暗号資産取引所大手のCoinbase
顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生
2021/3月~5月にかけ、何者かがCoinbase顧客のアカウントに不正侵入して暗号通貨を盗み出していた
攻撃者はまずフィッシング詐欺などの手口を使い、顧客がCoinbaseのアカウントに登録したメールアドレスやパスワード、電話番号などの情報を事前に入手していたと思われる
BleepingComputerの記事
それでも多要素認証を設定していれば、アカウントへの不正侵入は食い止められるはず
しかしCoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があったことが判明
攻撃者はこの問題を突いてSMSの2要素認証トークンを入手
顧客の暗号通貨を盗み出していた。
多要素認証破りに使われるのは脆弱性を突く手口ばかりとは限らない
セキュリティ企業のIntel 471によると
アンダーグラウンドのサイバー犯罪集団は詐欺グループ向けに、狙った相手のワンタイムパスワードを傍受できる、とうたうサービスを展開していると
そうしたサービスは、例えば銀行からの正規の電話を装って被害者をだまし
ワンタイムパスワードなどの認証コードを入力するよう仕向ける作業をbotが代行する
詐欺グループは被害者が入力した認証コードを傍受できるという仕組み
標的は銀行だけでなく、PayPalやApple Pay、Google Payといった決済サービス
さらにはFacebook、Instagram、Snapchatといった大手SNSのアカウントも・・・
Intel 471が発見したサービスは2021/6から稼働していて、いずれもメッセージングアプリTelegramのbot経由で運用されていた
専用のTelegramチャネルでは
被害者の口座から$数千を盗んだといった会話が交わされていたと・・・
セキュリティジャーナリストのブライアン・クレブス氏が運営するKrebs on Security
この手のワンタイムパスワード詐取は
詐欺グループが事前に被害者のアカウントのIDやパスワードを入手していることを前提とすると・・・
Coinbaseの場合、9月の時点で顧客をだましてIDとパスワードを入力させようとするフィッシング詐欺が横行しているとして
公式ブログで注意を呼びかけていた
主にイタリアの顧客を狙ったフィッシング詐欺サイトを発見・調査したセキュリティ企業Hold Security
このサイトでは閉鎖されるまでに少なくとも870件の認証情報が盗まれていたと思われる
Coinbaseの公式サイトを偽装したこのサイトは
被害者がだまされて認証情報を入力するたびに、詐欺グループ側の管理画面に通知が出る
そこで管理者が”情報送信ボタン”をクリックすると
被害者に対して氏名や生年月日、住所などの個人情報の入力を促す画面を表示する
”認証SMS送信”ボタンをクリックすると
被害者の端末の認証アプリが生成したワンタイムパスワードを入力させる画面を表示する仕組みだった
それでも多くのユーザーは、自分は詐欺サイトにだまされたりはしないと思うかもしれない
しかし個人情報はいつ、どこで流出しているか分からない
闇サイトではそうした情報が大量に売買されている
Intel 471
「SMSや電話を使ったOTP(ワンタイムパスワード)サービスは、何もないよりはましだが、犯罪集団は相手をだまして安全対策をかわす手段を見つけている」
クレブス氏
「SMSベースのワンタイムコードや、アプリで生成されるOTPトークンなど、傍受や偽装が可能な多要素認証手段へとユーザーを誘導するWebサイトやサービスがあまりに多い」
多要素認証とは本来、ユーザーが知るパスワードなどの”知識情報”と
スマートフォンなどの””所持情報”、指紋などの”生体情報”の3要素のうち2要素以上を組み合わせる認証を指す
ところが実際には、同じ知識情報(パスワードとワンタイムコード)を
同じチャネル(Webブラウザ)経由で入力させるサービスも多いと
Intel 471
「2要素認証の形態としては、認証アプリで生成する時間ベースのワンタイムパスワード(TOTP)コードやプッシュ通知ベースのコード、FIDOセキュリティキーなどの方が確実性は高い」
・・・こんな商売が・・・
まあ、どれも疑いを持ち
常に基本を押さえてれば・・・
まあ、ネットを使わないのが確実なんだけど
今日は~
マスデバリア ピンクガール/Masdevallia Pink Girl
11月初め開花
やっぱハデ
でもイヤ味はない
1輪だけ・・・・しょぼ
0 件のコメント:
コメントを投稿