相次ぐ証券口座乗っ取り 被害者のパソコン解析で分かったこと | NHK | WEB特集

証券口座を乗っ取られ、株を勝手に売買される被害が急増している。 不正な取り引きによる売買はこの4か月で3000億円を超えた。 なぜ被害が拡大しているのか。 NHKは今回デジタル調査を行う会社と共同で、「デジタルフォレンジック」という技術を使って被害者のパソコンを解析。 そこから見えてきたのは、従来のパスワードだけでは、資産を守ることが難しくなってきている実態だった。

[mizukemuri]

『インフォスティーラーについては情報を盗んだ後に証拠を隠滅するために、自分自身を削除したり、痕跡を消したりする機能があるものも存在していて気づくことが非常に難しくなっている』▼被害者を情弱と笑うのは…

[clapon]

「フィッシング詐欺に引っかかるのは情弱」という慢心は危険だと思うなあ。情強を自認していても明日は我が身と考えて気を引き締めたほうがいい。

[newforms]

本家のURLのハイパーリンクに偽URLを設定して、リンク先は本家そっくりサイトにして、2FAはリアルタイムフィッシングで突破。こんなの親世代に理解してもらえる自信はない😭

[kenjou]

認証を自分でリクエストしたとき以外はメールのリンクは踏まないようにしている。最近はフィッシングメールが大量に来るので、油断していると誤って踏みかねない。

[diabah_blue]

「届いたメールの文中のURLをクリックしてはいけない」と報道してくれないかなあ。クリックしていいのはアカウント作成時のメールアドレス死活確認メール内のURLだけ。 / インフォスティーラーにも注意。

[monakato]

解析結果はフィッシング詐欺に引っ掛かったというもの。フィッシング詐欺以外の手口が気になるんだけど、今のところ被害者は全員フィッシング詐欺に引っ掛かる情弱ってこと？

[kotaponx]

標的型攻撃は巧妙化してるので、結構気をつけててもやられる可能性はあるよね。自分だけは大丈夫っていう過信はやめたほうがいい。システム的にMFAや生体認証などの対策は必須。

[crimsonstarroad]

これよね。“届いたメールのURLをクリックして、表示されたサイトでログインすることは厳禁だ。個人情報は、ブックマークした公式サイトやスマホの公式アプリを別に立ち上げて、そこから入力するようにしよう。”

[ka-ka_xyz]

この記事のようにブラウザ履歴にフィッシングサイトへのアクセスが残ってた（利用者の責である）場合、補償どうなるんじゃろ……あと「多要素認証を設定すればとりあえず安心」みたいな書き方は現状かなり危うい

[Fushihara]

一昔はHTMLメールのリンクは踏まない！って意識してたけど、もうどれがhtmlメールでどれがプレーンテキストなのかUI的に区別出来なくなっちゃったからなぁ。ローカルの秀丸メールは区別出来るけど

[vbcom]

Rsa token使えよ

[notepc-5522]

PCにもスマホのような「顔認証」みたいなシステムを作らないといけない時代になってる気がする。

[CavalleriaRusticana]

　来てたな。ソッコー捨てたけど。

[ytRino]

"日本は言語の複雑さのおかげで守られていて、以前のフィッシング作成用のソフトでは独特の表現が再現できませんでした。それが生成AIの登場で状況が変わり、日本のセキュリティー意識の問題も相まって"

[minamishinji]

これまでの対策だとダメだということだなぁ。「ログインは公式アプリ」が正解で必ず守るべき内容な気がする。

[kz78]

"ふだんから不審なメールやパスワードの管理には気をつけていて、なぜ被害にあったのか、心当たりはない"→解析したら偽メール踏んでました、というのは事実としても慈悲が無い…。

[shukaido170]

こういうの、WindowsDefenderのフィッシング対策機能でなんとかならないんかな。自分は他のソフト使ってるから警告出るけど。

[mako_cheng]

結局のところフィッシングメールに反応したことだけが原因のようですね。リテラシー低すぎる馬鹿ですね。馬鹿はネットを使わないほうがいい

[xtm77]

forensicした?外見でfishingだ、対策DMARCを提供するメールサービスに変更するApple,MSメールが無難、fishing不正サイトを開いてもブロックするVPN接続、商用ならカスペルやMSで対策、後進国以下の無知国民は被害に合う自業自得だ

[georgew]

多要素認証を導入しても、リアルタイムでフィッシング詐欺の指示にしたがって情報をすべて入力してしまうと、そのまま口座を乗っ取られる可能性はある > 結局はphishing対策に行き着く。

[namisk]

1Passwordが反応しないことで偽サイトには気が付けると思ってるけど、変なサイト開いてインフォスティーラー感染したら怖いからやっぱりメールのURLは開かないのが賢いか。

[y-Aki]

巧妙なフィッシングメールが多数飛んでるんだよね。対策のための処置さえターゲットになってるし

[retronics]

メーラーにフィッシング判別機能ってないのかね？

[shiju_kago]

牧歌的な時代に生まれたメールというシステムを抜本的に改装できないとどうにもなあ

[washi-mizok]

chromeとedgeに登録したidパスワードはフィッシングサイトに流し込まれませんよね

[ytn]

個人で防衛はかなり厳しいだろ

[shinji]

"私は日本語が分かりませんが、そんな私でもAIを使えば簡単に、完璧な日本語で偽のフィッシングサイトを作ることができます。日本は攻撃者にとって魅力的な市場で、金もうけはあまりにも簡単です"怪しい日本語なしか

[quality1]

アクセスはiOSのみ、パスワードは使い回しなく複雑にしてiOSに保存する、手動入力しない、かなあ。デイトレするわけじゃないし。

[theta]

html メールは間違いの元なので観たくないのだが、スマホ標準のメールソフトが対応してないからなあ……

[wKvSZGWf]

クレカの利用料金お知らせメールの中のURLはうっかり踏んでしまうんだよねえ。気を付けよう。

[momonga_dash]

フィッシングはシステム的な対策が難しいよね。ユーザ側のリテラシーに大きく依存する

[pseudomeme]

「メールのリンクを踏めはすべて詐欺です！」

[TakayukiN627]

手口はフィッシングとインフォスティーラー

[rgfx]

ここまで横行するとGmailとか文中のリンクをすべて無効化してきそう。htmlメールをアリにしたのがすべての間違いだった。(1 click unsubscribeとか牧歌的だったなと振り返るまなざし)

[kikai-taro]

決定打ではないけど、正式メールにはユーザ自身が設定できるレターヘッド文字列を必ず入れるようにするだけで識別が楽になるかも。本文先頭に「(#^.^#)( ｀ー´)ノ」が表示されてれば正規メール、とかｗ

[pptppc2]

企業からURLクリックしてなんかして下さい系メールは、メールに記載してあるURLは踏まずに、企業サイトを別途開いてからやった方がいいよね。メールでわざわざ催促するような案件がサイトトップに無いわけない（はず…

[daishi_n]

パスワード管理アプリは正しいサイトに限りパスワードを入力するので、パスワード補完できない場合はコピペしそうになるのを焦らないことしかないのよね。それでも有用なツール

[Falky]

被害者はみんなフィッシングになんて引っかかってないと言うけど、ぶっちゃけ引っかかってますよという。まあそりゃそうなんだよね。大規模に実行可能で最もシンプルなやり口なんだから。

[pwatermark]

「情弱とか煽ってる奴によく効く」フィッシングの手法がとっくに確立されてるんだが、知ってて言ってんのかな？

[mayumayu_nimolove]

セキュリティ系のソフトってもう役立たずなのかな。老人ができることって金出して防ぐしかないような気がする。