自作PC@ふたば保管庫 [戻る]
|
新種っていうけど、Zbot系って2年くらい前からずっと亜種が出続けてるんじゃないのか |
|
こうも簡単にワンタイムパスワードって破られちゃうのか |
|
パスワードを破ってはいないが無効化されてしまった |
|
「ワンタイム」と言うが、その一瞬限りというわけではなく、生成してから数分間の有効期間がある。 こうしないと操作の余裕が無くなるから。 トロイはここを突いて、まずワンタイムパスワードを生成させて、それを入手。 このワンタイムパスワードは正規のものであり、しばらくは有効だから、その間にトロイが偽の振り込み作業を実行してしまう。 警察が解明/潰したのはトロイに指示を与えるために立てられたサーバへのルートであって、根本的に解決できてるわけじゃない。 |
|
ウイルスで資金集めって一昔前のSFみたいね |
|
気付いてないだけでスマホなんかでも既にありそう。 |
|
なんかニュースサイトで微妙に内容が変わってる気もするけど >まずワンタイムパスワードを生成させて この部分って手動なんだよね? そこで入力しなきゃ無害なんかな ヤフーかどっかで見たページだとワンタイムの行程を丸ごとスキップする=無効化 みたいなニュアンスだったから感染したら一発アウトかと思った |
|
>このワンタイムパスワードは正規のものであり、しばらくは有効だから、その間にトロイが偽の振り込み作業を実行してしまう。 これって銀行側が対策すれば充分だと思うけどな 例えば一度使われたワンタイムパスワードは続けて使えないとかさ 連続して振込たいときは面倒かもしれんけどそれくらいの方が安心でしょ |
 >これって銀行側が対策すれば充分だと思うけどな こういう非IT向けのワンタイムパスのユーザータグってスタンドアロンの高精度時計と個別キーから一定間隔で生成してるから無理じゃね |
|
>例えば一度使われたワンタイムパスワードは続けて使えないとかさ 地味に良いアイデア そのロジックを、取り急ぎ取り入れて欲しいわ。 |
|
>一定間隔で生成してるから無理じゃね 切り替わるまで待てばいいんだけどそれを一々待つのは面倒だね そういう場合はメールでのワンタイム番号も併用かな? |
|
送金専用のパソコンと通信手段(送金のみのポケットwifi)を用意すればほぼほぼ完ぺきでしょ |
|
ワンタイムって一回の意味じゃないの? |
 MITBなのでパスワードが盗まれているわけではない |
|
>MITBなのでパスワードが盗まれているわけではない 送金を確定する時に確認画面とパスワード入力を求めれば回避できそうな気も |
|
アンチウイルスソフトも入れてないヤツは自業自得 |
|
ワンタイム=使い捨て |
|
ワンタイム=愛犬とのひと時 |
|
犬は犬でもスヌーピー(覗き魔) |
|
この前みずほからもらったのがこれの対策を謳ってたやつだな ワンタイム(時間)に加えて振込先の口座番号下7桁を生成機に入力してパスを表示させるタイプで 振込先の口座番号が異なるとパスが通らないから間に割り込まれても防げるらしい |
|
しかしこれ、本当にユーザーの落ち度0で抜かれるとかではないんだろ? 警察です(笑)から電話かかってきて、銀行員が来ますって言われたら 暗証番号添えてカード渡しちゃうレベルのアホが尽きない以上 対策するとかしないの話でないような・・・ 小学校のうちから、教育するかしないか?の方が左右するでしょ 結構な数のおっさんおばはん、爺さん婆さんはもう手遅れだし カードのスキミングみたく、ATMに細工されてたりそのレベルとかだったらヤバすぎだが |
|
ウィルス感染は対面詐欺よりリスク無いからね 日本はPCの普及は進んでも操作知識に関する部分は遅れてるし 携帯端末で良いや層も多いけど携帯端末もセキュリティに関してはザルだからなぁ |
|
>>例えば一度使われたワンタイムパスワードは続けて使えないとかさ >地味に良いアイデア 充分に実装可能な仕組みだよね |
|
書き込みをした人によって削除されました |
|
ワンタイムパスワードは中間者攻撃の類に対してほとんど効き目が無い (インターネットの途中経路に設置された偽サーバーや ローカルマシン内のキーロガーで 攻撃者によるユーザー操作の上書きが可能になった時点で 攻撃者は何だってできる。 たとえば200円の送金を20万円の送金に書き換えるとか、 このとき本物のサーバーにはワンタイムパスワードとオペレーションが偽者と区別つかない やっぱ中間者の排除こそ本質的対策であり、公開鍵暗号でおk |
|
>しかしこれ、本当にユーザーの落ち度0で抜かれるとかではないんだろ? だからパスワードは抜かれないよ ブラウザジャックだからアクセス先も正規のサイトだしアドレスで見破れるとかそんなレベルじゃない zbot系の主な感染経路はFLASHやJavaのExploit 片山ゆうちゃんとはわけが違う |
|
で、送金専用パソコンを用意するのは有効なの? |
|
VMWareとかVPCとかで仮装PC作っておいて、振り込み作業だけはその中ですればいいよ |
|
どんな対策してても結局安全ってことはないから ネットを介して取引するようなお金は最小限にして とりあえず決済用口座と貯蓄用口座に分けて 貯蓄の方は窓口取引オンリーにすればいいんじゃね |
|
>VMWareとかVPCとかで仮装PC作っておいて、振り込み作業だけはその中ですればいいよ 三菱東京UFJがやってるクラウドダイレクトが似たような感じかね |
|
しかしネットバンクのトップページやらやたらと注意喚起がうるさいね |
|
>しかしネットバンクのトップページやらやたらと注意喚起がうるさいね そりゃ被害総額がシャレになってないからな |
|
銀行から提案される対策を一通りしておけば、引っかかっても補償が得られる可能性が高くなると言われてるからしておくといいよ。 |
|
書き込みをした人によって削除されました |
|
書き込みをした人によって削除されました |
|
>>ブラウザジャックだからアクセス先も正規のサイトだしアドレスで見破れるとかそんなレベルじゃない そのジャックされる過程はどうなんだって話なんだが・・・ 銀行の公式サイトにだけアクセスする環境を一つ用意しとくだけで それでもアウトな要因があるなら回避不能だとは思うけどね けど、そんな条件だったら全員アウトだからもっとっ騒ぎになってるだろ HD一台用意して、起動切り替えるだけだろ 百歩譲ってユーザーが爆発的に多いサイトにそんなのが仕込まれてたら 大騒ぎになって気づくし、被害が半端ないから対策や対処も早いからなぁ エロサイトとかブラウザゲとかやるなら環境一つ用意するだけの話じゃないのか?って YOUTUBE見ただけで銀行口座が空になったりする可能性もあるの? |
|
んでYOUTUBEで謎な広告リンククリックとかするだろ? その部分は完全にユーザーの落ち度だろうと 落ち度があるから補償する必用は無いって話じゃないよ |
|
>貯蓄の方は窓口取引オンリーにすればいいんじゃね それが一番賢いね 俺も一時的な引き落とし用とかの少額にしかネットバンクは使わないし |