「リアルタイムフィッシング詐欺」の発生を確認したと、注意喚起のメールが某社から届きました。
まずこういう場合に絶対に注意すべきことは、このメール内のリンクを絶対にクリックしないことですよね。
「注意しろと言うヤツほど怪しい」 ドン・コルレオーネの言葉ですうそ。
これまでその社のサイトにログインする際には、「二段階認証」が求められていました。
ID・パスワードを入力するとメールが届き、その中の認証コード(絵を2つ)を見て、サイトに入力します。
これなら安全確実に思えますが、最初の画面がフィッシングサイトなら、安全性が根底から覆ります。
攻撃者は正規サイトを立ち上げ、コチラが入力する内容を正規サイトのログイン画面に入力しているわけです。
こちらが認証コードを入れると、それを見て、攻撃者は正規サイトにアクセスする。これでログインできます。
あらためて件のサイトにアクセスしてみると、もはや従来の二段階認証ではログインできなくなっていました。
登録した電話から指定した番号へ電話をしなければなりません。電話がつながった時点で、認証完了です。
では、「三段階目」として電話による認証を追加すれば、フィッシングは完全に防げるかといえば、違います。
発信者番号を偽る発信は技術的に可能だし、番号の乗っ取りもあり得ます。ハッカー組織なら朝飯前でしょう。
どんな対策も結局、いたちごっこなんですよね。認証を何段階重ねても、いつかは破られます。
で結局、考えられる対策は次の2つにつきると思います。
(1)SMSやメールのリンクからは入らず、必ずブラウザのブックマークからログインする ← やってます
(2)ログインパスワードはたびたび変える。違和感を感じたらすぐ変える ← できてないです
(写真は、日本クレジット協会のサイトの警告画面)
コメント