6月18日に「国民を詐欺から守るための総合対策」の報道で、「スマホ本人確認をマイナンバーカード一本化」という実際の施策とは異なるタイトルの話題が盛り上がった。5月には「偽造マイナンバーカード」を用いた「SIMスワップ」と呼ぶ手法で他人のスマートフォンの電話番号(SMS)を乗っ取り不正決済に利用される事件も話題になった。 「スマホ本人確認をマイナンバーカード一本化」報道のもとになった政府の「国民を詐欺から守るための総合対策」の概要では、赤線のように「マイナンバーカード“等”」となっている。後述するが、これはICチップを搭載する運転免許証や在留カードなども含む。「原則一本化」は法律上の本人確認方法が券面の提示のみという偽造に弱い状況を一新し、ICチップでの真贋確認を義務付けることを意味する 5月には偽造マイナカードを用いた「SIMスワップ詐欺」が話題になった。偽造の本人確認書類で他人のSIMカ
Google Chromeチームは5月2日(米国時間)、「Chromium Blog: An Update on the Lock Icon」において、2023年9月にリリースを予定している「Google Chrome 117」からアドレスバーにおける南京錠アイコンの表示を廃止すると伝えた。代わりに「調整」を意味するアイコンを表示すると説明している。 Chromium Blog: An Update on the Lock Icon アドレスバーの南京錠アイコンはWebブラウザがHTTPSで通信を行っていることを示すものとして導入された。通信の多くがHTTPで行われていた時代、傍受を防ぎやすいHTTPSが使われていることを示すために南京錠のアイコンが導入された。導入当初このアイコンは役割を果たしたが、現在この意味は失われはじめていると点をGoogleは指摘している。 Googleは次の2つ
万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
スーパーマーケットを展開するいなげやは11月9日、神奈川県の川崎土橋店と川崎下小田中店で、ネットスーパーの入会案内ポスター/チラシに記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生したと発表した。 問題は、10月27日~11月9日に発生。QRコードからサイトにアクセスした際、「netsuper.rakuten.co.jp」という文字と「OK」ボタンを含む画面や、「モバイルアクティベーション」と書かれた画面などが表示された場合は「予定した入会サイトではない」としてすぐに閉じよう案内している。 心当たりのあるユーザーにはクレジットカード会社に連絡するよう求めている。 いなげやは、楽天グループが提供するネットスーパーのインフラサービス「楽天全国スーパー」を活用してネットスーパーに参入。両店舗は11月20日にサービス
ドコモ口座による預金引き出しにはリバースブルートフォースが使われたのか(久保田博幸) - エキスパート - Yahoo!ニュース
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が拡がっている。七十七銀行だけでなく、中国銀、大垣共立銀でも新規登録を中止した。また、これらを加えて14の銀行で口座の新規登録を停止したとドコモは発表した。 今回の不正な預金引き出しには「ドコモ口座」が絡んでいた。こちらは不正引き出し先となる。こちらのからくりには、銀行口座を登録することによって本人確認が済んでしまうことで、不正に入手した銀行口座の情報だけで本人になりすましやすい仕組みとなっていたようである。 そしてもうひとつ不可解な点があった。不正に入手した銀行口座とあるが、いったいどのようにして銀行の口座番号、名義、4ケタの暗証番号を不正に入手できたのか。 これについては「リバースブルートフォース攻撃」を使ったのではないかとの指摘があった。しかし、現実にそのようなことは可能なのか。 被害が出ている銀行は限
米CDN(Content Delivery Network)大手のCloudflareは8月10日(現地時間)、米Twilioが7日に発表したものと同じ高度なソーシャルエンジニアリング攻撃を受けたが、日頃の備えが奏功し、すべて阻止したと発表した。 Twilioが攻撃されたのとほぼ同時期に、Cloudflareの多数の従業員に対する攻撃があった。3人の従業員がこれにだまされたが、自社製品「Cloudflare One」ですべてのアプリへのアクセスに物理的なセキュリティキー(ハードキー)による認証を義務付けていたため、攻撃を阻止できたとしている。 攻撃が始まったのは7月20日。セキュリティチームに対し、少なくとも76人の従業員が、個人用および仕事用のスマートフォンで不審なテキストメッセージを受け取ったと報告した。攻撃者がどのようにして従業員の電話番号リストを入手したかはまだ特定できていない。
その「私はロボットではありません」は本物? マルウェア感染狙う“偽CAPTCHA”出現 米Microsoftが注意喚起
Webサイトにログインしようとすると時折表示される「私はロボットではありません」の画面。不正アクセス防止を目的としたCAPTCHAの一種だが、この仕組みを偽装してユーザーのクリックを誘い、Windowsをマルウェアに感染させようとする手口が横行しているという。 「ClickFix」と呼ばれるこの手口では、普段利用しているサービスのログイン画面に見せかけた詐欺サイトにユーザーを誘導し、不正プログラムと人間のユーザーを見分ける目的で使用される「私はロボットではありません」を装うボタンを表示する。ユーザーがこのボタンをクリックすると、確認のためと称して次のようなキーボード操作を求められる。 (1)Windowsボタンと「R」を押す (2)「CTRL」と「V」を押す (3)「Enter」を押す (1)の手順ではWindowsの「ファイル名を指定して実行」のウィンドウを表示し(2)の手順で不正サイト
GitHub を狙った Reverse Proxy 型フィッシングサイトの探索と報告 - ぶるーたるごぶりん
GitHub の Reverse Proxy 型フィッシングサイトの発見と報告 こんにちは、でじこだにょ 今回は GitHub を狙った Reverse Proxy 型のフィッシングサイトを探していこうと思います。 (長いので、Reverse Proxy 型のことをプロキシ型と略しちゃいます) 結論から書くと、24件のフィッシングサイトを新規に発見して報告しました。 今回はそれらのフィッシングサイトの探し方のほか、フィッシングサイトの検出方法や、 セーフブラウジングなどの話をしつつ、 今回見つけたフィッシングドメインに対して、簡単ではありますが、調査と考察を行ってみたいと思います。 探そうとしたきっかけ 数日前、 Twitter を見ていたところ、こちらのツイートが流れてきました。 あっぶね GitHubだと思ったら全然違ったわ pic.twitter.com/SRtHUu3XDM— ./
関連キーワード サイバー攻撃 | フィッシング | セキュリティ メールに不正な添付ファイルを仕込んで標的に送る――。これはフィッシング攻撃の代表的な手口だ。だが「その手口はもう古い」と、セキュリティベンダーMimecastは説明する。同社によると、攻撃者はさまざまなクラウドサービスを悪用し、より巧妙な手口で標的から認証情報を奪っている。特にこれから気を付けなければならない、フィッシング攻撃の新しい“3つの手口”とは。 フィッシング攻撃の新たな「3つの手口」とは 併せて読みたいお薦め記事 フィッシング攻撃の動向と対策は 「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う? “ソースコード流出”のDropboxが強化するフィッシング対策は? Mimecastによると、フィッシングを目的に不正リンクを送信する攻撃活動は活発だ。近年、ユーザー組織は不正アクセスを防ぐため
クローキング 詐欺師は、偽サイトがブロックリストに追加されないようにするため、「クローキング(Cloaking)」手法を使用することがあります。クローキングとは、ユーザーや検索エンジンに対しそれぞれ異なるコンテンツや URL を表示する行為です。これにより、特定の条件がそろっている場合のみ偽サイトを表示させます。調査目的による偽サイトの接続を妨害している場合があります。 フィッシング詐欺の現状 フィッシング対策協議会, 「フィッシング詐欺のビジネスプロセス分類」を公開 (2021/03/16), https://www.antiphishing.jp/news/info/collabo_20210316.html 2003年にオーストラリアの銀行を装ったフィッシングメールが確認されています。2004年11月には初となる日本語のフィッシングサイトが確認されました(VISAカードの暗証番号を入
日本を狙ったフィッシングサイトの情報配信はじめました - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 3日目の記事です。 はじめに みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析業務をしています。 本記事では、日本を狙ったフィッシングサイトの情報配信をはじめたことについて紹介します。 セキュリティにおける情報配信について興味がある方、フィッシングについて興味がある方は、ぜひ最後まで読んでみてください。 NA4Secについて NA4Secは、「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指
問題です。 どちらが正規のサイトで、どちらが偽サイトでしょうか? 偽サイトに誘導し、IDやパスワードを盗んで預金をだまし取る「フィッシング詐欺」。 「見破るとか見分けるというのはまず無理」 サイバーセキュリティーの専門家はこう警鐘を鳴らしています。 ことし6月までの半年間の被害は去年1年間の2倍。 巧妙化する犯行グループの手口、そして私たちにできる対策を取材しました。 (社会部記者 安藤文音 田中開/札幌局記者 今江太一)
攻撃者はいかにしてフィッシングサイトを隠すか?(インターンシップ体験記) - NTT Communications Engineers' Blog
はじめに こんにちは、ドコモグループのサマーインターンシップ2023に参加した河井です。 普段は大学院で暗号理論の研究をしています。 この記事では、私がこのインターンシップで取り組んだことについて紹介します。 セキュリティ系インターンシップに興味のある人の参考になれば幸いです。 はじめに NA4Sec PJの紹介 インターンシップ概要 脅威検証:攻撃インフラの秘匿 セキュリティに関するクローキングとは サーバ側のクローキングの実装 IPアドレスによるクローキング RefererとUser-Agentによるクローキング 脅威検証:攻撃インフラの構築 OAuth 2.0のデバイス認可付与(RFC8628)とは 認可フローを悪用した攻撃 フィッシング攻撃の検証 おわりに 参考文献 NA4Sec PJの紹介 まずは、私がお世話になったNA4Sec PJについて紹介します。 正式にはNetwork
ユーザーをだますために人気の高いウェブサイトになりすますケースがありますが、これとマルバタイジングを組み合わせた攻撃が確認されています。攻撃者はオープンソースのパスワードマネージャーアプリであるKeePassの偽サイトを作成し、これをGoogle広告で配信していた模様です。 Clever malvertising attack uses Punycode to look like KeePass's official website https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website 悪意のある攻撃者は、特殊な文字エンコーディングであるPunycodeを使用して、KeePas
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 NTTセキュリティ・ジャパンに所属する研究者らが発表した論文「Detecting Phishing Sites Using ChatGPT」は、ChatGPTでフィッシングサイトを検出する手法を提案した研究報告である。 この手法では、Webサイトから情報を収集するためにWebクローラーを使用し、その収集したデータを元にプロンプトを作成する。プロンプトはChatGPTに提示され、ChatGPTは与えられたWebサイトがフィッシングサイトかどうかを判断する。 WebクローリングとChatGPTの組み合わせにより、Webサイトの正当性や怪しさに関する情報に基
定期ってつけてるぐらいいつも言ってることなのですが、公開鍵暗号方式にしたらフィッシング対策もできてすんばらしいみたいな表現には反対です。 何が課題なのかパスワード認証とフィッシング攻撃における課題はいくつかあります。 フィッシングサイトにパスワードそのものが盗まれ、それを使ってログインされてしまう (クレデンシャルスタッフィング) フィッシングサイトの中継により、ログインセッションが盗まれてしまう(MiTM, AiTM) OTP、TOTP、認証アプリなどの認証を追加してもやられてしまう 前者については明示的ですね。そもそもSMS OTPは認証イベントに紐づいていますし、TOTPは時間に紐づけられています。なので前者のような再利用の課題へは元から対策されているとも言えます。Webアプリケーションやネイティブアプリが正規なものに対してのみパスワードが入力されるような仕組みが必要とされていたわけ
スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。 ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。 「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。 個人情報をだまし取る 総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。 フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールか
2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口(ITmedia エンタープライズ) - Yahoo!ニュース
iOS 18世代ではこれまでキーチェーンとして提供されていた機能が「パスワード」アプリとして切り出される(出典:AppleのWebサイト) コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗(しつよう)に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。 Cloudflareが受けた攻撃のフロー。入力されたID/パスワードなど、フォームに入力された情報はリアルタイムに攻撃者に渡るため、TOTPベースのワンタイムパスワードも有効期限が切れる前に悪用できてしまう(出典:「The mech
パスキー対応における2つの段階と必要な機能
パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、 大人の階段と同じで やるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。 2つの段階 既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココ パスキーのみが利用可能 : 我々が望んでいる世界や! あとはその前の なんもしてない段階 です。 そんなに新しい話でもないでしょう。 段階を進めるために必要な対応
『詐欺メール』???? Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認という怪しいメールがきたので登録しました
おかしいな???? Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認という怪しい迷惑メールが届きました 迷惑メールの設定をしていますが相変わらず毎日のように架空請求業者から詐欺メールがたくさん届きウンザリしています。 今回はAmazon(アマゾン)を名乗る架空請求業者から『???? Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認』という 詐欺メールが来たので、実際にメールが来た時の対処方法と登録するとどうなるのか?実験してみました。 この実験は十分なウイルス対策をしてWindowsやLinux上でVMwareと言う仮想ドライブで別のOSを動かしてステアカウントを使い実験をしています。 Amazon (アマゾン)を名乗る迷惑メールの内容こちらがAmazon(アマゾン)を名乗る架空請求業者から届いた迷惑メ
This article explores a phishing technique that simulates a browser window within the browser to spoof a legitimate domain. Introduction For security professionals, the URL is usually the most trusted aspect of a domain. Yes there’s attacks like IDN Homograph and DNS Hijacking that may degrade the reliability of URLs but not to an extent that makes URLs unreliable. All of this eventually lead me t
エンジニアというITの専門家でありながら、小賢しいWeb系の詐欺に80%ぐらいはまって死にかけた話 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? みなさんこんにちは!記事を読んでくださりありがとうございます。 Qiitaには初投稿なので、簡単に自己紹介をさせてください。 自己紹介 ・カナダのバンクーバーでWeb/モバイルエンジニアとして働いています ・2024年7月に日本に帰国し、プロダクトオーナーに転身します ・大阪出身です 何が起こったかの概要 タイトルの通り、小賢しいWeb系の詐欺にはまって危うく銀行口座に侵入されかけました。カナダで起こった出来事ですが、日本でも似たようなことが起こり得る事例かと思ったので、よりたくさんの方に注意喚起ができればと思いこちらに投稿致しました。
経済産業省は11月18日、同省が過去に保有していた「コンテンツ緊急電子化事業」特設サイトのURLから、同事業と無関係なサイトへのリンクが張られているとして注意を呼び掛けた。アクセスすると、ウイルス感染などの恐れがあるとしている。 コンテンツ緊急電子化事業(緊デジ)は2011年度の事業で、既に終了している。特設サイトは「.jp」ドメインで作られ、14年に閉鎖されていた。 このドメインを第三者が取得し、緊デジのWebサイトのデザインを再現した上で、無関係なサイトへのリンクを貼り付けたようだ。 whoisによると、同ドメインは2021年に取得されており(有効期限は23年1月31日)、登録者名は「Darzev Metodi」、住所は東京・西新宿になっている。 関連記事 続出する公的機関の偽サイトに国が注意喚起 「必ずドメインを確認して」 内閣サイバーセキュリティセンターが、地方自治体などをかたる偽
2025年1月21日、京都府警は不正な手段を用いてクレジットカード情報を収集していた疑いがあるとして高校生を逮捕したと発表しました。高校生はフィッシングなどの情報を共有するTelegramのグループチャットに参加していました。ここでは関連する情報をまとめます。 有効性確認と偽りカード情報を取得 逮捕された高校生の容疑は不正アクセス禁止法違反と割賦販売法違反。2024年7月26日から8月11日にかけて、クレジットカードの有効性確認ができるとして、自身が作成したプログラムを通じて6件のクレジットカード番号を入力させ、不正に取得した疑い。加えて、2024年5月20日に他人へID、パスワードを提供した疑いも持たれている。*1 高校生は「僕がやったことに間違いはありません」として容疑を認める供述を行っている。また「同じ犯罪を行っている人たちからカード情報をもらっても問題ないと思った」とも話している。
セキュリティ本部セキュリティビジネス推進部セキュリティオペレーションセンターに所属。2019年新卒入社。大学生時代より情報セキュリティにまつわる研究・開発をしている。インターネットが好き。 【IIJ 2020 TECHアドベントカレンダー 12/23(水)の記事です】 TL;DR 身に覚えのないSMSには気を付けよう あやしいファイルを手に入れたときは取り扱いに注意しよう 不審なファイルの表層解析をしてみよう プロローグ こんにちは。IIJ入社2年目、セキュリティ本部で開発とセキュリティアナリストの兼業をしています。naotです。 突然ですが、みなさんの元にこんなSMSが届いたことはありませんか? あっ、これ…見たことある…! となった方も多いのではないでしょうか。 このメッセージに含まれている、 「お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください。」 でGoogle検
楽天証券の一部利用者が保有していた株式を勝手に売却され、中国株を買われるなどの“不正取引”が多発した。同社は3月21日に注意喚起を行い、追加認証の導入や一部中国株の売買停止など対策に追われた。 楽天証券は「いずれのケースも、当社からの漏洩ではないことは確認済み」としており、多くはフィッシング詐欺によるものとみている。フィッシング詐欺は、実在する企業や金融機関のWebサイトそっくりの偽サイトを使い、メールなどで誘導した利用者にIDやパスワードを入力させてだまし取る手口だ。「昨今のフィッシング詐欺事例は、非常に巧妙になっている。フィッシングにあったこと自体を認識されていない方も多いと考えている」(楽天証券)。 なお、今回のケースでは複数の被害者が報道番組の取材に対してフィッシングとは思えないと話しており、SNS上ではマルウェア感染など別の可能性を指摘する声も上がっている。 直ちにログイン追加認
安全にWebサービスを利用するための実践的なパスワード管理について〜セキュリティーの専門家・徳丸浩さんインタビュー - board
近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ
フィッシングサイトを探す方法
はじめに インターネット上での不正なサイトに対する被害は年々増加しています。 特にフィッシングサイトは、誤って入力してしまうと個人情報の漏洩や財産の損失などの被害があります。 このようなフィッシングサイトを探すためには、便利なツールがいくつか存在します。 この記事では、フィッシングサイトを探す方法としてdnstwistを紹介します。 手法 フィッシングサイトは、正規のサイトと似た名前やアドレスを使って作られているものが多いです。 このような似た名前やアドレスを探すためには、正規のドメイン名を入力して、似た名前やアドレスを生成することができるツールが便利です。 Dnstwistの動作 dnstwistは、正規のドメイン名を入力して、似た名前やアドレスを生成することができるツールです。フィッシングサイトを探すためには非常に便利です。 dnstwistは、GitHubから無料でダウンロードするこ
SMS(ショートメッセージサービス)を使ったフィッシング詐欺「スミッシング」の被害が右肩上がりで増えている――NTTドコモが9月1日に主催した通信事業者向けのイベントで、セキュリティ製品を手掛けるマクニカネットワークスが警鐘を鳴らした。セキュリティ対策がほぼないSMSの弱みとマルウェアなどによる攻撃が組み合わさり、手口が巧妙化しているという。 スミッシングとは、電話番号だけで文章や画像を送受信できるSMSを悪用し、運送会社や銀行、携帯キャリアなどを装って個人にメッセージを送ってフィッシング詐欺を働く攻撃手法のこと。 攻撃者は「お荷物のお届けに上がりましたが不在のため持ち帰りました」「利用料金の確認が取れていません」といったメッセージとともにフィッシングサイトへのURLや電話番号を記載したメッセージを攻撃対象に送信。個人情報を窃取したり、スマートフォンにマルウェアをインストールさせたりする。
ざっくり解説【実録】「googleからの重要なお知らせ」で現金7700万円当選 → 本当の銀行口座を教えるとこうなる
» ざっくり解説【実録】「googleからの重要なお知らせ」で現金7700万円当選 → 本当の銀行口座を教えるとこうなる 特集 さ〜て、今回から始まった新コーナー、その名も「ざっくり解説」の時間がやってきたぞ! このコーナーは忙しい人でも瞬時に理解できるよう、文字通り “ざっくり解説” に重きを置いた内容となっている。 記念すべき第1回目は、「googleからの重要なお知らせ」という迷惑メールに対応していったら最終的にはこうなる……という流れを、ざっくり解説していこうと思う。詳しいことはあとまわし。結論から言うと── 「1万円分のビットキャッシュ(電子マネー)を送れと言われる」がゴールである。もう少し詳しく「↓」を使いながら箇条書きにすると、 「Googleからの重要なお知らせ」というメールが届く。 ↓ 特賞「7700万円(現金)」に当選! 詳細はURLへ…… ↓ 「モバイル大創業祭」とい
Appleは、フィッシング攻撃の可能性のあるSMS経由で送信された2ファクタ認証コードの自動入力のブロックを開始し、SMSのメッセージの形式を変更しました。 フィッシングサイトでの自動入力をブロック Appleの2ファクタ認証コードの自動入力機能は、SMSで送られてくる認証コードを入力する手間が省ける便利な機能です。しかし、ユーザーが、攻撃者によって作成された偽サイトへのリンクをクリックすると、認証コードが自動で入力され、ユーザーがフィッシングの被害を受けてしまう可能性がありました。 Appleはこの問題に対処するため、偽サイトにおける自動入力をブロックするより安全な新しいフォーマットで認証コードをSMSで送信するよう企業に呼びかけています。 新しいフォーマットでは、Webサイトと2ファクタ認証コードを送信したドメインが一致した場合にのみ、認証コードの自動入力が行われるよう変更が加えられて
Passkeys for Developers
Passkeys for Developersパスキーは、フィッシング耐性のある認証方法であり、デバイス横断で迅速、簡単、安全なパスワードレス認証を提供します。
購入者からの問合せになりすましたECショップ管理者を狙うフィッシングについてまとめてみた - piyolog
2023年1月10日、ECショップ作成サービスを運営するBASEは、同社のサービスを利用するECショップ管理者に対し購入者になりすました不審メールが発生しているとして注意を呼びかけました。被害に遭ったECサイトからはさらにクレジットカード情報の窃取を狙ったメールがそのECショップの購入者宛に送られる事例も確認されています。ここでは関連する情報をまとめます。 ECショップに不正ログインし盗んだ購入者情報を悪用 【不審なお問い合わせにご注意ください】 このたび、BASE管理画面のログイン情報を不正に入手することを目的とした、なりすましの事案が確認されたため、注意喚起の記事を公開しました。重要な情報のためご確認いただけると幸いです。https://t.co/WTzbYCr41Z— BASE(ベイス)💻ネットでお店を開くなら (@BASEec) 2023年1月10日 購入者のなりすましたメッセー
「Amazonさんから代引きで来てますが?」──身に覚えのない配達の電話がヤマト運輸からきたというツイートが話題になっている。漫画家のなるあすく(@naruasuku)さんは12月19日、Amazonをかたる代引き詐欺に遭遇した体験談をツイート。他ユーザーに対して注意喚起を行った。ヤマト運輸も同様の詐欺について認知しており、対応策を呼び掛けている。 この手口は、第三者がAmazonをかたり代引き支払いで荷物を送り付け、受け取った場合にその料金をだまし取るというもの。「大体数千円~高いと数万円ぐらいの価格帯が多いらしく『家族の誰かが買ったのかな?』と立て替えてしまう場合も多いらしい」(なるあすくさん) ITmedia NEWSはヤマト運輸に対し、類似の詐欺の実態について確認したところ「当事案に限らず、代引きによるトラブルがあることは認識している」と回答。国民生活センターでも「代引きで身に覚え
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スマホ本人確認「マイナカード一本化」は本当? 実情とSIMスワップ詐欺問題を知る
Google Chrome、南京錠アイコンを2023年9月に廃止
偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう
「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避 ハードキーが鍵
IPA、「ビジネスメール詐欺」の対策や啓発資料をまとめた特設ページを開設
「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない
すぐ貢献できる!偽サイトの探索から通報まで - Qiita
“見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は|NHK
NTTドコモとソフトバンク、迷惑SMS拒否機能を提供。無料かつ設定不要 ドコモは3月中旬、ソフトバンクは春ごろを予定
パスワード管理アプリ「KeePass」の偽サイトがGoogle広告によって検索結果のトップに表示される事態が発生
ChatGPTでフィッシングサイトを自動検出する方法 NTTセキュリティが開発 精度は98%以上
公開鍵暗号方式だからフィッシング対策できるって意見、もうええでしょう|ritou
詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策
Browser In The Browser (BITB) Attack | mr.d0x
経産省「コンテンツ緊急電子化事業」偽サイトに注意 事業終了後、第三者が「.jp」ドメイン取得 ウイルス感染のおそれ
「日本へのサイバー攻撃の検出数が3年連続で世界1位」、ESETが2023年上半期の脅威レポート公開
Googleの「.zip」ドメインに懸念の声 ~フィッシングに悪用されかねない問題/値下げ中で悪い人たちも注目【やじうまの杜】
高校生によるクレジットカード情報の不正取得事案についてまとめてみた - piyolog
そのSMS、安全ですか?自分で調べてみる方法について | IIJ Engineers Blog
楽天証券、“不正取引”多発 「当社からの漏洩ではない」としつつも緊急対応に追われる事態に
多要素認証を回避する中間者攻撃フィッシングが急増
SMSで届く詐欺メッセージ「スミッシング」被害が右肩上がりに その巧妙な手口とは
「Bing」で「rakuten」と検索するとサポート詐欺サイトを踏んでしまうかも/当面の間は自衛するしかなさそう【やじうまの杜】
Apple、2ファクタ認証機能でフィッシング攻撃のSMS自動入力をブロック - iPhone Mania
「Amazonさんから代引きで来てますが?」──心当たりのない荷物は詐欺かも? ヤマトに対策を聞いてみた
l.smartnews.com
yamdas.hatenablog.com
l.smartnews.com
figsoku.net
waim-group.co.jp
miyu3.lo.gob.jp