「2段階認証」突破狙う詐欺サイトが急増 作成ツール出回る





その他の写真を見る(1/2枚)

 インターネット上で偽のウェブサイトに誘導し個人情報などを盗み取るフィッシング詐欺をめぐり、金融機関が本人確認強化のため導入している「2段階認証」が突破されるケースが増えている。詐欺サイト上で打ち込ませたIDやパスワードを正規の銀行サイトに入力、利用者のもとに届いた1回限り有効なパスワード(ワンタイムパスワード)を再び詐欺サイトに入力させ、盗み取る手口だ。2段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。

 フィッシング詐欺は現在、スマートフォンなどに金融機関や運送会社の不在通知などをかたって偽サイトに誘導するURL付きのショートメッセージサービス(SMS)を送り、偽サイトでIDやパスワードなどを入力させる手口が一般的となっている。

 被害を防ぐため金融機関側は、ネットバンキングなどを利用する人がサイトでIDやパスワードを入力した際、ワンタイムパスワードをSMSやメール、電話の音声案内を通じて送り、再度入力してもらう2段階の認証を取り入れ、本人確認強化を図っている。

 だが、情報セキュリティー会社「トレンドマイクロ」によると、昨年11月ごろから、ワンタイムパスワードを入力する項目がある2段階認証の突破を目的とした詐欺サイトが登場。金融機関を名乗り、「口座にリスクがある」などと利用者の不安をあおって偽サイトにアクセスさせた上、IDやパスワードを入力するとワンタイムパスワードの入力を要求してくる。

 この際、攻撃者側は利用者が入力したIDなどを正規の金融機関のサイトに入力。正規サイトから利用者にワンタイムパスワードが送られ、利用者はだまされていると知らずに偽サイトに発行されたワンタイムパスワードを入力してしまえば、口座にある現金は攻撃者に盗み取られてしまう。

 トレンドマイクロによると、今年1~8月に確認されたのは10~39件だったが9月には94件と急増し、10月も61件と高止まりの状態が続いている。

続きを読む



Source link