パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった」記事へのコメント

  • by Anonymous Coward

    攻撃者はユーザー名とパスワードと、そのユーザーに対する直接の連絡手段(電話番号など)を入手する。
    攻撃者はユーザー名とパスワーを使って何度もログイン試行する。
    するとシステムが何度もユーザーに対して「このログインを承認しますか」というような問い合わせをユーザーにする。
    ユーザーはそのログインに心当たりがないから普通は承認しないんだけど、脊髄反射で承認ボタン押す人や操作ミスなどで承認してしまうこともある。(攻撃成功。この場合は連絡手段の入手不要)
    今回は、攻撃者がユーザーに対して電話して管理者を装って「承認操作してください」って頼むことで攻撃成功させた。

    #コロナ感染のせいでブレインフォグとかで脳の理解力が落ちたのかな。最近記事読んでもすんなり理解できないことが多い(でもその現象が発生するのスラドの記事だけ)

    • by Anonymous Coward on 2022年10月01日 18時32分 (#4336824)

      パスワードだけでなく、この手のワンタイムパスワードとかスマホの通知をクリックせよとかも
      連続して送ったら一時的に送れなくする機能が必要なのかも

      親コメント

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...