AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている

多くのネットサービスでは、アカウントに新たなデバイスからログインがあったり通常とは違う操作が行われたりした際に安全にアカウントを保つためのセキュリティ機能として、ワンタイムパスワードをスマートフォンなどに送信して本人確認する2段階認証が実装されています。「2段階認証を設定してあるから自分のアカウントは安全だ」と思っている人も多いかもしれませんが、オンラインの地下マーケットでは「2段階認証を突破するためのボット」が拡大していると海外メディアのMotherboardが報じています。 The Booming Underground Market for Bots That Steal Your 2FA Codes https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon

[circled]

オレオレ詐欺のサイバー版って感じ。相手が機械音声なので信用しやすいってのもアイロニー感じてしまう。そしてツールのカスタマイズ可能とか売り文句もしっかりしてるね。下手なIT企業より勤勉。

[napsucks]

不正入手したID/PWでログインして並行してターゲットに電話をかけるのか。ID/PW/携帯電話番号の3つが漏れてる必要があるけど、条件がそろってると機械の声だとうっかり信用してしまいそうだね。

[itochan]

認証コードを伝えるSMS本文に、「何の目的で発行された」認証コードなのかが書かれていないせいで、ユーザー側で区別ができないのではないか。OTPアプリ等ならなおさら不明。

[GARAPON]

犯罪者はいつも2歩3歩先を歩んでいる。

[djsouchou]

色々考えるなー

[theatrical]

yubikeyだとワンタイムパスワードも長いし対応難しい気がする。まぁ攻撃者がユーザーにワンタイムパスワードsmsとかで送らせたらいけそうだけど、yubikey使ってる人が送るか？となると、送らない気はする。

[nakakzs]

基本セキュリティはいたちごっこだし、3段階認証とか新しいのが生まれるかな。

[IGA-OS]

これは引っ掛かりそうだわ・・・

[totoronoki]

二段階認証は手続きを簡易にするためか表示される情報が少ない。

[moerrari]

自動音声電話で2段階認証のコードを入力させるという手口。今のところ英語圏だけだろうが、銀行を名乗る自動音声電話には対応しないよう注意したい。

[n_pikarin7]

すげーな

[monotonus]

熱意が凄い

[wats2012]

「定期的なパスワード変更」は、頻繁に行うとパスワードが推測されやすい安易なものになってしまうから推奨されない。でも「定期的に複雑なパスワードに変更」は必要なのかも。２段階認証以前のセキュリティ意識大事

[diabah_blue]

自分の行動が起点になっていない認証は疑ってかかるべき。

[spark7]

ロボロボしい声のほうが公式ぽくて逆に怪しくない感じもするかもね。肉声でかかってくる方が怪しまれそう。

[oldriver]

ウェブならドメインを確認する。電話なら？受信側は基本的に確認できない仕組みなのだな。こちらからかけるしかない。

[repon]

詐欺事件はすべからく同じ人間がやっているのだから、摘発が甘く、逮捕しても軽微な罰則で済ませているのが犯罪をはびこらせている原因。経済犯罪はその規模に応じて、極刑まで幅をもたせるべき。

[deep_one]

コメントを見て。この場合、パスワードの複雑さや長さは何も関係ないのだが。

[mohno]

なるほど。盗んだアカウントでログインしたタイミングで音声botでワンタイムパスワードを押させるわけか。自分でログインしたわけでもないのにワンタイムパスワードを入力しちゃいけないと。

[mayumayu_nimolove]

二段階認証したって中身が空の商品が来るサービスはなぁ

[everybodyelse]

うわー、やべえな。こんなん騙される人いそう。

[cinefuk]

ソーシャルハックの代行、うまいな『自動音声ボットは「PayPal不正防止システム」を名乗りターゲットに電話して、不正請求をブロックしたい場合は本人確認のためにデバイスへ送信したコードを入力するように要求』

[sasasin_net]

2FAは、SIMを盗むとか、こういうソーシャルエンジニアリングな手法を混ぜないと突破が無理なのかな。わかってない