新生銀行の場合は、乱数表をすべて入力させるという方法が取られました。
http://itpro.nikkeibp.co.jp/article/NEWS/20070725/278295/
乱数表は、フィッシングに有効な手ですが、上記のようなものが出てくると厳しいですね。
また、実際の被害の多くは、クレジットやセキュリティーの導入前という事だと思います。
ありがとうございます、参考になります
2
回答者:
star-platinum_001
2008-06-11 10:59:20
満足!
23ポイント
URLはダミーです。
フィッシング詐欺にあった人は、そこのサイト上で何の疑いもなく、いろんな個人情報やパスワードを
打ち込んでしまう。これが被害が発生する本質の全てです。
具体的には
・振込み用パスワード(振込み用カードか何かの情報すべて)も入力させることによりフィッシングする
等
回答ありがとうございます。振込カード全ての情報を打ち込む人はいないと思います。
http://www.google.com/search?&q=%E3%83%95%E3%82%A3%E3%83%83%E3%8...
つまり詐欺サイト側にデータを一旦溜め込むのではなく、そのまま本物のサイトに中継する手口です。本物がワンタイムパスワード等を要求してきたらそのままそれをユーザーに伝え、ユーザーが入力したらそれをすぐに本物サイトに返す、つまりワンタイムの有効期限の切れる前に使ってしまうわけです。別の振込暗証番号カードでもまったく同じことが言えます。
もちろんこの手口では、「騙されてログインはしたが、この場面でワンタイムパスワードなり暗証カードの番号を聞かれるのはおかしいと思って止めた」場合は被害を防げますが、騙されて偽サイトへ誘導される程度にうっかりなユーザーであれば、中には促されるままにどんどん入力する人も、それなりの割合で存在するものと考えられるでしょう。
ありがとうございます、参考になります
この質問・回答へのコメント
> ワンタイムパスワードや、別の振込暗証番号カードなどを使っているので、
これらも「釣られた人」に入力させることができます。
・「釣られた人」が 偽サイトに対して、ID、Password を入力する
・偽サイトはとりあえず、時間がかかっているような 表示を返しておく
・さらに 偽サイト は裏で(Server側で)実際の銀行のサイトに
その ID、Password でログインし振込み手続きなどを進める。
・ワンタイムパスワード、振込暗証番号カードの情報が必要になった
ところで、「釣られた人」側に「ログインは成功したけど、
コレコレって事情があるので、振込暗証番号カードの情報を入力してよ。」
って画面を返す。
・「釣られた人」がさらにおバカで、入力してしまう。
・ 偽サイト側では、入力された情報を使って手続きを進める。
といった感じ。