ワンタイム・パスワードでは防げない“中間者攻撃フィッシング”が出現
米SANS InstituteやフィンランドF-Secureは現地時間7月12日,米Citibankをかたる「中間者攻撃(man-in-the-middle attack)」タイプのフィッシング詐欺が確認されたことを明らかにした。ワンタイム・パスワードなどの2要素(2因子)認証を使っていても防げないことが特徴。偽サイトは既に閉鎖されている。 中間者攻撃とは,正規の通信の間に“割り込んで”,通信の当事者には気付かれないように通信内容を盗んだり改ざんしたりする攻撃手法。今回のフィッシングでは,ユーザーと正規のWebサイト(Citibankのサイト)の間に割り込む。ユーザーに対しては,攻撃者が構築した偽サイトをCitibankのサイトと思わせ,Citibankのサイトに対しては,偽サイトを同社サービスのユーザーに見せかける。 具体的にはまず,ユーザーに偽メールを送って,偽のログイン・サイトへ誘導
AIST RCIS: 安全なWebサイト利用の鉄則 / サイト運営者の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 サイト運営者は、利用者をフィッシングの手口から守るため、以下の要件を満たすようサイトを設計、実装、運営するべきです。 アドレスバーやステータスバーを隠さない 利用者の鉄則に示したように、利用者はアドレスバーを頼りに、見ている画面が本物かどうかを判別します。本物サイトがアドレスバーを隠す設計になっていると、そのサイトの利用者は、普段からアドレスバーを確認せずにパスワード等を入力する悪習を身に着けてしまい、フィッシングに騙されやすくなってしまいます。 同様に、ステータスバーは南京錠アイコン等を表示する重要な場所ですから、隠さないようにします。 入力ページを https:// にする
変なメールが来たが放置することにした - hoshikuzu | star_dust の書斎
なお、私は今までの人生でカード決済をしたことがありませんし、当該カードを保有しておりません。放置したいと思います。以下、メールの内容。 お客様のSaison Card口座から、5781で終わるお客様の銀行口座へのご請求は送信され、現在処理段階です。 これはリアルタイム・トランザクションで、引き落としや振り込みが直ちにお客様の口座に反映されます。 午後6時前に手続きされた場合、同営業日に電信為替が送金されます。 この処理が完了するまで通常6〜8時間を要しますが、お客様の口座設定によることがございますので、ご了承ください。 この送金の変更や取り消しに関しましては、こちらをご覧ください:http://www.saisoncard.co.jp.netanswerplus.us/cgi-bin/welcomeSRS.pl?client_id=●●●●&session_id=●●●● お客様のご請求に
内閣府ウェブサイトの常時暗号化による「https:」への切り替え - 内閣府
内閣府ウェブサイトの常時暗号化による「https:」への切り替え Always on TLS of Cabinet Office Website 2019(令和元)年11月更新 Update,November,2019 内閣府ウェブサイトは、2018年11月29日より、常時暗号化通信(TLS1.2)となり、URLが以下のとおり、「https:」に変更となりました。※ ブックマーク機能等に「http:」で始まるURLを登録している場合や、リンクを貼っている場合等は、「https:」から始まるURLに切り替えていただきますよう、お願いいたします。 ※参考:2018年11月から2019年10月までは、httpによる接続を可能とする自動遷移の経過措置をとっておりました。 内閣府ホームページ(https://www.cao.go.jp/) 内閣府共通検索システム Cabinet Office has
In Session Phishing
(Last Updated On: 2009年1月28日)In Session Phishingという興味深いアドバイザリが公開されています。 具体的な記載はありませんが、現在広く利用されているInternet Explorer, Firefox, Safari, ChromeでJavaScriptを利用するとユーザが特定のサイトにログインしていたか判別できるようです。 Recently Trusteer CTO Amit Klein and his research group discovered a vulnerability in the JavaScript engine of all leading browsers – Internet Explorer, Firefox, Safari, and Chrome – which allows a website to chec
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
フィッシング対策ガイドライン
フィッシング対策ガイドライン 2008 年度版 平成 20 年 9 月 フィッシング対策協議会 http://www.antiphishing.jp/ V1.01 Anti Phishing Guideline 2008 序 フィッシング対策は消費者向けの対策とサービス事業者向けの対策が考えられる。 フィッ シング対策協議会では、消費者のための対策事項として『被害にあわないための5カ条 1 』 を策定し、提供してきた。金融機関(オンラインバンキング) 、インターネットショッピン グ、 インターネットオークション等の登録会員制Webサイトを運営するサービス事業者及び 情報セキュリティ関連団体等も、 消費者に対してフィッシング詐欺に関する注意喚起ととも に被害を避けるための対策方法を発信している。 これらの対策事項を集約し、 消費者が被害 にあってしまった場合に行うべき対応を、一般性
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
高木浩光@自宅の日記 - PayPalフィッシングにひっかかりそうになった
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
イーバンク銀行の偽サイトが出現
関連記事 Hotmailの偽サイトが開設 Webメールサービス「Windows Live Hotmail」の偽サイトが開設されているとシンセキュアが発表した。12日時点で海外の偽サイトを5件確認しているという。 国内有名サイトの偽サイトが横行――JPCERT/CCが注意を呼びかけ JPCERT/CCは、1月下旬から国内の有名サイトに似せたフィッシングサイトが急増しているとして、インターネット利用者に注意を呼びかけた。 「Gooogle」に要注意、偽の検索でマルウェアサイトに誘導 Googleに見せかけた偽のサイトで検索すると、マルウェアのインストールを促される。 電話とメールで暗証番号を詐取、新手のフィッシング登場 金融機関の注意喚起を装ったメールでユーザーをだまして電話をかけさせ、暗証番号をだまし取る手口が見つかった。 Trend Microかたる偽広告、Google検索で表示 Goog
Italian Bank's XSS Opportunity Seized by Fraudsters | Netcraft
An extremely convincing phishing attack is using a cross-site scripting vulnerability on an Italian Bank’s own website to attempt to steal customers’ bank account details. Fraudsters are currently sending phishing mails which use a specially-crafted URL to inject a modified login form onto the bank’s login page. The vulnerable page is served over SSL with a bona fide SSL certificate issued to Banc
第4回 偽サイトを見破る(1):ブラウザーのアドレスバーや鍵マークを確認
偽サイトにアクセスしてしまった場合でも慌てることはない。個人情報を入力しなければ、被害を避けられる。偽サイトを見破るポイントは、Webブラウザーのアドレスバーや「鍵マーク」を確認すること。基本的なセキュリティ対策も忘れないように(図1)。 図1●偽サイトにだまされないポイント アドレスバーに表示されているアドレス(URL)を確認することが第一。個人情報を入力するWebページでは、鍵マークなどが表示されていることをチェックして、SSLが使われていることを確認する。利用しているソフトウエアのぜい弱性の解消や、ウイルス対策の実施といった基本的なセキュリティ対策を施すことも重要だ。 アドレスで一目瞭然 Webページの見た目から偽サイトかどうかを判断するのは難しい。本物のサイトに置かれているHTMLファイルや画像ファイルをそのままコピーして使っているからだ。 しかし、Webサイトの「住所」に当たるア
高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記
■ 緑シグナルが点灯しないのに誰も気にしていない?という不思議 フィッシング対策ソフトの導入動向 最近、金融機関が「PhishWall」や「PhishCut」を導入したというニュースをよく見かけるなあと思っていたら、どうやら、金融庁の監督指針の今年の改定でフィッシング対策について明記されたことが関係しているらしい。 主要行等向けの総合的な監督指針(平成19年6月版), 中小・地域金融機関向けの総合的な監督指針(平成19年8月版), 金融庁 III-3-7 インターネットバンキング III-3-7-2 主な着眼点 (2) セキュリティの確保 ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じている
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
springreen.jp - このウェブサイトは販売用です! - セミナー 勉強会 スマフォ スマホ アプリ 講座 工房 サンプル リソースおよび情報
Trusteer Solutions | IBM
PC
PayPal、詐欺防止技術を持つイスラエルのFraud Sciencesを買収
Japannetbank.com
はてなブログ | 無料ブログを作成しよう
横浜国立大学 - 不正アクセスによる偽サイトの開設について