2020年10月13日に一部報道でauじぶん銀行の「スマホATM」という機能がフィッシング被害にあい、現金を不正に引き出される事件の容疑者が逮捕されました。報道およびauじぶん銀行のリリースを元に、このフィッシングの手口を再現してみます。この事件からもわかるように、フィッシングに対しては2要素認証に対する過度の期待は禁物であり、利用者側としてSMSやメールで送信されるURLにはアクセスしない、アクセスしてもパスワード等を入力しないという自衛策が求められます。 本日お伝えしたいこと ・じぶん銀行アプリのスマホATMによる不正出金の手口を再現します(一部推測) ・中継型フィッシングによるなりすましは、二要素認証を突破できることを紹介します 参考情報 ・銀行アプリ悪用 42万円窃盗疑い 福岡県警、中国籍の男逮捕|【西日本新聞ニュース】 http://web.archive.org/web/2
![auじぶん銀行アプリに対する中継型フィッシングで二要素認証を突破する - YouTube](https://cdn-ak-scissors.b.st-hatena.com/image/square/7144fc3ea40e33e22c3cb78efb234164f9906c72/height=288;version=1;width=512/https%3A%2F%2Fi.ytimg.com%2Fvi%2FXa0K9eooaCw%2Fhqdefault.jpg)