アカウント名:
パスワード:
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、被害はもっととんでもないことになってるはず。実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
仕組みはこう利用者 → 偽のサイトにユーザーがアクセス → アマゾン側へアクセス利用者 ← 偽のサイト がパスワード要求利用者 ← アマゾン側利用者 → 偽のサイトにユーザーがアクセス → アマゾンにアクセス成功
詐欺サイトがリアルタイムにレスポンスを
「詐欺サイトがリアルタイムにレスポンスを返してくれば」をろくに説明できてない図のせいで何が言いたいのかわからん
偽サイト、かどうか知らんけど攻撃者の仕組みがamazonへのプロキシサーバーになってればいいんじゃない
これを見て「プロキシサーバーになってる」と受け取れるのはエスパーだよ。
二行目ではアマゾンからはパスワード要求していないのに偽サイトからはユーザーにパスワードを要求しているように見えるが、実際にはアマゾンから偽サイトへのパスワード要求をユーザーに中継しているはず。三行目に至ってはアマゾンからユーザーに矢印が伸びているが、何を送信しているのか一切説明がないため完全に意味不明。
スマホの数字が移り変わっていくOTPなら有効期限がスマホに表示されてから90秒だかだからプロキシ先との連携しないとやりずらいけどパスワードはただちに中継しない搾取をしてもただちに中継する搾取をしてもいいと思えます。間違ってたらすまない
偽サイトはパスワードを受け取ったら直ちにレスポンスを返さないとユーザーに怪しまれるし、そのパスワードが正しいかどうかを確かめないとユーザーにまとも(に見える)レスポンスを返すことができない。そのためにパスワードを受け取ったらすぐにそのパスワードでアマゾンにログインを試みるのが最も簡単で確実な手段なのに、そうしない理由がない。
搾取しずらい
以前見た説明では、一度「パスワードが間違ってます」エラーを返すんだそうな。入力ミスと思って再度入力してくれて、そのときは目的サイト(この場合はアマゾン)に遷移する。
あるある。だからフィッシングサイトで遊ぶ時はまず最初にわざと適当な文字をidとpass欄に突っ込んでログインボタンを押して遊ぶ
「辛い」に「すらい」とルビを振るタイプの人なんですよ、きっと。
パスワードも搾りとるように日常的に窃取してるんですかね、そうすると。
#4529937 です。
窃取が正しいですね。これはお恥ずかしい。すみません
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
実際は違うんだろうな (スコア:0)
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、
被害はもっととんでもないことになってるはず。
実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
本当に二段階認証を突破されている (スコア:0)
本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、
被害はもっととんでもないことになってるはず。
実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。
仕組みはこう
利用者 → 偽のサイトにユーザーがアクセス → アマゾン側へアクセス
利用者 ← 偽のサイト がパスワード要求
利用者 ← アマゾン側
利用者 → 偽のサイトにユーザーがアクセス → アマゾンにアクセス成功
詐欺サイトがリアルタイムにレスポンスを
Re: (スコア:0)
「詐欺サイトがリアルタイムにレスポンスを返してくれば」
をろくに説明できてない図のせいで何が言いたいのかわからん
Re: (スコア:0)
偽サイト、かどうか知らんけど攻撃者の仕組みがamazonへのプロキシサーバーになってればいいんじゃない
Re:本当に二段階認証を突破されている (スコア:0)
これを見て「プロキシサーバーになってる」と受け取れるのはエスパーだよ。
二行目ではアマゾンからはパスワード要求していないのに偽サイトからはユーザーにパスワードを要求しているように見えるが、実際にはアマゾンから偽サイトへのパスワード要求をユーザーに中継しているはず。
三行目に至ってはアマゾンからユーザーに矢印が伸びているが、何を送信しているのか一切説明がないため完全に意味不明。
Re: (スコア:0)
スマホの数字が移り変わっていくOTPなら有効期限がスマホに表示されてから90秒だかだからプロキシ先との連携しないとやりずらいけど
パスワードはただちに中継しない搾取をしてもただちに中継する搾取をしてもいいと思えます。
間違ってたらすまない
Re: (スコア:0)
偽サイトはパスワードを受け取ったら直ちにレスポンスを返さないとユーザーに怪しまれるし、
そのパスワードが正しいかどうかを確かめないとユーザーにまとも(に見える)レスポンスを返すことができない。
そのためにパスワードを受け取ったらすぐにそのパスワードでアマゾンにログインを試みるのが最も簡単で確実な手段なのに、そうしない理由がない。
Re: (スコア:0)
搾取しずらい
Re: (スコア:0)
以前見た説明では、一度「パスワードが間違ってます」エラーを返すんだそうな。
入力ミスと思って再度入力してくれて、そのときは目的サイト(この場合はアマゾン)に遷移する。
Re: (スコア:0)
あるある。
だからフィッシングサイトで遊ぶ時はまず最初にわざと適当な文字をidとpass欄に突っ込んでログインボタンを押して遊ぶ
Re: (スコア:0)
「辛い」に「すらい」とルビを振るタイプの人なんですよ、きっと。
Re: (スコア:0)
パスワードも搾りとるように日常的に窃取してるんですかね、そうすると。
Re: (スコア:0)
#4529937 です。
窃取が正しいですね。これはお恥ずかしい。すみません