Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 | スラド IT

ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていった

[theatrical]

正直これは従業員が悪いと思うけど。リスク減らしたいなら従業員にyubikeyとかのフィジカルツール使わせるのが良いと思う。教育は限界があるし。

[mk173]

ワンタイムパスワードは誰にも教えるなと書いてあってもついやってしまうのかも

[NOV1975]

機種変の対応はともかく、認証キーデバイスを恒久的に複数デバイスとする必然性が全く無いよなあ。

[houyhnhm]

アカウント連携とかの隙間は確かに幾らでもソーシャルハック出来てしまう。情報システム部門が別会社とかの事もわりとあるし、その辺りで変にコストカットしない方が良いかと。

[tmatsuu]

日本語記事きてた