アカウント名:
パスワード:
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、被害はもっととんでもないことになってるはず。実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
SIMスワップ????SIMスワップなんてされたらさすがに気づくよSMSインターセプトって言いたかったのか?
Authenticatorでやられてるからその線もないけどな
セッション乗っ取られたかフィッシングだな
やられた人は「絶対にフィッシングサイトは踏んでない」と言ってますけど、フィッシングサイトと気づいて踏んでる人はいないと思うんだよね。
X(いわゆるTwitter)では「Amazonのサポセンにはマルウェア感染の可能性を指摘されたけど、それなら2FAは突破できない」みたいなこと言ってる人が震源地のうちの1人だったのを観測したから、やや眉唾感はあるね。自分のログイン済み端末が感染して使われたら2FAは無力なのを理解してない残念な人(なのに自分はリテラシーがあると思ってる)だし。
そうそう。だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい#佐川急便からの届け先が不明で持ち帰りましたも
> だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい
しかしフィッシングメールの定番中の定番でもあるわけで、フィッシングサイトを気づかず踏むようなやつに促すのは逆効果にしかならないのでは
え?そういうネタじゃないの?
>そうそう。だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい
いかなるメールのリンクも簡単に踏むな定期ブラウザで自分の信用している(常用している)リンクから飛べリンク先を確認する時代は終わった
「メールのリンクをクリックするな」
サムネ画像の取得でメールソフトが勝手にリンク先を読み込み始めるのはなんとかならんのかなこれ。
まともなメーラーなら読み込みをブロックする設定があると思うが
しかしChromeブラウザはよほどブックマークを使われたくないのか、機能を削り捲くってくる。検索して飛べとか簡単に言うけど、そこに示された結果のURLが正しい物とは断言できないのに、更にはURLを隠し・確認する方法まで制限しようとする有様。
引っかかるタイプですね
/*メールのURLはクリック厳禁オフィシャルアプリかサイトにログイン後の警告通知からとびましょう例外はトークンリンクだが未だにそんな危ういメール出してるとこもままあるのよねぇ*/
フィッシングサイト経由でログイン→二段階認証させることでフィッシングしたサーバーを「信頼できる端末」として登録してしまえば、それ以降フィッシングサーバーからのアクセスではユーザーの認証は不要になるからユーザー視点で見れば「二段階認証をスルーされた」と受け取るのはごく自然なこと。
セッション抜かれたが一番可能性高いよね抜き方としては、詐欺サイト、ブラウザ拡張、ブラウザ本体辺りメールでやらかしてないやつは、怪しい拡張や出処不明のブラウザ経由でアクセスしてないかな?
だろうねその手の警告偽装フィッシングで釣り上げられた結果だったりするんじゃないかな
仕組みはこう利用者 → 偽のサイトにユーザーがアクセス → アマゾン側へアクセス利用者 ← 偽のサイト がパスワード要求利用者 ← アマゾン側利用者 → 偽のサイトにユーザーがアクセス → アマゾンにアクセス成功
詐欺サイトがリアルタイムにレスポンスを
「詐欺サイトがリアルタイムにレスポンスを返してくれば」をろくに説明できてない図のせいで何が言いたいのかわからん
偽サイト、かどうか知らんけど攻撃者の仕組みがamazonへのプロキシサーバーになってればいいんじゃない
これを見て「プロキシサーバーになってる」と受け取れるのはエスパーだよ。
二行目ではアマゾンからはパスワード要求していないのに偽サイトからはユーザーにパスワードを要求しているように見えるが、実際にはアマゾンから偽サイトへのパスワード要求をユーザーに中継しているはず。三行目に至ってはアマゾンからユーザーに矢印が伸びているが、何を送信しているのか一切説明がないため完全に意味不明。
スマホの数字が移り変わっていくOTPなら有効期限がスマホに表示されてから90秒だかだからプロキシ先との連携しないとやりずらいけどパスワードはただちに中継しない搾取をしてもただちに中継する搾取をしてもいいと思えます。間違ってたらすまない
偽サイトはパスワードを受け取ったら直ちにレスポンスを返さないとユーザーに怪しまれるし、そのパスワードが正しいかどうかを確かめないとユーザーにまとも(に見える)レスポンスを返すことができない。そのためにパスワードを受け取ったらすぐにそのパスワードでアマゾンにログインを試みるのが最も簡単で確実な手段なのに、そうしない理由がない。
搾取しずらい
以前見た説明では、一度「パスワードが間違ってます」エラーを返すんだそうな。入力ミスと思って再度入力してくれて、そのときは目的サイト(この場合はアマゾン)に遷移する。
あるある。だからフィッシングサイトで遊ぶ時はまず最初にわざと適当な文字をidとpass欄に突っ込んでログインボタンを押して遊ぶ
「辛い」に「すらい」とルビを振るタイプの人なんですよ、きっと。
パスワードも搾りとるように日常的に窃取してるんですかね、そうすると。
#4529937 です。
窃取が正しいですね。これはお恥ずかしい。すみません
フィッシング詐欺をしないで二段階認証を突破したのなら分かるけど、それはフィッシング詐欺にあっただけなのでは?
二段階認証にしていればフィッシングのリンクを踏んでも安心と思っていたバカが過剰に騒いでいるだけだな
要するにドメインを確認せずにニセURLのサイトにパスワード突っ込みましたとそんなの大昔から抜かれて当然だと思うが。
被害者がネットで検索して知った「2段階認証をすっ飛ばすツール」はevilproxyのことみたい。これも結局はフィッシングを利用した手法なので本当にすっ飛ばしてるわけじゃない。
HTTPを第三者のプロクシサーバでHTTPS中継されないようにブラウザの設定で原則HTTPSで接続するようにしてる
ストーリーに挙げられたtogetterまとめの人は
かなり昔にアマプラのために登録して、ほとんど買い物に使わず放置していたので、パスワード覚えてなかったんですよね…。pcが覚えてるだけという状態でした。
だそうで。偽サイトだとブラウザはパスワード自動入力してないので、フィッシングの可能性が低いんじゃないですかね。
AmazonPayは国内サイトで直近利用有り
ってことで、AmazonPayを疑ってる感じ。
これだとセッションハイジャックも期限切れで使えませんね
AmazonPayってAmazonへのログイン必要だろ・・・
なんかパスワードマネージャーを騙すタイプの偽サイトがあるっていう話は見かけた。ソースは探すの面倒なのでない。
経路ハイジャックと証明書誤発行しないと無理そう証明書の警告無視すればその限りではないが
あのツイート見てるとさもブラウザorパスワードマネージャーのURL欄をハックしたみたいな話に見えるけどそんなんじゃ絶対ないよね
APIの権限取得画面を踏ませる手口だという説がありますね。だますというか正規のログイン画面なので当然パスワードマネージャーも通るhttps://twitter.com/fmyngmn/status/1702382257368080643 [twitter.com]
そんな好き勝手買い物出来るAPIって存在するの?それに普通、権限付与するときはAmazon側の画面でどこそこにこれこれの権限を付与するけどいい?って出るもんじゃないの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
実際は違うんだろうな (スコア:0)
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、
被害はもっととんでもないことになってるはず。
実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
Re: (スコア:0)
Re: (スコア:0)
SIMスワップ????
SIMスワップなんてされたらさすがに気づくよ
SMSインターセプトって言いたかったのか?
Authenticatorでやられてるからその線もないけどな
Re: (スコア:0)
セッション乗っ取られたかフィッシングだな
Re:実際は違うんだろうな (スコア:1)
やられた人は「絶対にフィッシングサイトは踏んでない」と言ってますけど、フィッシングサイトと気づいて踏んでる人はいないと思うんだよね。
Re:実際は違うんだろうな (スコア:1)
X(いわゆるTwitter)では「Amazonのサポセンにはマルウェア感染の可能性を指摘されたけど、それなら2FAは突破できない」みたいなこと言ってる人が震源地のうちの1人だったのを観測したから、やや眉唾感はあるね。
自分のログイン済み端末が感染して使われたら2FAは無力なのを理解してない残念な人(なのに自分はリテラシーがあると思ってる)だし。
Re:実際は違うんだろうな (スコア:1)
そうそう。だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい
#佐川急便からの届け先が不明で持ち帰りましたも
Re: (スコア:0)
> だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい
しかしフィッシングメールの定番中の定番でもあるわけで、フィッシングサイトを気づかず踏むようなやつに促すのは逆効果にしかならないのでは
Re: (スコア:0)
え?そういうネタじゃないの?
Re: (スコア:0)
>そうそう。だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい
いかなるメールのリンクも簡単に踏むな定期
ブラウザで自分の信用している(常用している)リンクから飛べ
リンク先を確認する時代は終わった
「メールのリンクをクリックするな」
Re: (スコア:0)
サムネ画像の取得でメールソフトが勝手にリンク先を読み込み始めるのはなんとかならんのかなこれ。
Re: (スコア:0)
まともなメーラーなら読み込みをブロックする設定があると思うが
Re: (スコア:0)
しかしChromeブラウザはよほどブックマークを使われたくないのか、機能を削り捲くってくる。
検索して飛べとか簡単に言うけど、そこに示された結果のURLが正しい物とは断言できないのに、更にはURLを隠し・確認する方法まで制限しようとする有様。
Re: (スコア:0)
そうそう。だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい
#佐川急便からの届け先が不明で持ち帰りましたも
引っかかるタイプですね
/*
メールのURLはクリック厳禁
オフィシャルアプリかサイトにログイン後の警告通知からとびましょう
例外はトークンリンクだが未だにそんな危ういメール出してるとこもままあるのよねぇ
*/
Re: (スコア:0)
フィッシングサイト経由でログイン→二段階認証させることでフィッシングしたサーバーを「信頼できる端末」として登録してしまえば、
それ以降フィッシングサーバーからのアクセスではユーザーの認証は不要になるから
ユーザー視点で見れば「二段階認証をスルーされた」と受け取るのはごく自然なこと。
Re: (スコア:0)
セッション抜かれたが一番可能性高いよね
抜き方としては、詐欺サイト、ブラウザ拡張、ブラウザ本体辺り
メールでやらかしてないやつは、怪しい拡張や出処不明のブラウザ経由でアクセスしてないかな?
Re: (スコア:0)
だろうね
その手の警告偽装フィッシングで釣り上げられた結果だったりするんじゃないかな
本当に二段階認証を突破されている (スコア:0)
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、
被害はもっととんでもないことになってるはず。
実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
仕組みはこう
利用者 → 偽のサイトにユーザーがアクセス → アマゾン側へアクセス
利用者 ← 偽のサイト がパスワード要求
利用者 ← アマゾン側
利用者 → 偽のサイトにユーザーがアクセス → アマゾンにアクセス成功
詐欺サイトがリアルタイムにレスポンスを
Re: (スコア:0)
「詐欺サイトがリアルタイムにレスポンスを返してくれば」
をろくに説明できてない図のせいで何が言いたいのかわからん
Re: (スコア:0)
偽サイト、かどうか知らんけど攻撃者の仕組みがamazonへのプロキシサーバーになってればいいんじゃない
Re: (スコア:0)
これを見て「プロキシサーバーになってる」と受け取れるのはエスパーだよ。
二行目ではアマゾンからはパスワード要求していないのに偽サイトからはユーザーにパスワードを要求しているように見えるが、実際にはアマゾンから偽サイトへのパスワード要求をユーザーに中継しているはず。
三行目に至ってはアマゾンからユーザーに矢印が伸びているが、何を送信しているのか一切説明がないため完全に意味不明。
Re: (スコア:0)
スマホの数字が移り変わっていくOTPなら有効期限がスマホに表示されてから90秒だかだからプロキシ先との連携しないとやりずらいけど
パスワードはただちに中継しない搾取をしてもただちに中継する搾取をしてもいいと思えます。
間違ってたらすまない
Re: (スコア:0)
偽サイトはパスワードを受け取ったら直ちにレスポンスを返さないとユーザーに怪しまれるし、
そのパスワードが正しいかどうかを確かめないとユーザーにまとも(に見える)レスポンスを返すことができない。
そのためにパスワードを受け取ったらすぐにそのパスワードでアマゾンにログインを試みるのが最も簡単で確実な手段なのに、そうしない理由がない。
Re: (スコア:0)
搾取しずらい
Re: (スコア:0)
以前見た説明では、一度「パスワードが間違ってます」エラーを返すんだそうな。
入力ミスと思って再度入力してくれて、そのときは目的サイト(この場合はアマゾン)に遷移する。
Re: (スコア:0)
あるある。
だからフィッシングサイトで遊ぶ時はまず最初にわざと適当な文字をidとpass欄に突っ込んでログインボタンを押して遊ぶ
Re: (スコア:0)
「辛い」に「すらい」とルビを振るタイプの人なんですよ、きっと。
Re: (スコア:0)
パスワードも搾りとるように日常的に窃取してるんですかね、そうすると。
Re: (スコア:0)
#4529937 です。
窃取が正しいですね。これはお恥ずかしい。すみません
Re: (スコア:0)
フィッシング詐欺をしないで二段階認証を突破したのなら分かるけど、
それはフィッシング詐欺にあっただけなのでは?
Re: (スコア:0)
二段階認証にしていればフィッシングのリンクを踏んでも安心と思っていたバカが過剰に騒いでいるだけだな
Re: (スコア:0)
要するにドメインを確認せずにニセURLのサイトにパスワード突っ込みましたと
そんなの大昔から抜かれて当然だと思うが。
Re: (スコア:0)
被害者がネットで検索して知った「2段階認証をすっ飛ばすツール」はevilproxyのことみたい。
これも結局はフィッシングを利用した手法なので本当にすっ飛ばしてるわけじゃない。
Re: (スコア:0)
HTTPを第三者のプロクシサーバでHTTPS中継されないようにブラウザの設定で原則HTTPSで接続するようにしてる
Re: (スコア:0)
ストーリーに挙げられたtogetterまとめの人は
だそうで。
偽サイトだとブラウザはパスワード自動入力してないので、
フィッシングの可能性が低いんじゃないですかね。
ってことで、AmazonPayを疑ってる感じ。
Re: (スコア:0)
これだとセッションハイジャックも期限切れで使えませんね
Re: (スコア:0)
AmazonPayってAmazonへのログイン必要だろ・・・
Re: (スコア:0)
なんかパスワードマネージャーを騙すタイプの偽サイトがあるっていう話は見かけた。
ソースは探すの面倒なのでない。
Re: (スコア:0)
経路ハイジャックと証明書誤発行しないと無理そう
証明書の警告無視すればその限りではないが
Re: (スコア:0)
あのツイート見てるとさもブラウザorパスワードマネージャーのURL欄をハックしたみたいな話に見えるけど
そんなんじゃ絶対ないよね
Re: (スコア:0)
APIの権限取得画面を踏ませる手口だという説がありますね。だますというか正規のログイン画面なので当然パスワードマネージャーも通る
https://twitter.com/fmyngmn/status/1702382257368080643 [twitter.com]
Re: (スコア:0)
そんな好き勝手買い物出来るAPIって存在するの?
それに普通、権限付与するときはAmazon側の画面でどこそこにこれこれの権限を付与するけどいい?って出るもんじゃないの?