アカウント名:
パスワード:
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、被害はもっととんでもないことになってるはず。実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
仕組みはこう利用者 → 偽のサイトにユーザーがアクセス → アマゾン側へアクセス利用者 ← 偽のサイト がパスワード要求利用者 ← アマゾン側利用者 → 偽のサイトにユーザーがアクセス → アマゾンにアクセス成功
詐欺サイトがリアルタイムにレスポンスを返してくれば正規と気づかずに情報が抜かれる
銀行でも同様“リアルタイム型フィッシング詐欺“で700万円以上の被害事例も!? 被害額の増加に警察庁・金融庁も注意喚起https://internet.watch.impress.co.jp/docs/column/dlis/1531314.html [impress.co.jp]
「詐欺サイトがリアルタイムにレスポンスを返してくれば」をろくに説明できてない図のせいで何が言いたいのかわからん
偽サイト、かどうか知らんけど攻撃者の仕組みがamazonへのプロキシサーバーになってればいいんじゃない
これを見て「プロキシサーバーになってる」と受け取れるのはエスパーだよ。
二行目ではアマゾンからはパスワード要求していないのに偽サイトからはユーザーにパスワードを要求しているように見えるが、実際にはアマゾンから偽サイトへのパスワード要求をユーザーに中継しているはず。三行目に至ってはアマゾンからユーザーに矢印が伸びているが、何を送信しているのか一切説明がないため完全に意味不明。
スマホの数字が移り変わっていくOTPなら有効期限がスマホに表示されてから90秒だかだからプロキシ先との連携しないとやりずらいけどパスワードはただちに中継しない搾取をしてもただちに中継する搾取をしてもいいと思えます。間違ってたらすまない
偽サイトはパスワードを受け取ったら直ちにレスポンスを返さないとユーザーに怪しまれるし、そのパスワードが正しいかどうかを確かめないとユーザーにまとも(に見える)レスポンスを返すことができない。そのためにパスワードを受け取ったらすぐにそのパスワードでアマゾンにログインを試みるのが最も簡単で確実な手段なのに、そうしない理由がない。
搾取しずらい
以前見た説明では、一度「パスワードが間違ってます」エラーを返すんだそうな。入力ミスと思って再度入力してくれて、そのときは目的サイト(この場合はアマゾン)に遷移する。
あるある。だからフィッシングサイトで遊ぶ時はまず最初にわざと適当な文字をidとpass欄に突っ込んでログインボタンを押して遊ぶ
「辛い」に「すらい」とルビを振るタイプの人なんですよ、きっと。
パスワードも搾りとるように日常的に窃取してるんですかね、そうすると。
#4529937 です。
窃取が正しいですね。これはお恥ずかしい。すみません
フィッシング詐欺をしないで二段階認証を突破したのなら分かるけど、それはフィッシング詐欺にあっただけなのでは?
二段階認証にしていればフィッシングのリンクを踏んでも安心と思っていたバカが過剰に騒いでいるだけだな
要するにドメインを確認せずにニセURLのサイトにパスワード突っ込みましたとそんなの大昔から抜かれて当然だと思うが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
実際は違うんだろうな (スコア:0)
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、
被害はもっととんでもないことになってるはず。
実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
本当に二段階認証を突破されている (スコア:0)
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、
被害はもっととんでもないことになってるはず。
実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
仕組みはこう
利用者 → 偽のサイトにユーザーがアクセス → アマゾン側へアクセス
利用者 ← 偽のサイト がパスワード要求
利用者 ← アマゾン側
利用者 → 偽のサイトにユーザーがアクセス → アマゾンにアクセス成功
詐欺サイトがリアルタイムにレスポンスを返してくれば正規と気づかずに情報が抜かれる
銀行でも同様
“リアルタイム型フィッシング詐欺“で700万円以上の被害事例も!? 被害額の増加に警察庁・金融庁も注意喚起
https://internet.watch.impress.co.jp/docs/column/dlis/1531314.html [impress.co.jp]
Re: (スコア:0)
「詐欺サイトがリアルタイムにレスポンスを返してくれば」
をろくに説明できてない図のせいで何が言いたいのかわからん
Re: (スコア:0)
偽サイト、かどうか知らんけど攻撃者の仕組みがamazonへのプロキシサーバーになってればいいんじゃない
Re: (スコア:0)
これを見て「プロキシサーバーになってる」と受け取れるのはエスパーだよ。
二行目ではアマゾンからはパスワード要求していないのに偽サイトからはユーザーにパスワードを要求しているように見えるが、実際にはアマゾンから偽サイトへのパスワード要求をユーザーに中継しているはず。
三行目に至ってはアマゾンからユーザーに矢印が伸びているが、何を送信しているのか一切説明がないため完全に意味不明。
Re: (スコア:0)
スマホの数字が移り変わっていくOTPなら有効期限がスマホに表示されてから90秒だかだからプロキシ先との連携しないとやりずらいけど
パスワードはただちに中継しない搾取をしてもただちに中継する搾取をしてもいいと思えます。
間違ってたらすまない
Re: (スコア:0)
偽サイトはパスワードを受け取ったら直ちにレスポンスを返さないとユーザーに怪しまれるし、
そのパスワードが正しいかどうかを確かめないとユーザーにまとも(に見える)レスポンスを返すことができない。
そのためにパスワードを受け取ったらすぐにそのパスワードでアマゾンにログインを試みるのが最も簡単で確実な手段なのに、そうしない理由がない。
Re: (スコア:0)
搾取しずらい
Re: (スコア:0)
以前見た説明では、一度「パスワードが間違ってます」エラーを返すんだそうな。
入力ミスと思って再度入力してくれて、そのときは目的サイト(この場合はアマゾン)に遷移する。
Re: (スコア:0)
あるある。
だからフィッシングサイトで遊ぶ時はまず最初にわざと適当な文字をidとpass欄に突っ込んでログインボタンを押して遊ぶ
Re: (スコア:0)
「辛い」に「すらい」とルビを振るタイプの人なんですよ、きっと。
Re: (スコア:0)
パスワードも搾りとるように日常的に窃取してるんですかね、そうすると。
Re: (スコア:0)
#4529937 です。
窃取が正しいですね。これはお恥ずかしい。すみません
Re: (スコア:0)
フィッシング詐欺をしないで二段階認証を突破したのなら分かるけど、
それはフィッシング詐欺にあっただけなのでは?
Re: (スコア:0)
二段階認証にしていればフィッシングのリンクを踏んでも安心と思っていたバカが過剰に騒いでいるだけだな
Re: (スコア:0)
要するにドメインを確認せずにニセURLのサイトにパスワード突っ込みましたと
そんなの大昔から抜かれて当然だと思うが。