アカウント名:
パスワード:
攻撃者はユーザー名とパスワードと、そのユーザーに対する直接の連絡手段(電話番号など)を入手する。攻撃者はユーザー名とパスワーを使って何度もログイン試行する。するとシステムが何度もユーザーに対して「このログインを承認しますか」というような問い合わせをユーザーにする。ユーザーはそのログインに心当たりがないから普通は承認しないんだけど、脊髄反射で承認ボタン押す人や操作ミスなどで承認してしまうこともある。(攻撃成功。この場合は連絡手段の入手不要)今回は、攻撃者がユーザーに対して電話して管理者を装って「承認操作してください」って頼むことで攻撃成功させた。
#コロナ感染のせいでブレインフォグとかで脳の理解力が落ちたのかな。最近記事読んでもすんなり理解できないことが多い(でもその現象が発生するのスラドの記事だけ)
パスワードだけでなく、この手のワンタイムパスワードとかスマホの通知をクリックせよとかも連続して送ったら一時的に送れなくする機能が必要なのかも
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
こういうことかな (スコア:2, 参考になる)
攻撃者はユーザー名とパスワードと、そのユーザーに対する直接の連絡手段(電話番号など)を入手する。
攻撃者はユーザー名とパスワーを使って何度もログイン試行する。
するとシステムが何度もユーザーに対して「このログインを承認しますか」というような問い合わせをユーザーにする。
ユーザーはそのログインに心当たりがないから普通は承認しないんだけど、脊髄反射で承認ボタン押す人や操作ミスなどで承認してしまうこともある。(攻撃成功。この場合は連絡手段の入手不要)
今回は、攻撃者がユーザーに対して電話して管理者を装って「承認操作してください」って頼むことで攻撃成功させた。
#コロナ感染のせいでブレインフォグとかで脳の理解力が落ちたのかな。最近記事読んでもすんなり理解できないことが多い(でもその現象が発生するのスラドの記事だけ)
Re:こういうことかな (スコア:1)
パスワードだけでなく、この手のワンタイムパスワードとかスマホの通知をクリックせよとかも
連続して送ったら一時的に送れなくする機能が必要なのかも