:だがちょっと待ってほしい (スコア:1)
>>普段と違う環境からのアクセスのときは
>これは銀行側ではどうやって判定しているのか分かる?
某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。
PCを初期化してクリーンインストールした直後にも聞かれるなぁ。
OSやブラウザのバージョンの細かい違い以外にも、なにかを検知している模様。
Re: (スコア:0)
>某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。
それはアクセス時に銀行システム側がクッキーを払い出したときのタイムスタンプ情報をチェックしているのだと考えられる。
でも言われてみれば確かに、クッキーでもって過去のアクセス履歴を調べて本人性のチェックをするのが一番安上がりで効果的だね。
Re: (スコア:0)
調べてないから外しているかもですが、ネットゲームでの不正(パケット改ざんとか)を防止するのに使われているnProとかの銀行版を使っているんじゃないでしょうか。
ユーザーがインストールしないとダメなんですけど、一回インストールされればイロイロやってくれます。
プロセスの監視はもちろん、PC環境の変更とかも調べて感じですね。
#でも本来の役にはたたないという・・・
Re:だがちょっと待ってほしい (スコア:1)
> 専用の入力でそれを収集したい、とか、そういうことなのかな?
資金を移動するために,二要素認証 (乱数表とか) の情報を入力させたいのではないでしょうか.
攻撃者としては乱数表を全部入力させるのが理想ですが,怪しまれるでしょうし,セキュアトークンには対応できません.
ID/パスワードの情報は盗聴で得られる (あるいはセッションを乗っ取ればいい) から,バックグラウンドで振り込みの取り引きを進めることは可能です.
振り込みの最後の認証操作 (乱数表の一部を入力するとか,セキュアトークンに表示された文字列を入力するとか) だけを利用者にやらせれば,資金を攻撃者の好きなように動かせますね.
Re:だがちょっと待ってほしい (スコア:1)
http://www.bk.mufg.jp/info/phishing/ransuu.html
http://www.smbc.co.jp/security/popup.html
# ああ,アホなことをIDで書いてしまって恥ずかしい.
## しかも,後半不要だったし.