巧妙な手口で「二要素認証」を突破、ネットバンキングの「ワンタイムパスワード」を狙う偽サイトに注意

巧妙な手口で「二要素認証」を突破、ネットバンキングの「ワンタイムパスワード」を狙う偽サイトに注意

 近年、国内におけるネットバンキングをかたったサイバー攻撃において、メールやSMSで通知されるワンタイムパスワードなどの二要素認証(二段階認証などとも呼ばれます)を狙う偽サイト(フィッシングサイト)を確認しています。これらの攻撃は、特にネットバンキングの仕組みを調べた上で巧妙な手口で、二要素認証を突破し、金銭の窃取を狙っていると考えられます。

 これらの二要素認証を狙う偽サイトでは、偽メールや偽SMSから誘導された偽サイト上でネットバンキングのIDとパスワードを入力すると、正規のネットバンキングからスマホに届いたワンタイムパスワードを入力するよう求めます。

 しかし、利用者が入力しているのは偽サイトで、実際にはサイバー犯罪者が偽サイトに最初にユーザーが入力したIDとパスワードを用いて正規サイトにログインしたことで、正規サイトからユーザーにワンタイムパスワードが発行されます。利用者が受信したワンタイムパスワードを偽サイトに入力することで、二要素認証が突破されてしまう巧妙な手口です。

 これらの偽サイトは、HTTPSサイトもあるため、アドレスバーに鍵のマークが表示されているからと安心してはいけません。また、日本のドメイン名である「.jp」を使用しているサイトも確認されています。HTTPSに対応していること、「.jp」を使用することで、利用者に本物だと信じ込ませるための偽装をしています。同様の手法でワンタイムパスワードを破る偽サイトは、ネットバンキングだけでなく、携帯電話事業者のウェブサービスなどでも見られているため、注意が必要です。

 ネット利用者はこれまで以上に、最新の詐欺の手口を知り、不審なメッセージに注意していく必要があります。SMSやメールを受信した場合には、本文に含まれているURLは正規のサイトであるかを確認することが大切です。また、いつもと異なるタイミングで、ネットバンキングのアカウント情報を求められたり、ログインを促すことがあった場合は、立ち止まって自分が閲覧しているサイトが正規のサイトか必ず確認してください。不審なサイトやメッセージによる脅威のリスクを下げるためにも、セキュリティソフトやアプリを利用することも有効です。また、ネットバンキングのように普段から使用する重要なサイトについてはブックマークに登録し、ブックマークからのみアクセスする心がけも被害の予防に繋がります。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏