フィッシング詐欺は、偽サイトにユーザーIDとパスワードを入力させるやつですが
リアルタイムフィッシング詐欺は
リアルタイム!で連動することにより2段階認証も突破してしまうという恐ろしいものです。
リアルタイムなので、例えば、ログインすると2段階認証のために銀行から正規のパスコードがメールに来てしまい!銀行からきたら本物だと信じ、それを偽サイトに入れると!そのまま突破されてしまう。。。というものですね。。。。最初に気づかないと確実に騙されそうです
銀行口座、証券口座のログインは
メールやSMSからではなく
公式サイトからログインしましょう!
リアルタイムフィッシング詐欺とは
リアルタイムフィッシング詐欺とは、従来のフィッシング詐欺をさらに巧妙化させた手法で、ユーザーが偽サイトに入力した認証情報を攻撃者がリアルタイム(即座)に盗み取り、それを正規サイトへの不正アクセスに利用することで、特に多要素認証(二段階認証)をも突破してしまう手口
主な手法の流れは以下の通り
- 偽の通知による誘導
- 実在する金融機関や有名企業などを装い、「異常な取引が検知された」「セキュリティ強化のため確認が必要」といった緊急性の高い内容のメールやSMS(スミッシング)を送りつけます。
- ユーザーの不安を煽り、本物そっくりに作られた**偽のログインページ(フィッシングサイト)**へ誘導します。
- 認証情報のリアルタイム窃取
- ユーザーが偽サイトとは知らずにIDやパスワードを入力すると、その情報が即座に攻撃者の元へ送信されます。
- 攻撃者はその情報をすぐに正規サイトへ入力し、ログインを試みます。
- 多要素認証(二段階認証)の突破
- 正規サイトからワンタイムパスワード(OTP)などの二段階認証の入力を求められると、攻撃者は同時に偽サイト側でも同じ内容の認証画面を表示させ、ユーザーにOTPの入力を促します。
- ユーザーが偽サイトにOTPを入力すると、その情報も即座に攻撃者に渡り、攻撃者は正規サイトで認証を突破して不正ログインを完了させます。
- 即時的な不正利用の実行
- 不正ログインに成功した攻撃者は、即座に不正送金、株式の不正売買、登録情報の変更などを行います。
- 被害者が異変に気づいた時には、すでに大きな被害が発生している可能性が高いのが、この手口の大きな特徴です。
この手法は、認証情報を入力してから不正アクセスまでの時間が非常に短いため、被害の発生スピードが速く、ワンタイムパスワードなどの追加認証も無効化されてしまう点が従来のフィッシング詐欺よりも悪質で危険性が高いとされています。
んーみなさん気をつけましょう!!!
コメント