「インターネットバンキングの偽画面にご注意ください」について

通りすがり 2012/11/03(土) - 15:58

インターネットバンキングの偽画面にご注意くださいに関する投稿です。

>普通のウェブサイトからログインすると、次に偽の画面に代わり、秘密の暗唱番号とかを全部入力させる

クラッカーの立場にたって考えると、彼が必要なものは
- ID
- Password
- 乱数表(使ってる場合)
- 秘密の質問等
なので、そもそも最初のログイン画面からして偽物な可能性が大です(複数回ID/Passwordを入力させない限り)。
それを実行するには一番簡単なのは普通のPhishingサイト構築じゃないですかね。
ウィルスというより、何らかの危険なソフトウェア等でhostsファイル書き換えが行われる等の事が発生して、
正規のサイトにアクセスしているように見えるのに、実際にはクラッカーのサイトにアクセスさせられてる状態。
ウィルスでも出来ないことは無いですけど、Phishingサイトに比べるとはるかに面倒くさいとおもいます。

個人的防衛策としては、
- いつもと違う事が起こったら疑う
- サイト証明書関係警告等は絶対無視しない
しかないんですけどね。ただ後者は結構無視してる人が多いと思います。
例えば三菱東京UFJ銀行などのWebには、サーバが正しいものであることを確認する方法に関して書いてあります。
http://direct.bk.mufg.jp/info/0601_phishing/index.html
これだけでは完璧とは言いがたいですが、アクセス時のアドレスバーと証明書のチェックぐらいはしておいたほうがいいでしょう。
確認だけなら1minも掛かりませんし(笑

Kay 2012/11/03(土) - 18:30

そうですよねえ。ちゃんとチェックしないと。

ウェブサイトをうろうろしていたところ、200万円消滅した人もいるみたいな記事もあります。もし私がこっちからドルを円に変えて送った後にそんなところで消滅したら、むかつくー!

200万円インターネットだけで送れる設定というのもすごいですが。銀行も、もうちょっときびしくしてもらいたいところです。でも逆にあんまり厳しいと日本からこっちにお金を送金できなかったり。。。うーむ。

ポピー 2012/11/04(日) - 15:58

すごく手の込んだPhishingだと、ブラウザーに偽者アドレスバーも作っちゃうそうですね。

Carnegie Mellon大で、Anti-Phishing PhilっていうCyber Securityの教育的ゲームがあったんですが、商業化されちゃったのかな?

http://cups.cs.cmu.edu/antiphishing_phil/

コメントを追加

Image CAPTCHA
上に表示されている文字を入力してください。