【企業】三井住友銀、新手のネット不正送金で約３０００万円の被害発生　ワンタイムパスワードでの被害も

三井住友銀、新手のネット不正送金で約3000万円の被害発生
http://www.nikkei.com/article/DGXNASFL120SX_S4A510C1000000/

三井住友銀行は12日、個人のインターネットバンキングで新たなコンピューターウイルスを
悪用した不正送金の被害が発生したと発表した。被害総額は約3000万円。
同行は利用者にセキュリティー対策ソフトや振込完了通知メールの活用を求めている。

　新たなウイルスを使った手口は、利用者が何らかの形でウイルスに感染した
パソコンを使ってインターネットバンキング「ＳＭＢＣダイレクト」に
ログインすると偽画面が表示される。
その際、犯罪組織側への振込先口座や金額も自動的に設定される。
その上で、利用者が暗証番号を入力すると不正取引が実行される仕組み。
従来は犯罪組織などがメールで利用者を偽サイトに誘導し、
ＩＤやパスワードを入力させる「フィッシング」と呼ばれる手法が主流だった。

　同社によると、今回の手口は３月下旬からみられ取引ごとにパスワードを
発行する「ワンタイムパスワード」の被害も含まれるという。
法人向け被害は認証方式などが個人とは異なるため、
現時点で出ていない。〔日経ＱＵＩＣＫニュース（ＮＱＮ）〕

611 :名無しさん＠恐縮です : 2012/06/24(日) 11:21:01.39 ID:P4sesIvR0
>>555
＞なんかこうもっと80年代懐古の流れで楽しくやれんもんかな。
＞ニルヴァーナも好きだけど、今更グランジｖｓメタルとか20年前の話蒸し返されても

俺はこういうメタラーが一番嫌いなんだよね、ニルヴァーナのカートが
「ガンズとかメタリカ聞いてる奴らに、自分たちの凄さがわかる訳ないし
メタル聞いてる奴らに聞いてもらいたくない」と発言してるのにな
たまにメタルのダサい奴が、仲間意識もって歩み寄ってくるのがいやだよな
大学のバンドサークルでもいっぱいいたよ、信念のないファッションメタラーがさ
カートがガンズやメタリカが近寄ってきたとき、頑なに拒否してた気持ちがわかる

>>1
放射性物質がセシウムだけかと思わせる報道の数々。これってステマ洗脳だよね。
http://hayabusa3.2ch.net/test/read.cgi/news/1399874980/30

なぜ4/9以降に、なぜ4/9以降に、なぜ4/9以降に送金するのか？

これ現代社会終了じゃね？

どうすればいいのさ

これって技術的にグダグダ言い訳しても、結局銀行が信用できない仕組みしか提供できていないって事だよね。

ワンタイムでもやられたのか？
仕組み的にはあのパスワードは時間？や普通口座の番号に依存しているのだろうか？
まぁワンタイムのそのコードがハックされたのか大本がハックされて暗号が破られたのかは分からんけど
恐ろしいこともあるもんだな。

お金はどこに置けば良いんだぁ？
ネットバンクやっていれば、支那畜にかっぱらわれ、
箪笥に入れておけば支那畜やチョン助強盗団に奪われる・・・

ワンタイムパスワードでやられたらどうしようもねーじゃん

ワンタイムまで被害ってどうやるんだよ

>>6
スタイラスを、左の鼻の中に入れたまま右クリック

いたちごっこ

みずほはシステムアレだし三菱東京も詐欺メールがすごいし三井住友まで

>>9
もう科学技術も円熟してきたんだから、
そろそろ共産国家でいいんじゃない？
金銭は一切存在しないの。

>>7
それを言っては銀行に取って酷かな。
家の鍵とかわらんからね。ネットのセキュリティは常にいたちごっこ。

どういう方法で生成されているのかは知らんが

･使用者本人がワンタイム生成機を盗まれた
･コード生成アルゴリズムが解読された
･銀行本体に入られそのワンタイムパスワードの照合を盗まれた

過失は下に行けば行くほど過失は銀行になるのだが
正直むりっつうもんだろうな。

10万でも50万でもいいけどさ、そんな金額を他名義に振り込むなんて、
一般人はめったにないんだから、そのときだけ極端に厳しくしろよ。
上限金額変更+振込されても困るから、上限金額変更時もな。

いや、これ銀行側の不手際だろｗ
何らかの形って言ってるけどさ、顧客情報漏えいでフィッシングメールが来るんじゃん
人のせいにしてんなよｗｗｗ

また中国だろ

つ　内部犯行説

>>1
わんタイムがダメならにゃんこタイムを開発するしかない。

ワンタイムパスワードを解読されたのか
それとも財布とかに入れてたワンタイムとキャッシュカードを一緒にを盗まれてそれで被害にあったのか詳しく書いてくれ

えーー！！
ネットバンキングなら三井住友最強だと思ってたのに・・

三井もしばらく怪しい擬装メールらしきものが送り付けられてたな

チャンコロかい★クソゴミ野郎共めッ

個人も法人もみんな、SWIFTに加盟すればいいんじゃね？

PCからやらなきゃいいんだろ
iPhoneからSMBC接続してりゃいい

ほぼハッキング不能にする方法があることにはあるがもう少し暖める必要があるな。
もう少しまじめに研究しておけば良かったよん

>>21
こまったゾウタイムでもいいよな

ログインの時にワンタイムを入力しただけではダメで
振込みの前にももう一度ワンタイムが必要
（以前は固定の乱数表だった）

いまのＳＭＢＣで
第三者がなりすますとか、原理的にありえない

緑のボタンのやつ突破されたのかよ

そもそも口座に３０００万円も入れておくことがありえないし
それを上限設定せずに
パソコンで操作とか命知らずもいいところだ

ワンタイム以前の問題ありまくり

ドコモのガラケーからのネットバンキングが最強なのがまた証明されたなw

もう使えないジャン。解約するわ。

>>32
↑被害総額3千万なのに個人の口座に3千万だと解釈してるアホはこいつです　ID:nhaDcqiP0

>>30
>第三者がなりすますとか、原理的にありえない

ありえないことが起きたからニュースなんだろ死ねよアスペｗｗｗ　ID:nhaDcqiP0

>>30
ログイン時と振込時2回やればOKということもあるまい。

>>8
ユーザーには偽画面を表示させて、詐欺師がその入力を本ページに中継？するらしい。
リアルタイムに中継するんでワンタイムパスワードも有効になってしまう。

対処するならPCとは別経路で認証する方法をとるしか手がない

振込み操作は本物のＳＭＢＣダイレクトを利用するが
ウイルスのせいで振込み先が犯罪者の口座に強制的に変更されるってことか
振込みをしなければ被害はないんだろうけどそれじゃＳＭＢＣダイレクトを利用する意味がないし

ワンタイムのコード生成は銀行から送ってきているわけでは無いよな？
生成機から生み出していると言うことであれば時間(時間経過）と普通口座（ID)に依存している何かだよな。
であるなら破られるという可能性はあり得るな。

>>22

ワンタイムパスワードだろうがなんだろうが、
ウイルス（マルウェアと言うべき？）を潜り込ませればそのパスワード入力を読み取れるということだろ。

利用者がオンラインバンキングサイトにアクセスしようとすると、偽のサイト画面が表示されて、本物のサイト画面との間を仲介するような感じじゃないの？

ワンタイムパスも被害って、詳細を言え
これは大問題なんだが

ワンタイムパスワードがやられたのか…
の四天王AA
↓

ワンタイムもこうじゃ、もうネットで送金極力しないでやれ、って事だな

ID:CTGGcnF00
工作員乙w

>>20
俺も内部犯行かと思ったわ。
どうやってあの３重防壁をとっぱできるんだろうか

別に振り込み時に偽装するだけなら簡単じゃね？

１．振込先入力
３．表では本当の振込先への確認
２．実際は裏で入力が不正送金先に変更
４．パスワード入力
５．不正送金先に入金

定期定期に同じとろろに主王入金していたら３の画面は簡単に作れるからね

>>37
ああなるほどな。
そういうハッキングの方法か･･･
ユーザーが注意すれば防げる事故と言うわけだな。
時々来るからな。

しかし去年からかなりハッキングされまくっているね。
去年の2ｃｈの●とか官公庁や東大や理研とかもか？

俺のマイクロソフトアカウントもハックされてたｗｗｗ
俺のせいじゃないけどなｗ　パスワード7種類ぐらいあるがもう増やせない。
面倒だから大体1passwordに入れておいているけど。

三井住友のワンタイムパスってのは、三井住友から定期的に乱数が変化して表示される小型液晶ハードが送られてきてそれを入力するってタイプなんだよね

　パスワードとかもう関係ない　
正規の利用者が正規の手続きでログインするまで待ち続ける、
ログインしたら振込手続きを勝手にする

やっぱネットバンクは怖いな。

ワンタイムパスワって、VASCO社のDIGIPASS GO 6が有名。

以前、スクウェア・エニックスでワイタイムパスワあるのに
不正アクセスされて大ショックを受けた人間だからねー

結局、VASCO社のセキュリティートークンが解析されたわけじゃなく
スクウェアのサーバーの隙から入り込まれて
ワイタイムパスワなくてもアクセスできる状態となってたことが判明。

今回の三井住友も同じじゃないの？

>>51
まぁワンパスあってもサーバー本体が脆弱だとな。
でも今回のは誘導らしいぞ。ソースはこのレスの中だからわからんけど。

向こうはこちらにパスワードを要求して本物かどうか確認してくるが
こちらから　おまえこそ本物なのかｗｗと確認する手段が無いのが問題だな。
ログイン画面のデザインを何万通りでもカスタマイズ出来るとか
こちらも銀行サイトに対して秘密の質問と答えを設定出来るとか
なんか対策してほしいものだな。

内部犯行…ありえなくもないな
なんたって三井住友銀行は口座の残高によって同グループのの生命保険の勧誘の電話がかかってくる
仕事中の時間帯にしょっちゅう営業電話がかかってきてうるさいので二度と電話すんなと怒ったことがある
で、たいして口座に金入って無い奴は電話かかってこないんだぜ

だから三井グループは銀行の口座の残高を同グループの生命保険会社に情報流してる

生命保険会社じゃなくても他にもグループあるだろ、そいつらも全部知ってんだろ？
どの顧客がどれくらい資産あってどれくらい毎月収入あるかとか全部知ってんだろ？

フフフ・・・ワンタイムパスワードは四天王の中では最弱

ワンタイムでも抜かれるって事は入力した瞬間にリアルタイムで不正送金されてしまうという事か？

>>33
僕ちんソレｗ

職場に中国人韓国人がうじゃうじゃいますから

つまりユーザーがインストールしたプログラムは一切使えないアカウントというのが出来ればいんだけどな
これだけセキュリティが問題になってるんだからそういう機能がOSに無いのがおかしい

>>37
＞対処するならPCとは別経路で認証する方法をとるしか手がない

ケータイ・スマホか

ネットバンキングは通販支払い用にして3万以上動かせないようにしてるわ。
それ以上は店舗ATMか窓口利用。

UFJのサイトなんか警告がデカデカと乗ってて物々しい感じがするな
乱数表さえ盗まれなければ送金はできないのに、それさえも盗まれてしまう人ってのはな

僅かな住友ネットバンクの預金を郵貯に移したよ。
まあ、詐欺られても良いくらいな金額をバンキングすべきかな。
そういう郵貯もネットバンクだけど。

携帯もしくは登録されてるFAXで確認の応答(ワンタイムの識別番号)とか必要になってきそうだな

道理で残高少ないと思った

ワンタイムなんてPC自体が乗っ取られるか、キーロガー仕込まれていれば無意味なわけで

防ぐ手立てはネット送金をやめて
銀行へ行って振り込むしかないんじゃね？

ＳＭＢＣのワンタイムはキーロガー無意味

パスワードカード
SMBCダイレクトでは、事前登録のない先への振込や住所変更等の取引を
ご利用になる際に、パスワードカードの液晶部分に表示される使い捨ての
パスワードを入力して本人確認を行います。
一度使ったパスワードは無効となりますので、
スパイウェア等のネット犯罪でパスワードを盗まれた場合でも、
それを再利用されることはありません。

>>69
その使ったつもりの１度が釣りサイトだから本体にはそのまま使えちゃうんだろうな

http://livedoor.blogimg.jp/saitekikai/imgs/8/f/8ff95c96.jpg
三井住友銀行は、昨年9月9日付で、
オンラインバンキングサービスである「SMBCダイレクト」の
セキュリティ水準の一層の向上のため、
利用者にログイン時の認証に使用する「パスワードカード」
（ワンタイムパスワード生成器）を10月21日から無償で配布し、
従来使用してきた「暗証カード」（乱数表）は一定期間の後に廃止すると
発表しました。

同行では、他の金融機関に先行してワンタイムパスワードによる
認証方式を導入し、今年の1月から希望者には無償で配布してきましたが、
今回はそれをさらに進めて、より薄く、
利便性を高めた形式のワンタイムパスワード生成器を
全利用者に配布しようということのようです。

同行のインターネットバンキングサービスの利用者は
約1250万人とのことで、国内のネットワークセキュリティ全体にも
かなり大きなインパクトを与えるものと思われます。

>>69
そのパスワードカードの液晶部分に表示される使い捨てのパスワードを、キーボードで入力したら読み取られるだろｗ

ワンタイムパスワードでダメなら

もうダメポ
ジャパンネット銀行は8桁くらいの数字が1分程度で
変わるけどな

銀行側がPC限定とか対応しないのなら
ネットで使う口座と分けるしかない

＞利用者が何らかの形でウイルスに感染した
パソコンを使ってインターネットバンキング「ＳＭＢＣダイレクト」に
ログインすると偽画面が表示

えーじゃあ真の銀行ログイン画面をお気に入りにしてて
そこからログインしたつもりで
偽銀行画面にはいっちゃうの？こわいおおお

ワンタイムは正規の手順で利用者が入力したものだろう
ウィルスにより正規処理・手続きに処理に
「犯人指定の口座に金を振り込む」割り込む処理が加えられるって事だろうな

フィッシングなら別サイトに飛ぶが、この場合だと判別不可能
現状のSSL方式以上のセキュアな通信を確立できないならネットバンキング終了か。

>>60
住信SBIが始めたね。これが最強のセキュだろ

振込先の新規入力の時にも
パスワードが必要。
しかもパスワードには期限がある。

本人が振り込み操作をするときに
振込先をのっとって変えるとか
不可能

チョンスマホでネットバンキングとかしたらかなりヤバいなｗ

なかなかやるニダ！
＜　｀∀´＞ ＜｀ハ´　＞
　　　　　　　チョロいアルよ！

しかも接続記録のＩＰアドレスとか全部証拠が銀行側に残る

そうした証拠がないのに、パスワードカードが破られたというなら

もう内部犯行以外にありえない

ＳＭＢＣは詳しい犯行の手口を公表せよ

ブラウザがfirefoxとクロムは何かしら入力したパスワードは銀行であっても全部保存されてるからな
それでgoogleにログインしたまま銀行ログインしてついでにGmail使ってる奴は頭イカれてる

今回は偽画面でパス盗んで、その裏で被害者のＰＣから本物サイトにアクセスして
送金してんじゃね？

つまり残るIPも被害者のもの

俺の口座にも間違って3億とか振り込まれないものか

まあ警察に届けるけれどもｗ

>>77
スマフォのソフトも偽物を作ることができたら今回と同じ。
スマフォに表示された取引執行コードを盗まれてしまう。

この手のシステムを穴の多いパブリックなブラウザでやるのはそろそろ潮時かな。

自主開発は金がかかるから、団塊脳の経営陣はやりたかないだろうけどね。
コスト回すべきところいつも間違ってるんだよな。

>>85
やっぱ人間の手で振り込むしかないなこりゃ

組織側のサイトと銀行のサイトが繋がってるとしか思えない仕組みだなぁ
セキュリティソフト入れても防げないんじゃないかなこれ

ログインに使うPCなんていつも決まってるんだから登録させればいいだけ
新しいPCの登録はケータイで本人認証させて

自宅に静脈認証機を入れるしかない。
？？？
どうするの？

>>85
今のセキュは端末１台で処理するだろ、どこの銀行も。
今回のSBIの認証には端末を２台使用するってことだよ。

送金とかしたときにメールでお知らせするサービスが有料なんだよなあ

>>89
横浜銀行は其れに近い。
いつもと違う環境でログインすると、もう一つの暗証聞いてくる。

ワンタイムパスでもダメなんて
内部の犯行？

要するに密かに割り込んだプロキシにセッションID抜かれてんだろ？
操作完了後ログアウト忘れたら何重の認証かけてもアウトじゃね？

>>91
俺は実際に使ってるよ。第二経路で振り込み送金などに必要な
第三認証を行うのだがその端末の登録は第一認証と第二認証で
簡単に出来る。
偽ログイン画面で第二認証まで盗むことが出来たら
第三認証を行う端末を成り済まして登録できるはず。
俺の勘違いかも試練が従来の第三認証である乱数表の入力は
求められなかった。

ワンタイム破られたのかもう駄目じゃん

PCも安くなったしネットバンキングしかしないPCを1台用意した方がいいかもね

ネットバンクは口座のチェックしかできなくていいんだよ
振り込みはATMでやれば問題なし

ipadからだと問題ないよな？

てかPCのハード情報も読み取らせればいいじゃん。スマホにしても。
それが一番だろ。盗む以外ログインできないようにする。
よって、外ではPCなどは持っていく以外ログインできない。

やっぱり現金書留が一番だな。

1回使うと無効になるタイプのワンタイムなら偽サイトにいれたのが使える

被害を遅らせる為に錠前はある。
犯行現場を見られないのだから錠前破りは永遠に続く。
被害を最小限にするには口座の金を分散するしかないわな。

ワンタイムでもだめって意味が分からん
手元にある限り究極完璧のハッキング対策だと思ってたんだが
結局完璧な対策なんてないってことか・・・

結論、ｶﾞﾗｹｰ最強！

振込先は事前に登録した口座のみ振込できるようにしてなかったのかな、被害受けた人は
SMBCがその仕組みを提供してるか知らんけど

わざと一回パスワード間違えて本物のサイトかどうか確認してる
人もいると思うが、こちらからも相手が本物かどうか確認する手段は
必須だとおもう。

振込先確認の画面を一枚かますだけで防げると思うけど
なんでそんな簡単な事をやらないのか。

全部ライブで中継するウイルスなんだから、基本的にはウェブでの商取引は終わりだな。

USBで指紋認証する機械みたいのつなげるとか作れないの？
WEBカメラで常に顔撮影しながらじゃないと操作できないとかさ
もうそこまでしなきゃ駄目だろ

>>109
たぶん実際にユーザーが見てる画面と行われている操作は別なんだと思うよ
確認画面をかませてもそれはユーザーには見えない

>>96
システム的には第二まで盗めたら可能だね
第一盗めてるから裏で第二を盗むことも出来る

被害額は銀行が保険で支払ってくれて
預金者は安心だから、知恵の使いようで大儲けできる。

インターネッツ禁止

てか送金先が犯人じゃねえの？
とっとと捕まえろよ
架空名義の口座なら、その口座作らせた振込先の金融機関に責任取らせろ

これはあれだわ、ワンタイムパスワードを実際に銀行まで取り行くか
銀行にWiFi接続で、その場でワンタイムパスを貰って、窓口でネットバンクするか

>>37
8じゃないけど詳しくありがとう

客　→　泥棒　→　銀行
客　←　泥棒　←　銀行

ひっかかった場合は
個人なら保証してくるん？

そのうち給料袋とか現金に回帰するんじゃねえかな？

ワンタイムパスワード届いたけど設定しない方がいいのかな

> 何らかの形でウイルスに感染した
この時点でもう無理だろ
Man in the Browser (MIB)攻撃されたら、そりゃワンタイムパスワード使おうがダメだよ

銀行のシステムが機能してないってことですねー
半分は銀行の責任だよ
あと半分はこういう犯罪者を放置している各国の政府にある
こういう犯罪したらその場で死刑にすれば少しは減るんじゃないかな

>>9
全部金塊に換えて尻の穴に突っ込んどけ

こうなるのが分かりきってるから残高照会だけできるやつにした自分が来ましたよｗ
振り込みなんて窓口じゃないと怖くて出来んわ

ネットバンキングはiPhone使うってのがマジで結構セキュリティ高い

規約に「補償しねえよ」と書いてあったら終わり

すげえな。
やっぱ世の中は頭がよくて技術力があるやつが勝てるんだな。

バカはネット使うことしか能がないが、頭いいやつはネットの仕組みを作れるんだからな。

>>1
不正送金はシステムの改良でほとんど防げる

送金限度額を柔軟に設定できるようにすればいい
現状は株やFXをやる人とかは大金をよく移動させるから送金限度額を下げられない

自分が登録した口座にだけ高額の送金を許可するように
設定できるようにする必要がある。
登録口座は親類や証券会社、銀行などをの口座など
オンラインでの口座登録は不可にしておく

その他の第三者への振込は通常少額だから10万円とか少額に設定できる
ネットショッピングはたいていカード決済だからこれで困らない

これで被害額が大幅に減る

>>128
自分の口座からの送金なら、金銭的被害は全く無い

>>122
いや、設定したほうがいい
ワンタイムパスワードが破られたわけではない

被害者は偽のサイトに誘導されてそこにワンタイムパスワードを入力した
1分間は有効だからその間に有効なワンタイムパスワードを利用された。
振込成功させるために何度かパスワードを偽サイトに入力したはずだ

この手の攻撃はパスワード入力時にブラウザのURLをよく確認すればほぼ防げる

知人の口座からの送金でも、金銭的被害は全く無い

私は過去のように、皆が銀行に並んだりコンビニＡＴＭに並んでいた時代が懐かしいと思っているし景気にも良い。

俺の体を電子の世界の住人レベルまで小さくして、
取引毎に俺がチェックすれば良いのではないか

1、パソコンがウイルスに犯されている
2、偽のログインサイトに誘導され、パスを入力
3、そのパスをウイルスが犯罪者に送信
4、犯罪者はそのパスを速攻で入力しログイン、金を盗み取る

現時点で出来る対策はふたつ

1、ログインするpcはmacにする
2、携帯でログインする

こんなものかな

>>9

寄付したら安全だし、喜ばれる。

口座持っているけど、一切喚起メールとかこないな

ログインすると偽サイトへ飛ばされるが、
その裏で相手に本サイトへログインされている訳だな。
そんで振込操作が行われ、偽サイトでワンタイムパスを入力すると、
本サイトへも自動入力されて送金完了と。

オーバーレイ表示された偽画面に入力された
取引用パス、ワンタイムパス等ぶっこ抜いて
裏の金額や口座が指定済みの通常に動いてる
オンラインATMの画面に引き渡すだけかね。

と、想定するなら
ワンタイムパスのタイマーギリギリで使用すれば回避出来そうな気がｗ

>>139
サーバ側である程度マージンを取ってる
ワンタイムパスワードの機械とサーバの時計の進み方にズレがあるんで、使う度に同期し直す

もしかしてオートコンプリートしか使わない方が安全？

>>9
ビットコインで、暗号化。

銀行などのＵＲＬは秘密の場所にＴＸＴ分にして隠してある
アクセスするときはそのＴＸＴ分からＵＲＬ文字をコピペして使う

ＨＰの作りが変わると本物か否かの検証に手間ｗ

>>132
ローカルプロキシ作られて銀行相手のアクセス横取りすんだよ。
smbcのワンタイムパスは使用されると無効になるんで使用前にトラップする
必要あるから。

最初のアクセスの時に待ち画面表示して、その間に裏で残高確認→送金準備
準備出来たらワンタイムパスの再入力要求すればok

>>9
ネットバンキングをそもそも開設しない

つまりタンス預金最強って事か

ここでビットコインですよ

どこの銀行もログイン画面が警告だらけで使う気失せるわ。

まぁなんだキャッシュカード無しの口座に本丸の金は預金しとくべきだね
その次使うのがネット接続無しのキャッシュカード付きの口座
ネットバンクは本当に使う金額をその都度振り込んで使うぐらいにしとけ

ちょっと待って、
取引パスワードとか第2、第3暗証とかじゃなくて
普通にATMで利用するのと同じ暗証番号を要求するの？

それを何の疑いもなく入力する奴ってどんな知障なのよ

クライアントパソコンにウイルスが居たら、ワンタイムだろうが何だろうが安全じゃないだろう

どのようなアンチウィルスソフトが入ってたか知りたい
あとWindowsUpdateもきちんとしてたかどうか

マンションのオートロックと同じか？。

住人の後ろについて、ドアが開いたら、一緒に入ると。

>>143
今のウイルスは本物のURLじゃないと連動しないようになっているから
効果ないだろ。

振り込み用専用端末でも配布するか。
４Ｗの４．８Ｋの専用回線を引き込んで。

公衆回線でも良いか
電話を掛けて音響カプラーでやり取り。

ＭＩＴＢの電文書替えの初期パターン

ＳＭＢＣはトランザクション認証方式に切り替えれば良いこと。

UFJもダメ、住友もダメ、次はりそなかみずほか？
もう地味に目立たない地方銀行の方が安全なんじゃないの？

ワンタイムパスワードでダメなんかよ

>>54
銀行自体が保険業務できるようになったから、銀行そのものから営業電話が掛かってきてんじゃね？

>>1
刷り込み先口座や金額が設定されるのがおかしいだろ
CSRF対策とかしてなかったのか？

振込をすると事前に登録したケータイ電話に着信
→振り込みを続行する場合は「１」を押してくださいの音声ガイド
みたいなのは出来ないのか？

>>120
このケースだと全額だとおも。これ以降は知らん。

店番号＋口座番号＋パスワード１個でログインできてしまう
ザルのようなセキュリティをなんとかしろよｗ

あと振込専用口座番号を作って欲しいよな

ワンタイムパスワードでもダメなの？とか訊いてる人は、この問題の本質がまるで分かってないから、ネットバンクは解約したほうがいいと思う。割りと、マジで。

>>157
みずほって大規模障害なかったか？

だな

配布済みのパスカードの本来機能によりトランザクション認証を
アクティブにする事が有効
しかし、海外事例ではリテラシーの関係上、既存顧客の70%が
脱落するとのデータも有る、諸刃の剣だね

>>166
論点が違う。

ネットでちょっとした買い物をするのにも
ユーザ登録+passで数字英数8文字以上とか言ってる時代に

銀行キャッシュカードは数字のみ4ケタ！という安全神話
クレジットカードのセキュリティーコードも一緒だわ
みなさんお気をつけて〜

ネットで送金なんてまずしない、そんなアナログな人が通ります

Googleとかの2段回認証の方が安全だと思うんだが、
IT企業がもっと銀行使いやすくしてくれんかなぁ。

PayPalの使い易さで銀行振込処理出来る銀行があったらそっちに乗り換えるのに。
10年前のWEBみたいな所ばっかり

SBIのスマート認証みたいな二経路認証がいいな

う〜む
毎月元嫁に養育費を払わねばならないのだが…
SMBCがダメとなるとどうするかな…

送金と振込の違いがよく分からん

いっそ前のカードタイプの方が良かったとか？
漏れ方によってはどっちもどちだが

しかし、何といってもゆうちょ銀行が一番ヤバいと思うけどな
もうとっくに解約したが

ゆうちょ銀行はいつもと違うハードでアクセスすると
合言葉とかを３つぐらい続けて聞いてくるけど
ワンタイムパスとどっちが強いの？

電話連絡必須にしたら？
あらかじめ登録された電話番号から、オペレーターに
今から振り込ましまーすって言ってから、操作すんの。
オペレーターは24時間待機で。

>>176
ゆうちょは、Firefoxのバージョンアップについていけないという理由でFirefoxでのログインを禁止にしているからね
それ位の低スキルの技術者しかいないから危険なのは間違いない

ワンタイムパス作ってる海外の企業は信用しても大丈夫なとこなの？

三菱東京UFJ銀行の推奨セキュリティーソフト入れたけど
なんかブラウザの邪魔でアンインストールした

銀行専用のブラウザを作ってくれた方がいい。

>>179
ＦｉｒｅＦｏｘ対応やめたの、それが理由？
ＩＥがああなってＦＦインストールしたけど、ゆうちょダメになっててさ・・・・
まぁヤフオクとかでたまに使うだけだったし、ゆうちょ使ってもＡＴＭ行く事にしたけど

>>181
今度は銀行専用ブラウザの偽ソフトが出回るお(´･ω･`)

ゆうちょ、合言葉が違っているメッセージで何度もアクセス
何かおかしいと思ってIDを確認したら他人のIDでログイン
他人の合言葉の照会をかけていた

下手したらこっちに不正操作の疑いがかかってしまう
ワンタイムも乱数カードも無いただの数字の羅列で送金できてしまうし
ワンタイム盗まれる云々とは2桁位違うレベルの脆弱性

SSHの警告とかでないの？
無視したんだろどうせ

Java強制してくるe-taxもどうにかなりませんかね。

ユーザー側は無駄にセキュリティリスク上げざるを得ないわけで

>>182
ttp://uwagakisimasuka.blog.fc2.com/blog-entry-1987.html

ゆうちょが中止した理由を公表していないので、これが本当かどうかは解らない
ありそうな話ではあるけど

ユーザーがバカなのは仕方ないけど、銀行側がバカなケースはどうにもならないよな
特にメールワンタイム認証とか考えた奴は池沼レベル
ワンタイムドングル認証もダメならもう物理的なスマートカードを端末にさすしかないよ

しかしすごい技術もってるな犯人

>>189
おれも、MITBとか初めて知ったわ

>>53
元来はSSLの実在証明がそれに当たる
あまり必要性を感じる機能ではないと思われているが

>>54
それは個人情報保護法違反の可能性大
どこかに垂れ込むべき話

>>191
ログイン画面以降はSSLなんだけどホームページは違うという銀行がほとんどだけど
あれは重くなるからとかそういう理由なんだろうか
すべてSSLでもいいように思うんだけど

ワンタイムもかよ・・・・
こりゃネットバンキング登録してない普通の口座に預金移そうかなあ

ねっとりバンキング

>>1
ここってUFJ？

>>196
銀行名さえ見分けられないお前ってやばくない？

パスワード忘れてネットバンキング止められたオレ最強

ネット銀行の振り込みも電話認証にすればいいんだよ

ネット操作で振り込み指示→画面に認証コード4桁表示→自動音声電話着信→コード入力→振り込み

認証用の電話番号は窓口で本人確認書類と銀行印がないと変更出来なくすればいい
さらに言うなら登録住所に変更確認書類を郵送後の変更受付にすればもっと良い

これなら多少面倒でも不正送金は無いんじゃないの

IP制限できるようにしとけよ、簡単だろ。

>>199
耳が不自由だからネットバンキングで助かっている場合は電話認証は困る、ってのがあるんだけど

ウィルスに汚染されたサイトにアクセス
この時点で乗っ取られてるから
ネットバンキングに接続してIDパスワンタイムパスも全て
入力してる時点で乗っ取った奴に筒抜け。
で素早く引き出す手口。

>>201
これがあるから、それがあるから
そんなんばっかり言ってるからザルなんだよ。

切り捨ては必要。

法人向けと同じように
ネットバンキングを使った送金は必ず１営業日後に実施。
送金受付したときに確認用の認証＋１営業日後に実行される送金直前にも認証。

>>54
いつも2〜3万しか入ってないSMBCの口座に
一時的に数百万入れたことがあるんだが
振り込み完了した瞬間(指定した日の午後一番)に固定電話に掛かってきて「SMBCの○○支店です、ウニゃウニゃ…」って留守電に入ってた
折り返し掛けて何の用？と尋ねたら「あなた様の担当者です」だってｗ
光熱費の引き落とし用の口座で作ってから20年以上経つが自分のその口座に担当者がついてたなんて寝耳に水
「どーぞお構い無く！」で切り上げて切ったった
あれは保険や信託の勧誘だったのかな？まったく聞く耳持たずに遮ったからよくわからんけど、とにかくウザかった

>>203
実際問題、電話認証は難しいよ
固定電話持たないでスマホやケータイだけの人もいるし

ダメだな。
三井住友銀行。
怖いから解約するかな。

>>138が正解のようだ

>>138
すげーなー

>>170 条件によって必要な桁数が違う。
キャッシュカードはカード実物＋ATM＋3回間違えたらロックという条件だから数字4桁でまにあう
無線LANのパスワードはオフラインで高速試行できるから乱数で十数文字以上必要らしい

SMBCの、口座番号とパスワードでログインできる仕様は
危険だとおもうけど、以前も口座番号とパスワードでログインできたっけ？

口座番号は秘密の情報じゃないから、
ログイン時に使えてはいけないと思うわ

VASCOのせいじゃなくMITBだろ？
情弱が誤解するぞ

>>211
まえは口座番号ではログインできなかった
他人がわざと間違えたパスワードいれて、いやがらせでロックできそう

>>208
三井住友の説明だとちょっと違う感じだな
ログインは普通に正規のサイトなんだけどログイン後の表示か何かに反応して
ポップアップが出てパスワードやコードの入力を求められる
すると画面は特に変わらず裏で送金されてしまう
とこんな感じ

>>178
俺は前からそれでいいと思ってる。
オペレーターなんかいらん。機械音声で自動ガイダンスが
「●●へ●●円の振り込み依頼がありました。振り込む場合は1を。キャンセルは2を」
でほとんどのこの手の不正が防げる。

自分と同じ名義以外の口座への10万〜50万以上の振り込みにこれでいい。
月２回以上は電話代として手数料をプラスを取る。

あ、>>178は自分から電話って意味か。
>>215はそうじゃなくて、ネットから振り込みしたら
開設時に登録された番号に電話かかってくる方式

１日どれだけのトランザクションがあると思ってんだか…
オートダイヤラーがパンクするわ

自分と同じ名義以外へ５０万以上の振り込みなんて
5年に１回あるかないかだが。

ま、１００万に上げても、メールでもいいけどな。

パソコンのっとられたらトランザクション署名以外では不正送金防げないから
マルウェア感染しないように振込専用のパソコンにする

>>213
やっぱり改悪されてたか
口座番号を使ったログインはできないように戻してほしいね

あとゆうちょみたいにログインしたときに自分の指定した画像が
でるようになっていれば、偽サイトだったときに気が付く
SMBCにはそれもない

>>220
偽サイトかどうかは、ブラウザの錠前マークとアドレスを見れば確認できるしくみになってる

>>215-216
電話使うのは古いと思うわ
回線交換の固定回線もそう遠くない将来になくなってしまう

海外の某銀行だと重要な処理の前には
SMSを使って認証求めてくるよ
SMSで送られてくるコードを入力しないと手続きが完了しない

>>53
激しく支持する

>>222
まー、電話しか使えないお年寄りのためだけど、
開設時にメアド登録でメール返信でもいいよ。

SMSで送られてくるコードを入力は日本にもあるし、
>>1のは防げない。

>>221
偽サイト表示させる場合はURLを表示しないポップアップ画面
などが使われるそうだよ
情弱ならURLなんて確認しないし簡単に引っかかるんじゃないの

>>224
SMS認証あれば、自分がネットバンキングを使っていない時間に
知らない間に振込されたりするのは防げるよ
これだけでもかなり安心できる

あと海外だとワンタイムパスワードは当たり前になってる
日本だと大手だとSMBCくらいだものね
本当にセキュリティ対策が遅れてる

つまりあれだな
Ｐ／Ｗ入力してログイン
事前に登録した認証パスワードを相手が示せば本物
続いてワンパス入力

フィッシング、偽サイトは正しい利用方法
http://www.rcis.aist.go.jp/special/websafety2007/user1.html
で防げる。弱いパスワードやパスワード漏洩による不正送金はワンタイムパスワードで防げる
パソコンのっとりはトランザクション署名じゃないと防げない。

ちょうどワンタイム申し込んだところだったのに。
Windowsじゃなきゃ今んとこ大丈夫なのか。

>>149
巣鴨信金へようこそ
預金サービス「がんじがらめの安心口座・盗人御用」をお使いいただければこのような心配からただちに解放されます

犯人はこのニュースも知っているか？

BIGの1等当せんに関するプレスリリース
2014.05.08
第691回「BIG」に1等6億円が2口誕生！東京都のtoto売り場と三井住友銀行SMBCダイレクトサイトから1等誕生！ −[PDF]
ttp://www.jpnsport.go.jp/sinko/Portals/0/sinko/sinko/pdf/happyou260508.pdf

3000万どころか一気に6億を狙われるかも

>>201
耳が不自由な人は、ネット振り込み使うなら郵送確認が必要にすればいい
面倒さを取るか安全性を取るかなら、安全性でしょ

現状のザルなオンラインバンキングよりも、ネトゲのアカウント管理の方が
電話認証あったりしてよっぽどまともだと思えるぐらいにひどい

>>15
共産国家に金銭が一切存在しないの、とか言うバカチョソ

まあ暗証番号を長期間変えないで毎回警告受けてるから本物サイトだと安心してる俺

ぶっちゃけ偽サイト作ってパス抜くとか朝飯前なんだけどさ、
そのパスでログインして、カネを動かす先の口座でバレて捕まる。

飛ばしか、乞食に作らせた口座に動かしてから、出し子使って引き出すかビットコイン買っちゃうかで考えると、
やっぱビットコインのほう捕まる確立低いな。

昔、北米の銀行で有った奴だな
自分のPCの画面には正しい振込先と金額が表示されてるが
銀行に送られる時に振込先と金額のデータが偽物とすり替わるって奴

対策は、異なる端末で最終確認と決定をする事で
被害を受けた銀行では、登録した携帯やスマホアプリで振込先と金額を確認して
最終決定をするシステムを導入した... んだったかな？

各銀行ごとの専用ブラウザを開発すべきだな

口座番号でログインできる事自体おかしい

>>1を読む限り>>138の言うような偽サイトなんか使わないタイプのウイルスだろ。

単純にインターネットブラウザを乗っ取って二重にブラウザ(表示ブラウザと
非表示ブラウザ)を実行するだけじゃねーの？

表示ブラウザの方で被害者に通常の手順でログインパスワードとワンタイムパスワードを
入力させて振込処理をしてるように見せておいてそれを使って非表示ブラウザの方で
自分の口座に送金するだけ。
表示ブラウザの方は「ワンタイムパスワードの更新時刻に間に合いませんでした
もう一度入力してください」って表示して次のワンタイムパスワードで送金してやれば
被害者は不正送金に気がつかないだろうし。(残高が不足しなければだがそれも調整できるか)

これなら偽サイトを用意した有りする手間が必要ないんで犯人がバレ辛いし。

今ニュースで見たら非表示じゃなく逆に入力ウィンドウとして表示して
そのウインドウ経由で全部入力させんのか。

url見れば分かるんじゃ無いの？

すげえなこれ
ていうかログインのシステムもフシアナなんじゃねえの？

>>1
春の情報セキュリティスペシャリストの問題そのままだな

というか表示されてる画面が偽かどうか判断するしかないわな。

>>89
>>90
>>91
>>111

いくらログインや送金手続きのセキュリティを上げても今回のケースでは多分無駄。

わかりやすく言うと、犯人に乗っ取られたＰＣを使って正規の取引をしようとしたら

（あえて偽と言うが）偽ブラウザがネットバンクの画面表示を表示して、ワンタイムパスや振込先や金額を入力させる

偽ブラウザはそのデータをＰＣ→ネットバンクに送信せず、送信データのうち金額と振込先だけを犯人の指定口座に変更して
そのデータをＰＣ→ネットバンクに送信

ネットバンクから帰ってきた確認画面も、偽ブラウザが振込先と金額だけを正規のものに書き換えて表示

ユーザーは何の疑問ももたず送金

ユーザーのＰＣが入力情報を書き換えてネットバンクに送信するのだから対処のしようがない。

まあ実際は偽ブラウザなのか、ブラウザは正規でもウイルスのような悪意のあるコードがブラウザの動作を
改ざんしているのか。
正確な方法まではわからないが、何にしてもお使いのＰＣは悪意のあるプログラムに感染していますってこと。

だから、事前に登録してある振込先以外には振込できないように設定しておくだけでいいだろ
裏でウイルスが勝手に登録してない口座に振り込もうとしても、サーバ側でブロックされるんだから

>>246
それでは即日の都度振込ができず使い物にならない

>>130 のように送金限度額を柔軟に複数設定できるように
するのが一番効果的
未知の第3者への送金は限度額を小さく
登録済み口座は限度額を大きく設定できる

NHKじゃスマホアプリでネットバンクするのが安全とか、わけ分からねえ解説してたな
被害拡大するだけだろ
アンドロイド端末だったら簡単にルート権限取られちまうし…

vpass？変更してというメールが来ていた。三井住友カード持ってないから無視したが。危なかったか？

>>246
振込手数料で儲けてるから、振込が面倒になるようなことはしたくないんだろうな

>>246
それ面倒な割に全然無意味な対策
ウイルスの側で口座登録も自動でやるようになるだけ

ウイルス入りのPCを使う限り対策出来ないよ

>>251
口座登録するにもワンタイムパスは必要
登録すれば登録したって旨のメールも送られてくるし、全然無意味ってことはないだろ
仮にウイルスがメール送信先を変更したら、変更前と変更後のメアド両方に、メアドの登録変更したって確認メールだって送られてくるし
だからと言って、感染したPC使うのが問題ないなんて思ってないけどね

>>252
全然無意味ということは無いと思うけど今回のケースに有効かどうかは疑問
今回は振り込み確認表示前にコードを聞かれてそれを不審に思わずに入力してしまっているわけだから
そういう人は振込先登録分と合わせて2回聞かれてもそれを不審に思わない可能性が高い
もしシステム的にこの2回に要求するコードの位置が同じだったりしたら全く無意味になるし

ワンタイムパスまで被害を防げなかったとなると
あとは皆さん言ってるみたいにweb＋電話認証くらいしかないんじゃない
高額送金のときは銀行に登録した携帯や固定電話から番号通知でかけて
受けた側は機械で照合して認証が通ればプッシュボタンでwebの振込番号を
入力してやっと振込実行される仕組みとか
銀行とNTTと協力してシステム作れないかなと

ネットバンクてもうオワリなのかもね。
窓口まで出向いて専用端末でやる時代かね。

UFJのイメージばっかりだったが三井住友もあったのね

偽の入力欄に掛かれば、ワンタイムパスでも無理

第二暗証をやたらと入力させようとしているわけだな。

>>255
窓口か、支店併設のATMかなぁ。無人ATMはなんかあったよね。

ネトバンにはせいぜい５０万円程度のネット決済用資金を入れておくようにして
本体の現金はネットバンキング契約をしていない最寄りのメガバンに預けておくのがベター
もちろん何にも投資しない場合の話だがね

コンビニに専用端末置いて取引できるようにすりゃいい

>>1
またガラケーが勝利してしまったかｗ

敗北を知りたいｗ

>>251
りそなの法人口座で都度振込禁止の手続きしたが、
口座の登録は書面での受付だったよ。

即時振込は書面で事前登録した口座宛のみ可能にするとのことだった。


個人でもこういう風にすれば良い。
まあ、銀行側はめんどくさいだろうけどね。

これと>>130を組み合わせれば、とりあえず多額の被害は出なくなると思う。

テレフォンバンキングみたいなのも有ったけど
最後の認証だけプッシュホンでピポパみたいに
出来んかな。希望者だけでも。

そもそもネットの回線で個人それぞれの端末で操作するなんてムリがあるんだよな。
OpenSSLも嘘っぱちだったし。

ソニー銀行と住信SBIやめようかな、もう・・・

>>225
最近のブラウザーはアドレスバーを表示しないウィンドウはデフォルト設定では開けないようになってる
だからアドレスバーがないウィンドウが開いたらそれはブラウザーのウィンドウじゃなくてウィルスプログラムの
ウィンドウという可能性が高い
あとパスワードやコードなどを入力するときはそのウィンドウのアドレスバーの錠前印をクリックすれば
サイトの証明書が有効かどうかを確認できる
この証明書の表示はFirefoxが一番分かりやすくて次がChromeかな
IEはちょっとわかりにくい

トークンも破られたんか

「ワンタイムパスワードといえば１分ごとに
暗証番号がかわる　やつだろ　なんで盗まれるんだ？

>>269
1分以内に送金されるから。

ちょっと前を読め

ウィルス感染で、入力ウィンドウが偽造されてるということらしい

>>267
勉強になるわー

>>270
凄い泥棒だな　１分あれば充分というやつか
普通は送金限度は５０万円だろ
限度額のロックも解除したわけか

>>267
Safariだと錠前がないんだよね

アドレスバーも確認できない奴は使うべきじゃねぇってことだろ？

>>275
偽サイトなんか使ってないからアドレスバーを見ても何も分からないんじゃ？

仕事であちこちの銀行にいくが、ここが一番感じ悪いわ。
ＡＴＭの補助のオヤジですら、上から目線の命令口調。

アドレスバーのみかたって一番重要なのに、まともな解説がないよね

>>277
本業で使えないからいい年なのに案内役させてんだろ
ガンガンクレームつけてやれや

>>40
ワンタイムパスワードの仕組みを調べて出直せ

なんでメガバンがネットバンキングなんてやるんだろうな
ネットバンキングが出来るからメガバンを選ぶ客は居ない。
サービスやめちゃったほうがいいんじゃないかな

地方銀行のインターネットバンキングなんて、他社のドメイン名つかってる

おれの場合、他行だが、振込限度額はゼロ円に設定している。
なので振込をするときは

・電話で振込限度額変更を依頼
・本人確認ののち、登録してある自宅電話番号に折り返し電話が来る
・振込限度額を変更
・ログインＩＤと暗証番号でログイン
・振込実行時にキャッシュカードに記載の番号を入力
・さらに合言葉を入力（ペットの名前とか）

これでようやく振込がなされる
だから大丈夫だよね？

ネット専用端末しか無いな

>>283
いや
この場合振込先が偽装されてるから

携帯キャリア各社はクルクルパーだな
絶好の商機なのに意味もわからないんだろう

＞利用者が何らかの形でウイルスに感染
これが謎だな

>>287
エロ？

>>245
防ぐには振込指示を2つの経路で行うくらいしか無さそうだね。
pcとケータイからの指示内容の一致を確認してから、実際に振込まれるみたいな感じで。

SMS使うのはダメなのかね
トランザクション認証を達成していると思うけど

遷移
userA 銀行サイトにログイン、UserBに、100万振込操作
(SMS認証待ち)
銀行 userAにSMSを送信 内容 「userB(口座番号987654321) に100万 振込実行するならば、ワンタイムコード123456を入力し実行してください」
userA サイトに123456を入力
銀行 振込実行

ワンタイムが破られたんじゃなく
ログイン後の乗っ取り狙いに負けたのね
ブラウザでやるのやめたら？

IDとパスワードとワンタイムがバレても
暗証番号が分からないと振り込めないんじゃないの?
どの時点で暗証番号が漏れるんだ?

偽サイトで入力するからダイレクトでバレてるね

今はネットで引き出された被害者には金銭保証されているから
被害者の自衛意識が低い。

振込先を自動的に変えちゃうやつなんだろ？

ネットバンク契約した口座に大金入れたらあかんがな。

リスク承諾書出したらログインだけでおkにして欲しいわ。
パス変えろ、合言葉だ、ワンタイム送るだの、面倒くさくて面倒くさくて。。。

ATMで現金払いしてるオレに死角はなかった

>>267
勉強になりました。
分かりやすく解説して頂きありがとうございます。

>>290
>>222 >>226　にも書いた

海外の銀行では振込時にSMS認証はよくある
ワンタイムパスワードもごく普通に使われてる

日本はセキュリティ対策が遅れてる
ワンタイムパスワードはSMBC以外採用してない
振込時のSMS認証も使われていない

何で日本の銀行はそうしないのか？馬鹿なのか？

>>299
みずほも採用してますけど？
楽天と三菱東京UFJは携帯に送られてくるタイプだね。

>>300
SMS認証はたいしてコストもかからないし
導入しないのはアホだと思う

デバイス使ったワンタイムパスワードはコストも関係してる
デバイスの費用がかかるし、電池切れるたびに返送する必要ある

もうIPで規制するしか無いな、固定IPかプロバの事前登録

>>301
みずほの採用って何の話？
俺がワンタイムパスワードと書いてるのは
SMBCみたいに専用のデバイス使ったワンタイムパスワードの話だよ

楽天のはワンタイム認証という名前でメールでやるやつだね
コードは暗号化されていないメールで送信されるから
デバイス使ったワンタイムパスワードよりもかなりセキュリティは落ちる

楽天は日本の銀行の中では一番セキュリティ対策してるっぽいな
http://www.rakuten-bank.co.jp/security/index.html
「取引通知メール」とかは他行でも無料で提供してほしいところ

ネットバンクJNBはトークン式ワンタイムパスワード使ってる。

>>304
ソニーも似たような通知メールをやっていたような
ただHPでは探し出せず

>>３０４
みずほもトークン端末は希望者のみ有料で利用可能
かれこれ５年以上利用してるが、電池切れは無い

げ☆
ワンタンでもダメなのかぃ。

えええ？　ワンタイムパスでもダメなのかよー。
どうやってんだ犯罪組織側は？　ワンタイムパスの時系列データそのものを収集し
ちゃってるのかな？

こんなこと中国人が出来るわけないんじゃね？
数年前まで自転車曲乗り通勤してたり
少年兵が凍った肉まんを朝飯で食ってた国だぜ？

銀行内部に犯人が居るんじゃね？

>>37
偽画面には認証のアイコン（id情報？）ないのかな。
そのくらい偽装しちまうのかな。

これかしこいね。
銀行のミラーサイト作ってパスワードを入力させ、それを使ってすぐ本物のサイトで金下ろすんだろ。
二つのサイトをシンクロさせるとこがすごいね。これならパスワードはなにを使っても破られる。
これホント賢い。感心するよ。

対抗策はないね。いまのところ。

>>234
> まあ暗証番号を長期間変えないで毎回警告受けてるから本物サイトだと安心してる俺



おーー賢いわー。そうゆう使い方もあるな。

＞ミラーサイト作って
なんだひろゆきの2chとおんなじか

>>299
＞ワンタイムパスワードはSMBC以外採用してない

え？JNBとかソニーは採用してるが？
ワンタイムパスワードが表示されるトークンっていう
小型の装置が郵送されるぞ

こうゆう犯罪は知恵を出す人と、実行犯は別の人がやってる。
だからいつになっても根絶できない。

>>37
＞対処するならPCとは別経路で認証する方法をとるしか手がない

ああ、それなら、住信SBIネット銀行が採用してるシステムが良い
少し前まで「モバキー認証」（モバイルキー認証）、今では「スマート認証」なんて名前の仕組みなんだけど
要するに振込みたいに、口座残高が減る取引を行う際に、
PCの中でパスワードとか入力して完結させるんじゃなくて
携帯電話とかスマホから4ケタの番号を打ち込むことで、ようやく取引完了するっていう仕組み
だから、PC上のデータ読み取るウイルス仕掛けられても大丈夫

↑うち、固定電話しかないんだけど。
新生みたく電話取引できない？

ガラケー最強伝説

えー
ワンタイムパスカード配布したばかりじゃねーか

>>305-306
JNBはかんたん決済無料になったし、トークンあるなら口座作ろうかな

>>315
ネットバンクは無料でトークン使えるところけっこうあるんだな

大手（ゆうちょとメガバンク）だと
ゆうちょも三菱東京UFJもトークンなし、みずほは有料
大手ほどセキュリティ対策がネットバンクより遅れてるな

>>307
みずほは発行で2160円とるのか
無料にしないと申し込む人少なそう
毎日使ってると電池切れになるよ

>>309
ワンタイムパスワード自体に問題はない、偽の画面に入力させられてるだけ

そのウィルスに感染してるのがわかればいいのか。
で、ノートンさんが「アンチウィルスソフトは死んだ」とｗ

無料で配布してるTrusteer RapportやPhishWall（フィッシュウォール）をPC
に入れてるけどな。当然アンチウイルスは当然入れている
これで大体は防御出来る。又、ネットバンク専用限定したＰＣを導入出来れば更に良し

対象のブラウザはやっぱりIE?

このウィルスに感染してしまうと本物の「ＳＭＢＣダイレクト」に行ってるのに犯人の口座に振り込む操作をさせられてしまうという事なのか？
それは怖いな

>仕組み的にはあのパスワードは時間？や普通口座の番号に依存しているのだろうか？

ワンタイムパスワードは通信しているわけではないから
海外に持っていっても使えますよね？

>みずほは発行で2160円とるのか

さすがにその額を払うのはためらうよ

通帳に銀行印の俺に
全く隙は無い。カードも論外。

>>10
偽画面に打ち込んじゃって
速攻で犯人はそのパスワード使ったんじゃないのか

三井住友VISAカードのフィッシングが関わってるの？

このようなMITB攻撃にカスペルスキーのブラウザ保護機能はどの程度有効なのか？

気になる。

>>328
その窓口、担当者は本物か？って話

本人の携帯から「振込しまーす」って電話もらうようにすれば？

>>329
でもあのワンパスが生きているのは30秒くらいだろ。
犯人側は画面に張り付いていたというわけ？

大昔、ダンボールで作られた夜間金庫に騙されてお金を投入したのもいるからな

これは防げないなぁ
普段から頻繁にログインしていればいつもと違うと気づくかもしれないけど
振込みのときたまにだと、気づかない

>>334
ウィルスソフトウェアがブラウザの裏で銀行へのログインを監視。
振込先と金額を自動で勝手に書き換える。（利用者側からは不可視）
↓
正規のログインで犯人側の口座へ自動入金。
↓
利用者の確認する振り込み履歴も自動で書き換え

MITB攻撃

>>337
やっぱりそういうことなんだね。
返答ありがとうね。

もうネットバンキングなんてやめて銀行も夜8時ぐらいまで営業して
給与以外の振込は窓口で対応すればいいと思う

こえぇなぁ

>ダンボールで作られた夜間金庫に騙されてお金を投入したのもいるからな

それはコントの中だけの話

ネックハンギングは危険な罠がいっぱいですね！

>>341
実際にあった事件だよ。
見事に騙された人が多くて現金が入りすぎて偽金庫が壊れてしまい発覚。

銀行取引専用のPCと、携帯やPHSのダイヤルアップで
銀行のサーバに直接アクセス
インターネットには絶対につなげないという方法しか
安全を担保できないだろう

>>341
本当の話。結構騙されてるから、ネットバンクもコンビニATMでの隠しカメラ
もボートして油断してるやつは騙される
http://yabusaka.moo.jp/yakan.htm

ワンタイムパスワードがクラックされたんじゃなくて
振込先をいじられたんじゃね？

>>337
それって利用者が振り込まなければ、
犯人側に振り込まれないんだろうか。
たぶんログイン・パスワードと振込みのパスワードは違うんだろう？

>>347
正規手続きの振り込み時に振込先を自動（利用者には不可視）で書き換える手法だから、最終振り込み手続きを完了しなければ
どこにも振り込まれないはず。

ふーむ。そうするともう振込には振込先登録を必須にして
さらに登録には電話認証必須とかにしなければダメかな。

終に「ゆうちょ銀行」がトークン始めたな。
当然だけど無料だって。　「みずほ」はケチ杉ｗ

>>348
とん。
おっかねぇ。

銀行でこの手のセキュリティなんて所詮こんなもんだろ
最初から破られるのも時間の問題と思ってたから
面倒でも店頭に行ってるがな
大手企業の開発依頼先なんて全て天下り先だぜ？
そんな奴らが優れたセキュリティなんて作れるわけも無い
セキュリティの硬さだけならまだオンラインゲームの方が硬い

>>350
ほんとだ。ゆうちょもトークン式ワンタイムパスワード開始か
http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_token.html

無料でトークン式ワンタイムパスワード
ゆうちょ銀行、三井住友、ソニーバンク、JNB

有料でトークン式ワンタイムパスワード
みずほ（2160円）

トークンが使えない銀行
三菱東京UFJ

>>352
新生のシステムは、インド人が作ったという噂がｗ

つーか振り込み画面でしかワンタイム打ち込まなきゃいいだけじゃん
さすがにそれ以外で打ち込むのは頭おかしいだろ

>>353
見たけど、数字ボタンの存在理由が分からない

>>356
使用する時のPINコード（暗証番号）入力用
PINコードは設定しなくても使える。

そういや最近はUFJから「貴様あああ」っていうメール来なくなったな

ログイン時はいけるだろうけど、取引時はどうすんのこれ？

日曜日に三菱東京からネットバンク気をつけてくださいねって電話来たわ、日曜なのに大変やね

ワンタイムパスの機械に振込先と金額を入力して
その情報を内包したパスワードが出てくるようにすれば？

本人自ら(騙されて)パスワード入力しちゃうんじゃそりゃお手上げだわ
そっくりな偽サイト作られたらわからんし

これは、振込時に振込金額を盗まれるの？
残高から勝手に振り込まれるの？　どっち？

>>356
MITB対応用じゃねえの？

全銀手順でダイヤルアップ接続が一番安全！

>>363
残高から勝手に振り込まれちゃ銀行の責任になるだろ・・・

何年か毎に百万単位の金を銀行から郵貯に移しています。
高額なので銀行でおろして郵便局に持参するのも憚られ、ネット送金しています。
こんな場合が危ないのなら、やはり持参するしかないのでしょうか？

>>321
ゆうちょ銀行は6月あたりからトークン利用開始だな。

>>224
SMSのメッセージで振込先と金額を表示すれば防げるのでは？

hsbc hongkong なんか、とっくの昔から、
日本にまでSMS飛ばすし、ワンタイムドングルも配ってるな
邦銀はほんとバカ

>>369
そうだね。ブラウザの表示上の確認画面を変えるのはマルウェアで可能としても、
送られてくるメールまで変えるのは他の携帯ならまず無理だし。
同じPCのメールなら不可能ではないか。

銀行からのメールからは先ず飛ばないな

そういう詐欺メール来たこと無いな、一度見てみたいｗ

野村証券から数年前にトークン来てたな

>>367
銀行の窓口で振込依頼すればいいんじゃね？手数料と時間かかるだろうけど

>>373
俺も見てみたいｗ
どこから貰ってくるんだよ