【社会】正規サイトにログインすると他人名義の口座へ自動不正送金...新手ウイルス被害を初確認 [14/09/11]

他人名義の口座へ自動不正送金　新手ウイルス被害を初確認
【日本経済新聞】 2014/9/11 10:20

インターネットバンキングの正規サイトにログインすると、利用者が知らないところで犯罪者の用意した口座へ
自動的に不正送金が実行される――。警察当局は今年、こんな新手のコンピューターウイルスによる被害を
国内で初めて確認した。

MITB攻撃と呼ばれる。MITBは「マン・イン・ザ・ブラウザー」の頭文字を取った略語で、
ブラウザー(閲覧ソフト)が乗っ取られた状態になるのを「まるでブラウザーの中に人がいるようだ」と
表現した。

警察庁によると、今回の手口では、利用者がネットバンキングのサイトにログインしたところ、ウイルスに
感染したパソコンがこれを検知し、自動的に他人名義の口座へ不正送金を命令。利用者本人はまったく
気付かず、送られた金はその後、引き出されたという。

これまでの不正送金ウイルスは、感染したパソコンでログインすると偽の画面が表示され、利用者にID、
パスワードの入力を促して盗み取るタイプが主流だった。犯罪者はその後、利用者になりすましてログインし、
不正送金していた。

しかし最近は、偽画面を見破るセキュリティーソフトが開発されたり、ID、パスワード以外の認証方法が
採用されたり対策が進んだ。このため犯罪者側は、利用者本人にログインさせる手口を考えたとみられる。

警察庁の集計によると、今年上半期の不正送金被害は約18億5200万円で、年間で過去最悪だった昨年1年間の
約14億600万円を上回った。〔共同〕

ソース: http://www.nikkei.com/article/DGXLASDG11002_R10C14A9CR0000/

関連ソース:
「まるでブラウザーの中に人がいるようだ」他人口座への自動不正送金　新手の被害初確認 | MSN産経ニュース
http://sankei.jp.msn.com/affairs/news/140911/crm14091110400007-n1.htm

なにこれこわい

ったく、どうしようもねえな

記事に「犯人は中国人」が抜けてる

（　｀ハ´）　けしからんｱﾙﾖ

素晴らしい、俺の口座に変えてくれ　(笑)

どうやったら防げるの？

ありえない

感染しているパソコンのユーザーから一言
↓

>>1
>利用者がネットバンキングのサイトにログインしたところ、ウイルスに
>感染したパソコンがこれを検知し、自動的に他人名義の口座へ不正送金を命令。

XP厨最低だな(´・ω・｀)

これ、その正規サイトの中のやつが犯人だろ

どうすんだよこれ

うお、こえーな

責任は正規HPの銀行側　　ダメだろ

個別で対策ソフト配布するのやめろよ
なんで何種類もインストールしなきゃならないんだよ
統一しろ

中国経済の何割が犯罪収益で成り立ってるんだろうな

>>7
インターネットバンキングを使わない

>>7
下位レイヤー

・IE使わない
・JavaScriptやそれに類するスクリプトは全部切る

でほぼ防げる

・パケット監視ソフト

もあればベターだがこの種の手口はパケは全部正規のサイトに飛ぶから
判定はしづらい

上位レイヤーなら

・送金限度額を低く設定
・あらかじめ登録した送金先以外送らないよう設定
・メアド登録して、送金したらすぐメールが来るようにする

で被害額を最小限にできる

ウイルスがブラウザを不可視で立ち上げて自動操作してるのかな

なんやかんやネットべったりの俺が
未だ手を出さないのがネットバンキング

BIGが当たって口座に振り込まれたんだけど、これじゃ怖くて出金できない

俺の口座 ６円しか入ってないから どうでもいい

>>19
重要（銀行側）で意味があるのは、「どこをクリックしたか」じゃなくて、「どういうパケットが送られたか」だから、
ログインさえ済んだら、パケットのやりとりをするだけ

>>7
銀行に行って振り込め

暗証カードみたいなのに番号が書いてある銀行なら、この手口は出来ない
そのカードを眺めて番号入力する必要があるから

ネット銀行を利用しなければ大丈夫

中狂は国家ぐるみでやるからタチが悪い

この場合、不正送金されたお金は銀行が保証するのかね？

ネットバンキングなんてやるもんじゃない

>>7
インターネッツを一切使わない

ばかもーん

残高０の筈の自分の口座に
見知らぬ誰かからの入金があるかもしれない

と思って暮らせるのか？今後は(´・ω・｀)

しかしネット銀行はすごく便利　不必要な金は置いておかないって事だな

>>7
残高ゼロ

>>7

（‘人’）

ガラケーからiモードバンキングさｗ

うちが使ってる某銀行は、とうとう、都度振込廃止にやがった。
もう、オンラインバンキングのメリット激減。
なんだかな・・・

>>25
それもユーザにやらせる手口なの

・送られてきたカード情報「Cの５」の数値を入力してください、とか）をそのまま表示
・ユーザに打ち込ませる

んだけど、ま、ふつうのユーザなら気づくわなｗ
「何でオレが振り込む前にこんなの表示されるんだ？」とｗ

かなり無理筋のウィルスではある
ちゃんと対策してれば実害はほとんどありえない

ログインだけじゃ送金できんだろ。送金前に乱数表とかでパス入力するだろをどうやってんだよこれは

中国は共産主義なんだから日本にある中国人の資産から回収すればいい

残高200円(´・ω・`)

>>25
それない銀行あるのか？

>>41
昔はいくつかあったが、もうないだろｗ
かなり無理あるウィルスではある

だから


ネットバンキングじゃなくて


銀行名をかけよ

>>7
ネットバンキング専用PCを用意して金庫にしまっておく

正規の銀行なんか
銀行がかってにとるんか

でもいまはランタイムトークンあるから

ログインしてもト〜クンいれなきゃ送金されないでしょ

これ何処のネットバンクで被害にあったのか
なんで書かれていないのかね？

>>47
日経新聞のメインバンクだなｗｗｗｗｗｗ

どうせ　支那チョン人のしわざだな


中国にはチョン族が多いので混血していい中国人はチョンのDNAに汚染されて言ってるらしい

自分の使ってるインターネットバンクだと
送金直前で送金先確認画面と暗証コード手入力が
問われるから無理だと思うけどなあ
被害が出てるってことは一度ログインしたら以後は
送金時にも暗証コードの入力が必要ない
欠陥システムの銀行サイトがあるってことか

>>37
ネットバンキングをこれから使い始めようという人なら引っかかるかも

俺の預金が少ないのはこれのせいか

JNBは大丈夫だよね？
トークン使ってるし

>>1
銀行側のapiを直接キックしてるからバレないんでないの？
それなら改善できそうな気がするんだが

三菱UFJのセキュリティソフト
FireFox + EMETを併用するとFireFoxが落ちるから使えん

>>18
JavaScript切ったら、オンライン口座の機能がほとんど使えなくならね？

昔から新生銀行とシティが甘かったが（IDパスのみで送金）

・新生→乱数表を導入したっぽい（なんか、３５か所打ち込んでください、という手口があるようだｗ　さすがに気づくだろｗ）

・シティ→ワンタイムパス導入だが、オプショナル


だから、シティだとIDパスだけで送金できる客がまだいそう・・・

現金は僅かにして、貯金は証券口座にmmfで持つ

これだからネットバンキングは
使いたくても使えんのだ罠・・・

インターネットは粗悪品ですものー

みずほとか大手は大丈夫だろ、どこの欠陥サイトだよ、さらしてくれ

>>44
それだ！
でも家の金庫じゃ不安だから
銀行の貸金庫を使ったらいいんじゃないかなあ。

>>54
銀行側からしたら、

・客が手で打ち込んで送信したパケなのか
・プログラムが送信してきたパケなのか

の判定はできないよ

＞＞61
ブラウザ側に入り込んでるんだからサイトの問題じゃないんじゃねーの？

乗っ取られても認証番号票がなければ
送金できないだろう

今時認証番号票のないネット銀行なんてあるか？

なにこれ、こわすぎ…

どうすればいいの？

もうログインしちゃダメってこと？

>>61
大手メガバンクの方が狙われやすく危険です

ブラウザを乗っ取ってるから、ログインまで動かずに、ログイン後に自分の口座へ送金するフォーム内容を送るんだな
ウイルスがどこまで誤魔化すかわからないが、残高や取引履歴の表示の改竄も出来なくはない
送金前のチェックがある銀行なら、他の人へ送金する時に口座番号と金額を改竄すれば通るだろう

よくわからんけど、IDとパスワードのほかにランダムな数字2つの組み合わせ(カード
裏にかいてある数字)を入力しないと送金できないんだけど、それでも引き出されるのかな?

>>23
そうだけど、SSLはどうすんの？

要するに、どうやって振り込ませるん？
自演用口座でもあるんかw

>>62
おいｗ

まあネットワークから切り離しておくのが大事

おんもに出たときに送金でいいんだけどね

送金するときにログインパスワードとは別の乱数表とかワンタイムパスワード入れるのが普通じゃないの？

ログインしただけじゃあ送金は無理だろ

一回振り込みしたら、そのパスとかを覚えておいて
次は勝手に振り込むみたいな感じなのかね

もう箪笥預金にするしかないね

認証番号入力しているのは利用者だしね

送金前のパスワード認証をどうやって破ったんだろ？？

>>64
まぁ考えてみりゃ、ブラウザとメーラーがフックされたら終了だよな
ID,PASS,ワンタイム 全部アボン

ブラウザよわすぎい

そもそも、ブラウザ〜乗っ取ったら、真っ先に2chに恥ずかしいこと書かせるんだけどねw

ネットバンキングて問題だらけだね

自分はネット送金ほとんどせず、残高確認のみだからまだいいけど、
家族がパソコンに詳しくないのにネットバンクほいほい使ってるから
心配だなあ

「チンク・イン・ザ・ブラウザー」だろう

最近殆どｊａｖａ切ってる
面倒臭さが半端無いけど

>>50
送金時に暗証番号+ワンタイムパスなら
ログインだけで送金は無いだろうね
ただ送金先偽装には対応できないから
送金先と金額のダブルチェックが必要
送金時に暗証番号だけだと、前回の暗証番号を使用される可能性がある

おれもヘッドバンキングには気を付けよう

もう銀行専用アプリにしろよ

利用者の画面と銀行に送信しているデータが違うって事なのか？
利用者がかりに、○○商会　口座番号を入力しているが、
実際は、詐欺口座に変わっていて、その口座に利用者が指定した金額が振り込まれる。
それなら、欄数表など利用者が入力してるから関係ないよね。
そんな事、できるのかな？

また虫国人かよ

これって被害者は銀行？口座所有者？被害額は誰がかぶるの？

今時キャッシュカードも作らず、
金をおろすときはハンコと通帳持って顔なじみの銀行で下して、
そっから送金なりなんなりしてるうちの婆さんが最強ってことか？

マジかｗすげーなｗｗｗ

>>1
ガラケーでネットバンキング最強！

正規サイトでこれじゃどうすりゃいいんだ
窓口最強か

>>92
引ったくりで乙る

だからインターネットバンキングはつかわねーの、俺。

>>89
ローカルプロキシ的なシステムかな（適当）

>>91
銀行じゃね？なんか顧客側には保護法あったような

こういうの出てくるとは思ってたよ。
ネット・バンキングやらなければ、一応大丈夫と考えてもいい？
　

ネットバンキングってやつか？
これはもう使い物にならないってことかよ

送信先が固定でロックされていて
変更も窓口でやらないといけない場合はどうなるのっと

金がないおまえらまた大勝利だな

ふつう 送金トランザクション処理するときは
ワンタイムパスワードを要求されるだろうに？

>>89
利用者と銀行の間に割り込めばできるんじゃね?
素人考えで恐縮だが

一番やっかいな部分が抜けてるだろ

「送金手続き（金額・口座番号を入力後）ワンタイムパスワードを入力し
送信ボタンを押す」

「この情報が全てニセサーバーを経由してリアルタイムで
金額・口座番号を改ざん後ワンタイムパスワード情報を乗っけたまま
正規のサーバーに転送される。」

利用者には正常に取引できたというニセのメッセージが表示されるが
実際には全く違う金額が違う口座に振り込まれている

つまり、ワンタイムパスワードとか無意味

>>99
腹いせに、お前の恥ずかしい性癖がネットに流出するｗ

すごい技術力だな

ゆうちゃんよりすごいね

>>89
銀行とブラウザで表示される画面の間に居るから、遣り取りの改竄はし放題だよ

これはきびしいなあまり大金置いておけねーな

>>36
楽天も新しい振込み先に送る時はむちゃくちゃめんどうな操作になってるな
こんなんならATMに行って手動で振り込むほうが手間がかからんという
なんとかならんもんかね

マン・イン・ザ・ウラワザー

意外とネットバンク専用アンチウイルスソフトが原因だったりしてな
あれ突然現れたソフトだし

>>112　それや、元のシステム組んだ人が関わってそうだよね。

これ引き出すときはどうやってるんだろう？
送金を５回以上くらい繰り返して、全然関係ない金融機関から出金？

どういう仕組み？　スクリプト入れて、post、get処理を乗っ取るのけ？　感染はどこから？　メール？　エロサイト？

みんなの口座の利子1円未満の端数を俺の口座に移してくれ。

送金前にカードのセキュリティ番号とか入力しないか？

カードまで貰ったのに暗証番号忘れて全く使っていない

そんな人が増えています

>>99
ネットでお買い物なんかにも、応用はできるけど、
口座と違って、現物行った先は足が付きやすいからなぁ

あんまり動かさない金はキャッシュカード作らずにメインバンク以外に預けてるわ
これで泥棒以外は大丈夫

>>117　あれ最初の一回を使わないと、一ヶ月くらいで期限切れになってしまい
無効になるよ。ネット用カード。

次から次へと穴だらけで使い物にならんなネット銀行は
(´･ω･｀)

>>105
偽サーバ方法だとSSLの内容が読めないだろ
ブラウザの中に入り込めばSSLを復号した平文を改竄できる

JNBのトークン認証もコード入れた瞬間にぶっ込まれるのか？

ここまでくるとOSの問題ともいえるよなあ
何でクリーンな状態でブラウザーを使えるようなモードが無いのかっていう

ブラウザに仕込むのか
ワンタイムとか全く意味無しだね

>>122
なるほどね・・・
だからブラウザ乗っ取りなのか

やばいな

便利だから残してた口座は3000円残して放置
ローン機能も廃止したから何かあっても最大で3000円の被害で収まる
競馬用口座に手数料無料で振り込めるから解約はしたくないんだよな

>>124
完全防御ができるなら、ブラウザーがどうこうでなくて、
そもウィルスなんてものが存在しなくなるだろｗ

>>123
口座番号と金額は改竄されてワンタイムパスワード情報は正規のものが
JNBに送られる

これもうどうしようもねえな

オクやってるとネットバンキングやらざるを得ないわ。
いちいち実店舗で入金確認・振込なんざとてもやれない。

専用端末でダイアルアップが最強

ネットバンクのワンタイムパスワード盗むウイルス、国内5行がターゲット
http://internet.watch.impress.co.jp/docs/news/20140516_648894.html

>>129
なるほど、対策できるまで暫くネットバンクは使えないな

カードの番号からコード打つタイプは
常駐型ウイルスには効かないかもしれん
頻繁にネットバンク使うならウイルスに番号表を「ビンゴ！コンプ！」されるかもね

>>120
そうなんだ。ちょっと気が楽になったわ。トンクス。

ネットバンキングなんか使うからだよ

トークンのJNBだから大丈夫だと思ってたけど最近こういうニュースばっかりだから
250万預けてた貯金を降ろして最悪これぐらいなら抜かれてもいいやと思う金額10万だけ残しておいたわ

>>127　最近はその数千円くらいで放置してると、
確か数年で口座廃止になるんじゃなかったかな？

>>128
インストールしたソフトのうち自分が指定したソフトしか使えないとかいうモードがあれば
かなり状況は改善すると思うけどどうなのかな

口座操作とか起動する度に初期化される仮想OSからしかせんな

>>133
ちょｗｗｗｗ偽画面の例がどう見ても三菱東京ＵＦＪ銀行なんだがｗ
俺オワタ

口座に　５００円しかないから心配してない

おもしろいね。書き込みしてる人が、全然危険性を理解し切れていない。
ワンタイムパスワードがあるからとか、いって。こりゃやられるわ。

>>135
カード番号はユーザが入力してくれるからウィルスは口座番号を置き換えるだけでいい
銀行側からすれば正規の入力とみなされて犯人の口座に送金する
さらにメールソフトも改ざんすれば正しい口座に送金されたと通知されてまったく気づかないだろうな

別に泥棒に入られたってどうしようもねえし
世の中いつ交通事故にあって死んでもおかしくないし
同じ水準の話じゃねえの？

っSSL使ってたら途中で盗み聞き、改ざんは無理じゃないか？

送金上限額0円にしたった。
おら、かかってこいや！

>>144
お、セキュリティの先生だな
早く答えてくれ

これだからネット銀行は怖くて使えない。

>>140　そっちの制限モードの側を書き換えられて終わりなんじゃないの。

>>145
送金先書き換えとか恐ろしいなぁ

サイバー警察とやらは検挙率上げるためにアニオタ逮捕してる暇があるなら
国民に多大な損害をもたらすこういう案件に全力を注げよ

対策は送金先・送金額データを送った後、表示させてこれでよろしいですか、ってするしかないな。
というか、現状それやってるんでないの？

ネットバンキングなんて利用するからだ。
金で手抜きすると結局泣く羽目になる。

>>37
>>>25
>それもユーザにやらせる手口なの
>
>・送られてきたカード情報「Cの５」の数値を入力してください、とか）をそのまま表示
>・ユーザに打ち込ませる
>
>んだけど、ま、ふつうのユーザなら気づくわなｗ
>「何でオレが振り込む前にこんなの表示されるんだ？」とｗ
>
>かなり無理筋のウィルスではある
>ちゃんと対策してれば実害はほとんどありえない

それ無理だから
振り込む時しか聞かれないから、振り込んでない時にいきなり聞かれてもおかしい

プラグイン、アドオン一切なしの専用ブラウザ使って
COMODOとかのHIPSでフックとかもガチガチに監視すればおｋか？

犯罪とは言え、これ作れる奴って会社にいたら重宝するな

会社で飼える奴かはわからんが

>>154
そのそれでよろしいですか？確認ボタン押下をスクリプトで
やっちゃうから気がつかないんだろ

ネットバンクもそのうち検疫JAVAアプレットのインストールが必須になったりするのかな

こういうニュースってウィルス対策ソフトを売るためのステマだったりするんだよな

プライベートウィンドウみたいなの使っても効果ないのかな

>>151
その場合でもインストールしたウィルスは
そのモードではその使用を認めてないから動作しない
という感じにできるのではないかと
Windowsでもグループポリシーとかでソフト制限できるけど
一般ユーザーができるほど簡単じゃないよね

>>157
プラグイン機能が無いブラウザってあるの？

パープルヘイズ！！

>>157
ひょっとしたら、侵入後はアドオンやプラグインに化けてるのかもね

貧弱なネットバンク使うからだよ

少し前にトークンのアルゴリズムがぶっこ抜かれたらしいね

それJNBとは異なるアルゴリズムだったらしい

記事読んだだけだと、ID、バス云々は関係無いんだろ？

ウィルスは送金口座情報を変更するって事なんじゃないか？

トークンが無い所では口座開設しない
決済にはガラケーを使う
以上が安心度が高いオンライン銀行の使い方だ

>>122,129

　　　　　　　　　＿＿＿
　　　　　　　 ／⌒　　⌒＼　　　　　　　━━┓┃┃
　　　　　　／（ ￣）　 （＿）＼　　　　　　　　 ┃　　　━━━━━━━━
　　　　 ／ ∴⌒（__人__）⌒∴＼.　　　　　　 ┃　　　　　　　　　　　　　　　┃┃┃
　　　　|　　　 ゝ'ﾟ　　　　　≦　三　ﾟ｡　ﾟ　　　　　　　　　　　　　　　　　　　　　　 ┛
　　　　＼　　｡≧　　　　　　　三　＝=-
　　　　　　　　-ｧ,　　　　　　　　≧=-　。
　　　　　　　　 ｲﾚ,､　　　　　　　＞三　　｡ﾟ　･　ﾟ
　　　　　　　　≦｀Vヾ　　　　　　　ヾ　≧
　　　　　　　 ｡ ﾟ　/｡･ｲﾊ ､､　　　　｀ミ　｡ ﾟ　｡ ･

ｓｍｂｃに10円しかないし
Linux　使ってるし
アドレス直に手で打ってるし
とれねーよ。がはは。

>>168
そんな事実はない
トークンのアルゴリズムｗ
無知を晒すなｗｗ

>>154
その部分の表示は改竄前の状態を表示させてるんだよ

こんな煽り記事書いてるとパソコン危険だから使わなくなって、セキュリティーソフト会社潰れ始めるよ。

>>163
使用してるのがWin系のOSなら、タスクマネージャーを開いてみよう
君の意識しないプログラムがどんだけ、走ってるか判るから

>>176
結構なことじゃないか
馬鹿かお前は

うーん？
つまり「送金」ではなくアクティブな口座番号のズラシなのか？
それ内部システムに関わってる奴が関与しないと無理じゃね

一番いいのは契約銀行がネットバンキング専用の端末機を配布する事だな。

PC上ではプログラムを実行するという時点で改変、改竄が可能って事を意味するのだから…

ガラケーじゃなくてもiPhoneでもPCよりはちょっと安全だな

>>180
＞一番いいのは契約銀行がネットバンキング専用の端末機を配布する事だな。
それ大昔やってたよ・・・

>>180
うちの会社まだ使ってるでｗ
もし端末が壊れたら中古を買うしかない
ハッカーなんてなんぼのもんじゃい
銀行はサービス終了したいだろうな

>>140
なぜMITBが危険かというと、許可されたブラウザのプロセス内で走るからなんだよ
これをどうにかしないことには、HIPSですら無意味

ていうか オンラインバンキングって普通送金するときに
もう一段階別の認証（乱数表やワンタイムパスワード）がいるよな？
それはどう突破するんだよ

>>153
ヒント：この手口を日本人がするようなことであるか

昔のハッカー映画ってPC使えば何でもできるみたいなお話だったけど
だんだん現実になってきたな。

金を奪う犯罪は殺人とほぼ同等の刑罰にすればいいのに
やられる方の重みに合わないほどやる方は気軽にやってるんだよ
殺人はやる方も相応の捨て身でやる(だから良いって意味ではない)
バランスが悪いよ

また昔みたいに各銀行ごとの専用ソフトの時代になるのか。

取りあえずローテクで
送金したりした金額はメモを取っておくしかないのか
でも金は戻って来ないんだろ？

マン・イン・ザ・ブラウザーて、まんまブラウザの中の人か。w

これって要するに
「ネトゲでレアアイテムをパクられた！」
って騒いでいるのと変わらないだろw

あの初心者なのであえてお聞きしますけど
セキュリティソフト（有料）を入れておいても
この手のウィルスは突破してくるもんですか？
常に最新のデータに更新はしてるんですけど。
さらに通販やネットバンキングの場合、ネット決済専用の
ブラウザで尚且つ仮想キーボードを使用してるんですが。
それでもダメ？

乱数表は入力させても無視だろ。
おそらく犯人の口座に乱数表やトークンは無い。
銀行に共犯者が居るとしても不正送金先の犯人の口座がある銀行だけ。

>>193
セキュリティソフトも万全ではない。
新種のウイルスなら対応できない。

書面で携帯のメアド登録、
5万円以上の振り込みは現行の認証＋携帯のメアドに振込先と金額が送信され、
おｋなら返信で振り込まれるようにしとけばいい。
そんなことすらしないのは、銀行の怠慢。甘いんだから全額弁償しろ

>>193

VirtualBox上のLinuxからネットバンキング使えば安全。

ネットバンキングなんて詐欺師の為のものだろ？

どこの銀行のサイトか公表しないの？
「ネットバンキングのサイト」
でひとくくりにしてしまうのは違うと思うが

ネットバンクに口座がなけりゃ恐るるに足りぬ？

どうせメガバンだろ

問題は被害者が何処で感染したかだろ
またmailを疑い無しにパカパカ開けてたってヲチじゃねーだろな

>>199
それが知りたい
どこの誰が被害に合ってるんだ？一件当たりの被害額も知りたい

>>193
まあ、100%の安全は無いがリスクを限りなく減らす事はできる
常にOSとアンチウイルスソフトを最新にアップデートしてウイルスチェックしていればかなり減る
その上でこのようなセキュリティー情報をいつも気にしてること
あとは、DMのリンクをクリックしたり、ネットから拾ってきたソフトを安易にインストールするような隙をつくらないことだな

今回の場合どこがって問題じゃない
最終段階のパケットを不正に送りつけられるのはどこだって同じ

【社会】今度はセブンイレブン店員と客のトラブル動画が投稿され物議★4
http://daily.2ch.net/test/read.cgi/newsplus/1410415358/

Man in the Box

どうせきもい性欲男共がエロサイト(笑)見て鼻の下伸ばしてる隙にウイルスに感染するんだろ
そんなもん見て感染する男共の自業自得

で？どこの銀行のネットバンクだよ
大事な情報を省くんじゃねえ

>>35
先に書かれてたか(´・ω・｀)

わお

>>8
だよな。送金するときは乱数表で作った記号を入力しないといけないからな。

送金先の口座の持ち主が犯人じゃん
簡単に捕まえられるよね

>>213
> 送金先の口座の持ち主が犯人じゃん
> 簡単に捕まえられるよね

犯人は米のコンビニ強盗だね！

ワンタイムパスも導入してないネットバンクはカス

口座を確認しようとして被害拡大こええ

>>215
ワンタイムも実装次第では既にMITBにやられてる

>>172　　　　M I T B 攻 撃 と は
http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/071400001/

ログインだけで乱数表まで解読できるのか？

こんなんどうしようも無いんじゃね？

ちょっとネットバンキングを使うことに躊躇が芽生えるなぁ。
画面の画像やキーボードの入力情報を盗むのなら乱数表も無意味だし。

取り敢えず、windowsPCよかiPadのほうがチョットだけ安心

>>222
そうだな、ラーメンズも絶対にウィルスにかからないPCと絶賛してたしな

>>25
過去に入力した番号表のデータを記録してれば可能

例えばある振込手続きで「A2」と「D1」を入力したとする
そうするとウイルスは他の番号は知らなくてもこの2つの組合せだけは知っている事になる
この組合せが不正送金時にもう一度発生する可能性は低いけど、
何日か後にまた振込手続きで「A3」と「B4」を入力したとする
そうすると、ウイルスは他の番号は知らなくても、この4つの組合せは知っている事になる
ユーザが振込手続きする度にこの組合せは増えていくわけだから、その度に不正送金を試みれば良い

オークションやる人とか頻繁に振込する人は危険かもしれない

>>7
ワンタイムパスワード
セキュリティートークン導入してるネットバンクなら送金前にワンタイムパスワード入力が必要なのでこの手口でも不正送金は不可能

ていうか送金処理中にセッション切り替わったら普通は継続できないだろ

何かしら送金されたら、うちの銀行は「取引しました」ってメールくるなぁ
ログインしただけで送金しちゃうウイルスなら一応気付けるかしら

>>7
成り済まし類は、ほぼ全ての防げない
この場合ソフトがプロキシのように一旦うけとって擬似的に、
A→B→C
の経路を作成しているのだろう
Bは経路に流れる全てを受け取り、
偽のデータに書き換える
正規の取引の間割って入っているのだから
Aが1万送ったつもりでも、cではAより20万入金が
あったとすることもできる

未然に防ぐならできる、
正しい状態を保っているPCを利用するだな

銀行の口座を作るとき身分証明書（たとえば運転免許）をコピーすると
思うが、送金先の身元はすぐばれるはず。これを警察が押えれば逮捕できる
と思うが一体どうなってるのか？

専用のブラウザを用意してネットバンキングに接続するときは
そのブラウザを使えばいいだけ

ネットバンク３つあれど５円しか預けてないから無問題

>>229
他人の銀行口座を買う
通名で作った銀行口座を使う
海外で作った銀行口座を使う（外国人留学生があわわわ）

正規サイトでこれじゃ危なすぎるな
窓口最強

ウイルスの感染経路の方が問題だ
徹底的に洗え

今年5月に三井住友でトークンのワンタイムパスワード使っても
MITB攻撃で不正送金されたと発表されているのに
いまさらこんな記事とか遅すぎ

ワンタイムパスワード最強！！

>>18
従来型の攻撃と混乱してるのではないか。
まずはウイルス対策ソフトを入れて常に最新化するということが第一に来るべき。
それだけで被害は防げる。

＞・IE使わない

これは今のところ正しいが、今後もIE以外のブラウザなら被害に合わないとも限らない。

＞・JavaScriptやそれに類するスクリプトは全部切る

これは間違い。スクリプトで罠を仕掛ける訳ではないので、それを切っても意味がない。

＞・パケット監視ソフト

これも間違い。
そもそもSSLで暗号化されてる通信をどうやって監視する？

＞・送金限度額を低く設定
＞・あらかじめ登録した送金先以外送らないよう設定

これは正しい。

＞・メアド登録して、送金したらすぐメールが来るようにする

これは微妙。
ID/PWが盗まれる訳ではないので、不正送金は一回切りな気がする。
つまりメールが来た時にはもう遅い。

ブラウザの中の人も大変だな

>>237
＞・送金限度額を低く設定

これは正しい。


いやダメだろ？
１日の送金限度額を超えて送金しようとしたら、新たにカードの暗証番号（ＡＴＭで使ってる４ケタの暗証番号）を入力すれば使えるから
こんかいのＭＩＴＢには効かないだろ。

オプションで「国外の口座や外国人名義の口座には振り込み不可/可」
の選択を付ければいいのにな。

中国製ノートン先生憤怒

そんな面倒なことするよりATMとかオンラインシステムを乗っ取った方が早いんでねえの

>>53
稼ぎか悪く、身の丈にあった生活をせず

どういう仕組みなの?
ブラウザのアドオンにグリモンみたいなもので操作するのかなと思ったんだけど

とりあえず、VirtualBoxにUbuntu入れてネットバンキング専用にしてみた

ブラウザをネットバンク専用にして、そのブラウザでは他に何もしなければおｋ？

ガラケー モバイルバンキング最強！

ブラウザ使わずに、専用のアプリケーションで取引したらどうだろう。

なんのためのウィルスソフトだ。
大枚払っているのに。

>>248
もう、そうなるよね

＞＞248
偽専用アプリを配布する偽サイトが見える

>>250
だね
証券会社の用意したソフト経由の株取引なんかでこういう被害聞かないもんね

>>248
それならアプリを改造するか
キャプチャソフトとマウスマクロソフトぐらいしか
やられる可能性はないね

対抗策としてトランザクション署名というのがある
DBに問い合わせる一連の処理（トランザクション）を保証するという仕組み
これが効いてるトランザクションに第三者が送った処理が混ざるとコミットさせない

>>239
そうだとしたら、限度額以内の振り込みにもかかわらず、限度額の制限を解除するための暗証番号を入力させられるので、そこで気付くことができる。

そもそも限度額の変更って、一定時間経過してから反映される仕組みの方が多いのでは？

>>254
ブラウザから同一ユーザーの正当な手続きとして扱われるんだから、それは意味無いんじゃね

Linuxには関係ないな。

俺の口座に自動で振り込んでくれたら許す

「自動的に不正送金」ってワンタイムパスワードや乱数表の部分はどう突破するんだ？

新生はログインしたあとは乱数表打ち込まんで送金できるからやばいな

【悲報】　ウイルスに感染したＰＣが勝手に通販で商品注文、大量のカレーが届いて被害者呆然
http://hello.2ch.net/test/read.cgi/%63u%72%72y/1408679229/

＞新型のウイルスで俗称「カレーウイルス」に感染すると、自動的に通販で注文されてしまう。
＞感染する条件は、「そのパソコン内部に個人情報とクレジットカード情報の両方が存在すること」。
＞不用心なパソコンユーザーが被害に遭っているのだ。

問題は何カレーを注文するか？だな。ｗｗｗ
コロッケカレーなら許す。

口座に２００円しか入ってないから、どうでもいい話にしか聞こえない。

ゆうちょダイレクトではワンタイムパスを
使うけどこれも危ないのかな

自衛官不祥事写真の流出ファイルに混ぜられてたらしい

MITsuBishiか

ここまで、マイケル・ジャクソン「マン・イン・ザ・ミラー」なし

>>1
ああこれなら証券FX口座の方が安心だな
絶対１箇所しか送れないし

>>15
本当そうだよ どれでも対応しろって
Rapport,phishwallだろ
それと未だにMITB対策なしの大手は
どうなのよ

おれの場合送金限度額をゼロ円に設定している
で、振込するときは、
オペレーターに電話→折り返し自宅に電話が来る→限度額変更→
パスワード入力→合い言葉入力→キャッシュカードの裏の数字を入力
ここまでしないと振り込みできない。
だから大丈夫だと思っている

振込はATMでやればおkと理解した。

>>225
三菱も早く導入してほしいなトークン

古いPCを捨てずに持っているから それを口座専用にして使うことにするわ

>>1
>MITBは「マン・イン・ザ・ブラウザー」の頭文字を取った略語で、

おいおい、マンじゃなくてパーソンと言え。
男性だけが悪者みたいじゃないか。
PITBとすべきだ。「パーソン・イン・ザ・ブラウザー」
類似例では、オレオレ詐欺という呼び方も男性蔑視だ
男性中心社会から脱却するとか言うのなら、政府主導で呼び方を変えるべきだ。

ログインしたら口座から金がなくなっていたのを
ログインしたら自動送金されたと勘違いしてんだろ。

内部の犯行だろうな。ソニー銀行とかでもあったしな。

>>112
バックドアがあるかもな。
俺は入れて無いわ。

ジャパンネット銀行勝利

またソフトバンクか

firefoxのNoScriptsアドオンをまた使ってみようかな

どんな仕組みで動くウィルスなのかな？
本当に小さいおっさんが入っている様な状態だとしたら
単純にログインした状態はともかく正規口座への振込み時に差し替えてしまえば
ワンタイムパスも乱数表も役に立たない気がするが

どおでもいいが八十二銀行は取引暗証番号２ケタをどうにかしろ。
３年くらい前に苦情を言ったがそのままだ。
地方銀行でははやくから不正送金されてたがおれは内部の犯行だと思っている。
わざとセキュリティをあまくしとけばセキュリティがあまかったと言い訳できるからな。

>>196
そうですね。
システム側でそこまでやらないと、防ぐのは難しい。

パスワードリセットなどでよく行われる、
本人確認と実行確認を兼ねたメール認証だから、
組み込むのは難しく無い。