【社会】警視庁、不正送金の52口座凍結...ワンタイムパスワードを盗む新種ウイルスで [14/09/16]

不正送金の52口座凍結、警視庁　新種ウイルスで
【共同通信】 2014/09/16 11:45:04

警視庁サイバー犯罪対策課は16日、インターネットバンキングの安全性向上のために導入された
「ワンタイムパスワード」を盗み取る新種のウイルスを調べた結果、不正送金に使われたとみられる四つの
銀行の計52口座を確認し、凍結したと明らかにした。

ワンタイムパスワードは、取引のたびに変わるため安全性が高いとされていたが、三井住友銀行が5月、同様の
手口による不正送金の被害があったと公表していた。

サイバー課によると、確認した52口座は大半が中国人名義。うち32口座で38件の不正送金、約1150万円の被害を
確認。うち19件は現金が引き出される前に未然防止したという。

ソース: http://www.47news.jp/CN/201409/CN2014091601001148.html

関連スレッド:
【IT】サイバー犯罪過去最悪　相談件数37％増　不正送金の新たな手口も確認　警察庁 [9/11]
http://daily.2ch.net/test/read.cgi/newsplus/1410439858/
【国内】ネット不正送金　新種ウイルス２万件超　世界の８割が日本標的
http://daily.2ch.net/test/read.cgi/newsplus/1410739529/

ハッカーやるなぁ

もうネットバンキングそのものに無理があるんだよ
面倒でも窓口で取引すること以上にセキュアなものはない

ワンタイムパスワードのシードに問題があったのか全体的なシステムに問題があったのか

システム側っぽいな

＞確認した52口座は大半が中国人名義。

ちょっと確認なんだが、トークン式のワンタイムパスワードは大丈夫なの？

ハッカー様凄いわ…

【日中】ネットバンク不正送金、国境またぎ中国人暗躍　「出し子」指示、本国から[09/15]
http://awabi.2ch.net/test/read.cgi/news4plus/1410791550/

PC・スマフォなんかの汎用端末でバンキングやること自体が危険極まりないよな。
銀行が専用端末を配布するのがこの手のサービスでは必要なんだろう。

中国人程度に破られるワンタイムｗ

>>6
トークンサーバー側やられたらダメだろ。

やっぱりチャイナか！！

何これＪＮＢのトークン駄目なの？

>>11
ああそういうことか

納得した


本口座はネットバンク登録しないのが賢いな

つうか何処のネットバンクやられたのか書いとけよ
使えねーな

三井住友のワンタイムは、1秒間に60回変わるんだぞ？
どういう仕組みで抜かれてンだ？

ワンタイム組成アルゴリズムが盗まれた？
トークンの複製？
まったくわからん！

>>9
ドングルとトークンの組み合わせとかいけそうだけど
けど、最終的に専用端末が必要かな。

　
私たちは絶対に忘れない

中国の文化大革命を大絶賛していた朝日新聞を
北朝鮮による日本人拉致をありえないと主張していた朝日新聞を
カンボジアのポルポト政権を「アジア的優しさを持つ」と賞賛していた朝日新聞を
韓国人を日本軍が強制連行し慰安婦にしたと３２年間も虚偽報道していた朝日新聞を

「歴史と謙虚に向き合う態度。これこそが、指導者が学ぶべき点ではないか。」
とは朝日新聞が大好きなフレーズだが
「歴史と謙虚に向き合う態度。これこそが、朝日新聞が学ぶべき点ではないか。」
と読み替えよう

Ｑ．朝日新聞は日本を代表するクオリティペーパー？
Ａ．いいえ、質が悪すぎてトイレットペーパー未満です
Ｑ．朝日新聞はリベラルな報道機関？
Ａ．いいえ、胡散臭い工作機関です
Ｑ．朝日新聞は庶民目線の新聞？
Ａ．いいえ、上から目線の新聞です
Ｑ．朝日新聞はみんなの人権を守る新聞？
Ａ．どうでしょう（笑）「拉致は人権問題ではない」でググって下さい

7/26山手線を一周する「朝日新聞解体！マラソンラリー」開催！次は9/20！
ttp://www.buzznews.jp/?p=95490

アジアの放火魔　朝日新聞は買わない、ＴＶ朝日は見ない
今年2014年は「ノー！朝日年」　来年2015年は「ＮＨＫ解体年」です

>>6
大丈夫なわけないだろ
RSA暗号化の鍵は漏れてんだし

トークンだろうがシナ製の物であれば全部漏れる
仕様がバレてるんだから当たり前

中国の知能たけえな。

>>20
まじで

>>7
解読したと思うだろ
暗号化の方式を盗む方法を探す方が100万倍簡単

> ワンタイムパスワードは、取引のたびに変わるため安全性が高いとされていたが、三井住友銀行が5月、同様の
> 手口による不正送金の被害があったと公表していた。


なるほど、ここに詳しく書いてあった

三井住友銀行の不正送金は「MITB攻撃」、ワンタイムパスワード利用者も被害に
http://itpro.nikkeibp.co.jp/article/NEWS/20140513/556399/

　MITB攻撃とは、PCなどに感染したウイルスが、Webブラウザーと外部サーバーとの通信を傍受し、
一部を改ざんするサイバー攻撃のこと。ウイルスはまず、オンラインバンキングの正規サイトへの
アクセスを検知して、活動を開始。利用者に対して偽画面を表示し、固定パスワードやワンタイム
パスワードの入力といった認証手続きを踏ませた上で、利用者に気づかれない形で偽の送金先口座
と金額のデータを銀行のサーバーに送信する。

ネットバンキングは振り込み上限をシブくしといた方が良い。
無駄かもしれんがｗ手間を稼ぐことはできる。

隣のスレに貼られてたので
http://www.ftsafe.co.jp/assets/images/solutions/otp/MITB_Image.png

よくよく考えたらこうやって新種ウイルスを作る奴らってスゲー有能だよな

ワンタイムなんてどうやって破るんだ？

三井住友で先々月くらいから暗証カードからパスワードカードに替えたけど大丈夫だろうか

>>24
>>26
パスワード破ると言うより間に入ってプロキシみたいなことやってるんだな。
キリが無いな

オンラインで該当のウイルススキャンは未だ出来ない？

ワンタイムの機械が
最近になって無料になってから
カードから切り替えようと思っていたのに
どうしようもねえな

1秒間に60回もパスワード変わったら入力できないじゃん。

送金先の口座が三井住友ってこと？
だとしたら外国人が簡単に、それもおそらく偽名で口座を作れるようになってるのがおかしいよね

とりあえず登録しても使わなければ大丈夫だな　意味ないが

まあ原理的にワンタイムのほうが危ないんだよなｗｗｗｗｗ
ワンタイムの原理を知ってればなｗｗｗｗｗ

ワンタイムが破られてるのではないだろ
振り込む先を気付かれないように出し粉口座に書き換えられてんだよ

インターネットはもうプロトコル自体の抜本的見直しが必要だろ。前世期の技術だし

それに暗号化にしたって、「非現実的で成り立ってたセキュリティ」の仕組みも
コンピュータや技術の進歩で非現実的じゃなくなってきたんだから。

>>5
怖い…

このページの後半にある「中間者攻撃」ってやつなのかな

ワンタイムパスワードは「絶対安全」ではない
ttp://www.tdk.co.jp/techmag/knowledge/200904u/index2.htm

中国人名義の銀行口座の入出金状況を常に監視
不自然な入金があった時点で、即口座凍結
これで殆ど解決

ま、そもそも口座を作らせなければいいわけだが

＞、確認した52口座は大半が中国人名義。うち32口座で38件の不正送金、約1150万円の被害を確認。

移民政策は結構だが、シナチョン系はなんらかの規制はないといかん

暗号解読じゃないだろ、盗難に近い、合致したと言う結果だけを盗む。

中国人に口座とか取引させるなよ

業務用、民生用通信機器に中国製が入ってる時点でアウト。

ワンタイムパスワードあります！！とか大げさな告知してた銀行とかあるよな？ｗ

ワンタイムパスワードはjavascriptで偽画面出してユーザにその場で入力させる。一番脆弱なのは人間。

>>26
振込先口座だけを攻撃者の口座に改ざん
ってそんな細かい事できるのか！！

>>16
そんなに変わるの早かったら本人も振込できないじゃんwww

永住外国人のヤクザ・犯罪者は母国に強制送還を、永住外国人の生活保護受給者は母国に強制送還を

>>28
今回の件に関しては、ワンタイムパスワードより暗証カードのほうが安全だ。
わざわざ危険な方式に変えるなんてご愁傷様。

>>32
61分の1秒でやればオーケ

アホだな、
ワンタイムパスワードに振込先が含まれてれば防げるだろ。

銀行に連絡しておかないと中国・韓国に送金できないシステム、を入れてくれ

>>50
今回の件に関しては、ワンタイムかそうじゃないかは問題じゃない。
結局人間が認証情報を入力して振り込みが行われているから。

中国人留学生が帰国するときに口座を売るそうな。その口座が詐欺に使われている。
犯人はもちろんだが、名義人を口座売買の犯罪者として永久に入国禁止にすべきだ。

>>16
偽画面にワンタイムパスワードの入力欄が出るんだよｗ
で、情弱がそこに入力をして抜かれると

NortonのDNSとか証明書の確認で防げないもんなのかね？

振り込んだら銀行から確認の電話がかかって来る仕組みにすれば良いだけだ

>>58
メールで通知する機能なら既にあるよ。

>>54
三井住友の暗証カード方式は、新たな振込先に振り込む際だけ第３暗証を要求される。
これまでに登録した振込先に送金する場合と根本的に手続きが違うから、ハッキング
されにくい。

>>58
不正送金被害賠償用の保険の更新が出来なくて、大きい金額の時に確認の電話をしてる銀行もあるよ
大部分の不正送金を防げてて、対費用効果はいいらしい

>>60
だから、それが破られたのが>>1の新種だって・・・

>>1

【台湾】中国で製造されたSeagateのHDDにウイルス混入…ネットゲームを標的に、盗んだパスワードを中国へ送信
http://news22.2ch.net/test/read.cgi/newsplus/1195047869/
【台湾】新品の外付けハードディスクから「トロイの木馬」が発見される　データが一瞬で北京に転送[11/10]
http://news21.2ch.net/test/read.cgi/news4plus/1194666075/
【IT】マイクロソフトが発見！中国製PCに出荷時からウィルス「中国製のパソコンや情報端末の購入には、慎重になったほうがいい」★２
http://uni.2ch.net/test/read.cgi/newsplus/1347879086/
【国際】中国製のシスコ製品のニセモノが米政府機関で多数発見、FBIが本格捜査に着手
http://mamono.2ch.net/test/read.cgi/newsplus/1208881506/
【通信】スパイ機器だらけの中国製品に日本は無警戒、米豪などはファーウェイら締め出し[01/21]
http://awabi.2ch.net/test/read.cgi/news4plus/1390313007/
【政治】 参院議員のメール情報も流出…送信先画面に中国の簡体字
http://raicho.2ch.net/test/read.cgi/newsplus/1320198126/
【社会】バイドゥＩＭＥ使用２９府県市、ＰＣ１千台超、２５日間で１億４０００万文字分無断データ送信★２
http://uni.2ch.net/test/read.cgi/newsplus/1389606601/
【韓国】日本で不正ログインによる詐欺対策に、中国検閲ワード「天安門事件」を相手に送れば良いとの情報広がる→中国がLINE接続不可に
http://awabi.2ch.net/test/read.cgi/news4plusd/1404637557/
【英国】LG製のスマートTVがUSB内のファイル名と閲覧記録をこっそりサーバに送信していたことが判明
http://anago.2ch.net/test/read.cgi/wildplus/1385007036/
【ネット】 韓国の国家情報院が無料通話・メールアプリ「LINE」を傍受…日本人ユーザー5千万人が被害か
http://awabi.2ch.net/test/read.cgi/news4plus/1403090833/
【韓国】グーグルやGメールの内容も国家情報院が覗き見［09/16］
http://kamome.2ch.net/test/read.cgi/news4plus/1316172712/
【スマホ】ギャラクシーＳの基本アプリにも個人情報収集機能、三星電子…「単なるミス」[12/05]
http://kamome.2ch.net/test/read.cgi/news4plus/1323065855/
【携帯】 サムスン「Galaxy S2」の基本アプリに、個人情報全てを盗み見る機能発覚…米で大問題の「Carrier IQ」と同様の機能★３
http://uni.2ch.net/test/read.cgi/newsplus/1323131912/
【モバイル】「Galaxyシリーズ」にデータの閲覧・削除が可能なバックドアが発見される［14/03/13］
http://anago.2ch.net/test/read.cgi/bizplus/1394690553/
【携帯】 スマホ（Android）で、電話帳内の住所・氏名・電話番号を流出させるアプリ横行…逮捕者が不起訴になって、野放し状態
http://uni.2ch.net/test/read.cgi/newsplus/1361781293/
【科学技術】高速増殖炉｢もんじゅ」のパソコン感染問題、韓国に情報送られた痕跡を確認[01/07]
http://awabi.2ch.net/test/read.cgi/news4plus/1389188762/
【韓国】元国家情報院長を拘束、1800人の通話を盗聴【11/16】
http://news18.2ch.net/test/read.cgi/news4plus/1132113646/
【韓国】「どこの国でも国家機関が盗聴するのは常識」金前国家情報院次長〔11/20〕
http://news18.2ch.net/test/read.cgi/news4plus/1132476374/
【IT】ソフトバンク、日本企業の情報を韓国のデータセンターで保管する事業を始める [11/05/30]
http://toki.2ch.net/test/read.cgi/bizplus/1306767094/
【企業倫理】韓国また顧客情報流出、通信大手で1200万件［14/03/11］
http://anago.2ch.net/test/read.cgi/bizplus/1394505954/

準暴力団「関東連合OB」宮園泰人氏から1年前と弁護士を変えてまた恐喝のための脅迫状来ました。
http://yokohamajipsy.blog.fc2.com/blog-entry-13119.html日本投資リアルエステートhttp://www.nittoh-r.com/
準暴力団「関東連合OB」宮園泰人氏から「恐喝」の材料に使われたページ
http://yokohamajipsy.blog.fc2.com/blog-entry-13129.html日本投資リアルエステートhttp://www.nittoh-r.com/
準暴力団「関東連合OB」系ストーカー宮園泰人から「慰謝料よこせ！」と恐喝受けてます
http://yokohamajipsy.blog.fc2.com/blog-entry-13129.html日本投資リアルエステートhttp://www.nittoh-r.com/
準暴力団「関東連合OB」宮園泰人氏から1年前と弁護士を変えてまた恐喝のための脅迫状来ました。
http://yokohamajipsy.blog.fc2.com/blog-entry-13119.html日本投資リアルエステートhttp://www.nittoh-r.com/
準暴力団「関東連合OB」宮園泰人氏から「恐喝」の材料に使われたページ
http://yokohamajipsy.blog.fc2.com/blog-entry-13129.html日本投資リアルエステートhttp://www.nittoh-r.com/
準暴力団「関東連合OB」系ストーカー宮園泰人から「慰謝料よこせ！」と恐喝受けてます
http://yokohamajipsy.blog.fc2.com/blog-entry-13129.html日本投資リアルエステートhttp://www.nittoh-r.com/

オークションの落札金は全て三菱東京UFJ銀行に振り込んで貰ってるが
これで問題なさそうだね
ネットバンクは手続きが怠くて手を出してないんだがな

>>54
そこを理解していないやつが多すぎる

>>1
ワンタイムPWも盗めるだろうなあと思ってはいたがやっぱりやられたか。
ユーザー側にもサイトに対して秘密の質問と答えを設定出来て
サイトが本物かどうか確認できる手段が無いとダメだろう。

つーか振り込みしたら受付メール来るじゃん
なんで気づかないの？

>>24
利用者が振込手続きとかパスワードの必要な手続きをしていないのにパスワード入力画面が表示されるってこと？

あっ普通に振込しようとして別口座に送金されちゃうのか？

ネットバンキング専用にLinuxの仮想マシン作ってそれを使えばいいのに
気になる人はさらにiptablesでそのネットバンクとの通信以外禁止とか
SELinuxでガチガチに固めるとかすればいいんじゃないか

>>66
秘密の質問って素直に答え作ると個人情報把握した犯人には想像で正解できそうな気がするんだよね
だから全く見当違いの答えを入力しないと正解しないようにしてる

悪さに関しては中国人優秀。

>>66
ゆうちょ銀行の秘密の質問（合言葉）は余裕で盗まれてるだろ？
本物のサイトへの入力を盗むんだから、本物かどうか確認しても本物に決まってるしｗ

>>68
そうだよ
本人確認とかそれっぽい理由をつけて入力させるのが一般的

>>71
こちらが質問して銀行側が答えるんだから情報はユーザー側に一切無いし
一回でも間違った答えを返した時点で偽サイトと見破れられて
通報されるしリスクが大きいから逆質問が出来るサイトなら
アタックしないと思うぞ。

>>71
SNS全盛の今、秘密の質問は新たな脆弱性にしかならんわな
猫の名前とか、普通にSNSに公開で流す連中ばっかりだし
15年前ならそれなりにセキュアだったが

【モバイル】新型iPhoneの指紋認証機能を破れるか、ハッカーらがコンテスト［13/09/20］
http://anago.2ch.net/test/read.cgi/bizplus/1379645026/
【モバイル】iPhone 5S指紋認証あっさり破られる。ガラスに残った指紋で (GIZMODO)［13/09/24］
http://anago.2ch.net/test/read.cgi/bizplus/1379989587/
【IT】複製指紋サック、出勤の認証をごまかすグッズに (RecordChina)［13/08/22］
http://anago.2ch.net/test/read.cgi/bizplus/1377136242/

【銀行】三井住友銀行、キャッシュカードの即時発行を開始…静脈登録もその場で　2014/08/18
http://anago.2ch.net/test/read.cgi/bizplus/1408373451/
【IT】静脈認証システム利用広がる　“代押し”防ぎ確実に「勤務管理」［12/12/01］
http://anago.2ch.net/test/read.cgi/bizplus/1354318260/
【技術】手のひら静脈認証で新技術　照合速度1000分の1に短縮、2015年に実用化［13/08/06］
http://anago.2ch.net/test/read.cgi/bizplus/1375744913/

【金融】ATM“生体認証”統一化のウラ…巧妙犯罪に対応 (ZAKZAK)［12/04/25］
http://anago.2ch.net/test/read.cgi/bizplus/1335317476/
【国内】サイバー攻撃防止システム、耐久度を公的認証
http://anago.2ch.net/test/read.cgi/bizplus/1405318916/

【セキュリティ】パスワード覚えきれないあなたに　一括管理ソフトが人気　2014/07/28
http://anago.2ch.net/test/read.cgi/bizplus/1406558341/

疑問なんだが、各銀行は登録済みの振込先を選択して振り込む場合
振込みを実行したときに、登録済みの振込先かどうかチェックしているんだろうか？

警視庁が不正送金かどうかわかる次点でセキュリティーが甘すぎる気もする。

>>73
おまえも分ってないな。郵貯のは銀行側がユーザーを認証するためのもの。
俺が言ってるのはユーザー側が銀行が本物かどうか確かめる逆質問。
たとえばこちらの質問が :うんこ
銀行側の答えが： もぐもぐおなかいっぱい
と設定したとする。
ユーザーは「もぐもぐおなかいっぱい」という答えを見て本物と
信用して取引を続ける。「もぐもぐおなかいっぱい」と言う情報は
ユーザー側には無いがどうやって盗むのだ。

サイトが本物かどうかの確証なんて無理

ある程度高度に想定される判断力を超えたら、
一般的に人は判断できん

電話確認などと同期で成立させて欲しいな
このためのワンタイムパスのバリエーションも増やさないとダメだね

一般的な取引は生体認証にして欲しいね
死亡の場合などは違う方式としてもさ

普通ブックマークから起こす以外でバンキングのサイト行かないだろ。
それでも騙されるか？

>>80
サイトが本物かどうかは、例えば受信したEメールのリンクをクリックせず、
公式URLをショートカットにしておいて開くようにしておけば良い。

DNSサーバーを書き換える手口もあるみたいだけど、この場合はデジタル署名を確認することで防げる。

ようするに振り込みしなきゃ問題ないってことだな

>>79
そういう意味かｗ
でも、そういう認証は、今回のウイルスに対しては無意味だわ。
ユーザが通信してる相手は正規の銀行サイトで、ウイルスはその間に入って正規の銀行サイトから受けとった内容を改ざんしたり、
正規の銀行サイトへの送信内容を盗むだけなんだから。

銀行サイト　--＞　（ウイルスがhtmlを加工） --＞　ブラウザ
って感じで行われるから、ユーザからは見分けがつかず、うんこが盗まれる事にすら気づかない

>>86
だからうんこは盗まれても「もぐもぐおなかいっぱい」は
盗みようがないだろｗ
こちらが入力しないし正式サイトにしか分らん。
うんこから「もぐもぐおなかいっぱい」の類推は一回でも
失敗したら見破られるから、そう言った形式の銀行サイトは
アタックの対象にならないはずだ。

>>86
今回のやつはそこがやっかいなんだよね
正規の銀行サイトにアクセスしたら
そのサイトのサービスのふりした偽画面が表示されて
ウィルスが勝手に取引やっちゃうんだから

とうとうワンタイムもダメになったか・・・

次はニャンタイムパスワードで

窓口に現金持って行くアナログな取引が最強ってことか
預金残高が億単位ある人は電話で担当者に指示出せるんだろ？
現金持ち運ぶ危険も無いしそれが一番安全かも知れんね

>>87
いや、MITBは>>26みたいな感じで行われるんだから、その正規サイトが「もぐもぐおなかいっぱい」って答えてくれるんだから、類推する必要すらない罠
どうして正規サイトと見分けられないかわからないのなら、MITBでぐぐれ

意味わからん…
java切ってれば取りあえず大丈夫なのか…？

>>89
ワンタイムのセキュリティがやぶられたわけではない
被害は汚染されたPCからの振込みの都度
パスワードのように再利用されることはない

>>92
ググったよ。完全にお手上げだなｗ
俺はもう寝るよｗｗ

ネットバンク口座には必要最小限にしなきゃね
それなりの額を預けてる口座はネットとは無縁で生体認証必須

たったの52口座で鬼の首獲ったかのような警視庁w
銀行業界も不正オンラインバンキングの本当の被害額を公表してみろよw
池袋でパチスロしてる不法中国人が毎日10万入れて負けても笑ってるそw
中国人と仲良くなると、世の中アホらしくなるな

もうパソコンやめて
銀行の専用アプリ使用でスマホからの取引に限定してるんだが
それでも抜かれるんかのう

ネットバンキング専用パソコンを用意して
メールもネットの閲覧(銀行以外）もしないようにしとけばいいのかな

>>61
三井住友方式だと、登録済みの送金先に送金するだけなら第３暗号は全く入力しないから
ハッキングしようが無いぞ。
知ったか乙wwww

システムを悪用させたら、支那チョンの右に出る国はねーな

一番危ないのがブラウザのアドオンだな
あれ、作者の信頼性なんて何も確認してないだろ

【社会】ネットバンク不正、送金先の9割が中国人口座…組織的犯行か
http://uni.2ch.net/test/read.cgi/newsplus/1356641669/
日本で急増する詐欺販売サイト、振込先口座の9割が中国人＝大半が中国人留学生・中国人技能実習生名義[01/21]
http://awabi.2ch.net/test/read.cgi/news4plus/1390298829/

>>98 スマホはCarrier IQ型の監視ソフトが危険（スマホ買って電源入れるだけで監視される）
>>99 銀行のページ改ざんが危険

振込先を登録した口座だけにする。
それ以外に振り込む時は、面倒でももう一手間とかにしたらどうかな。

>>103
こいつらの口座だけ厳重にチェックすれば9割止めれるわけだろ

>>56
ワンタイムっていうから被害者ブラウザと銀行サーバーの
やりとりだろ
そうすると被害者ブラウザを遠隔操作でもしてない限り
できないはず

対策はこれしかないよ。

本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を
http://www.atmarkit.co.jp/ait/articles/1404/04/news110.html

>>105
大きな金額を取り扱う企業向けのオンラインバンキングサービスには、そういう仕組み
のところもある。
みずほ銀行の場合だと、振込みが出来るのはあらかじめオフラインで登録した振込先のみ。
新しい振込先を登録する際に、特別のハードルを設けるというのは有効だ。

ウイルス使って完全に間に入るのか。
パスワード云々の話じゃないわな。

>>108
面倒だからハッシュ値の確認だけにしてくれ。

すまん、>>111は無理だな。

>>48
だなw
1秒間で60回変わるのは
フラッシュ暗算もびっくりだ！

銀行系がこれだけ強固にしても盗まれるのに
なんで証券系はネットショップ以下のセキュリティなんだろうね
おなじ送金システムを備えた金融機関なのにさ

>>100
じゃあ、なんで三井住友で被害が出てるんだよｗ
その第三暗証番号システムでは、送金時以外にも第三暗証番号を入力するアホまでは防げないって事だろ

>>107
だからその遠隔操作っぽい事をしてるわけだよ

>>115
理想論だから
送金先登録のシステムを使う人が100%の確率で存在するのが前提の話だもの

こんなウィルスをどこで拾うんだろうな。
そんな軽いソフトでも無い気がするが、何かのソフトに抱き合わせで入って来たりするのかね。

ワンタイムパスももう破られたのか・・・(´・ω・｀)

おまえらカンペキに防ぐ方法を作れよ ネットの先生だろ

5月に兆候があったんなら
そのときに手を打っておけば
こんなに被害出なかったんじゃないか
銀行にも問題あると思う

>>119
いきなり相手口座に入金処理をするのではなく、ネットバンキングした後
登録メールで最終確認をするリンクを張っておくとかしかないんじゃね？

書面で申告した登録したところにしか振り込めないのに変えた。

＞「ワンタイムパスワード」を盗み取る新種のウイルス

野糞する癖に、
犯罪に関しては、支那人は頭が良く働くのか？

所詮イタチごっこだなぁ

警視庁の裏金口座も凍結すべきだな。

>>123
頭の良し悪しじゃなくてマナーじゃないかな？

>>24
ワンタイムのシステムを破ったのかと思ったら、　要するに間に偽サイトを割り込ませてるわけね。
それなら　ワンタイム「も」盗む　っていう日経のタイトル　＞　スレタイ　だな。

ワンタイムであろうが合言葉であろうが、間に入れられて気づかなければどうしようも無いわな。

まあ　送金ごとに通知メールがくるから、それで（被害の予防にはならないけど）
被害にあってないことの確認はできるか・・・

>>121

今は　振込み　→　報告メール　　だけど

　　　　振込み指示　→　確認メール　→　実行指示メール　→　振込み

みたいにするわけね。　手間のかかるハンドシェイクだけど、例えば一回10万以上とか
あらかじめ決めた金額以上なら　そういう方法をとる、とかすれば確かに安全性はぐっとあがるね。

>>119
代引きが最強

これはあれだな
ワンタイムパスをPC経由でするから盗まれるんであって
スマホ経由とかワンタイムパス機器が無線で直接銀行にパスを
送るような別系統の回線にすればいいんじゃね

>>26
ワンタイムパスが盗まれたって表現がおかしいわなｗ

クリーンな仮想環境構築
↓
スナップショットをとる
↓
起動は常にスナップショットからとかじゃダメなん？

第三者に不正取引されている間、本人が振込とかやろうとすると、エラーとかでるのかな？
なんかおかしいなあ、とりあえずログアウトも一回ログインしよ、とかすると
ワンタイムって無効になるんだよね。ぶっこ抜く方も標的を随時監視していて
素早くやらなきゃいけないよね。ってその辺も自動化されてるか。

>>127
こっちの送金手順と同タイミングで行うから
通知メールきても気づかないんでは？
メールに相手先口座名でも書いてくれていればいいけど

頭いいな。
つまり、CDに焼いてそこから起動すればいい。

こういうウィルスってどこで感染するの？
FC2動画やYouTubeとか見るぐらいでも感染する？

ごめん。

>>132
頭いいな。
つまり、CDに焼いてそこから起動すればいい。

狙われてんのは企業だろ？

>>133
本人が振込みボタン押すと、入力されたパスワードを使い任意の口座に任意の金額を振り込む一方、PCにはしばらくお待ちくださいと表示したままフリーズして時間稼ぎする。
それを不審に思って銀行に電話して口座凍結できるか、犯人側が引き出すかの時間勝負。

盗まれても良い金だけネットを利用できる口座に入れておけという事だな

>>138
＞38件の不正送金、約1150万円
1件約30万円の送金で企業はないっしょ
そもそも企業は専用のログインページから入るから難易度上がるよたぶん

みずほ銀行のトークンを有料で買った俺涙目

>>107
マルウェアに感染した人がネットバンキングにアクセスすると、C&Cから振り込み先情報が降ってきて、ユーザのブラウザ上で実際の振り込みと同じHTTPリクエストがJavaScript使って発行されるのよ。
その間、ブラウザ上には、「データのアップロード中」ってプログレスバーが表示されてユーザの操作を抑制するような仕掛けになってるのさ。
で、振り込みリクエストの過程でワンタイムパスワードとか、第3暗証とかが必要になったら、偽画面表示してユーザに入力させるのよ。

まぁ、ブラウザの遠隔操作といえばその通り。

>>35
どう危ないのか具体的に頼むよ

止まったアナログ時計は１日に２回正しい時刻を指すが
5分遅れの時計は常に正確な時刻を指さない的な

みずほってワンタイムパスが有料なんだよな。
いいのかメガバンクがそれで。

>>75
質問>あなたの通った中学校は？
答え> 天ぷらうどん
こんな感じでやるもんじゃないの？

>>146
スマホ必須のBTMUもどっこい

どっちにしろ普通は振り込みしたらメール通知来るだろ？
それすら阻止されたら気づかないけどw

今回のはパスワードとか秘密の答えとか偽装画面とかじゃないんでしょ

1.ログイン
2.パスワード認証
3.ワンタイムパスワード認証(必要に応じて)
4.振込先入力　例えば　○○銀行　△支店　普通　1234567 とか
ここまでは全て正しい取引
5.でこれを銀行サーバーに届く前にウイルスがフックして　
　□銀行　○支店　普通 2345678
とかでサーバーに送信するんだろ

だから偽画面がとか認証がとか正しいので取引は成立してしまう。
んじゃないの?
その後の取引確認メールが　1234567 で来るのか 2345678 で来るのかは
わからん。

>確認した52口座は大半が中国人名義
>確認した52口座は大半が中国人名義
>確認した52口座は大半が中国人名義
>確認した52口座は大半が中国人名義
>確認した52口座は大半が中国人名義
>確認した52口座は大半が中国人名義
>確認した52口座は大半が中国人名義

口座凍結って言ってるけど口座の持ち主を逮捕出来ないのか？

>>26
説明されてみると凄えシンプルだな、頭いいわ

>>150
全然違う

１、ログイン
２、メインメニュー画面
ここまでが全て正しい取引
３、不正送金先口座情報がＣ＆Ｃサーバーから振ってきたら、プログレスバーを表示して自動送金開始
４、振込先銀行、振込先口座番号、振り込み金額をバックグラウンド（Ajax）で正規の送信をエミュレート
５、振込み用暗証番号やワンタイムパスワードを聞かれたら偽画面を表示させて入力させる
６、送金終了したら、偽のメンテナンス中画面を出して終了

だいたいこんな感じ

オンラインバンキング向けの無料対策ソフト
http://www.trusteer.com/ja/products/trusteer-rapport-for-online-banking-ja

これでもあかんのかな

>>155
不正な攻撃を防止するとかいっても
既存のウィルスソフトと併用しろっていってるようだし
今ひとつ何をやってるソフトなのかよく分からない

被害ではなく実際に口座を使ってテストしてただけ

永住でもない外国人に簡単に口座を作らせる銀行って池沼だろ。

>>1
警視庁職員じゃないだろ。民間の人に協力してもらっただろう。
しかもほぼ全部。

警視庁って詐欺師か。

よくわかんないけど、
振り込む前に、受け取り人の名前を書いたメールを送るとかできないのかな。
そこで覚えのない相手だったら止めてもらう。

>>119
デフォルトで海外送金できなくする

>>129
結局はこれだな・・・やはり現金生活が最強

他の記事だとワンタイムパス入力するサイトに誘導されてってかいてあったが

中国のアノニマスみたいな連中が組織作ってやってるの？

専用電話にモデムが最強

予め送金先を限定して設定できるようにすればいい
で、登録に無い新しい送金先に送るには
確認画面が２回以上出るようにして

「ワンタイムパスワード」を盛んに
ネットバンキングで推奨してきたけど
どう責任とるんだよ。

三菱東京UFJとかさ。

説明文読んでて、煩雑でやめておいて
本当によかった。

新技術はこなれてからがやるのが一番とつくづく思った。

>>165
そういう面ではガラケーでのバンキングは結構強かったよね

>>163
いや、マルウェアが挿入したJavascriptが正しいサイトの表示を書き換えるだけで、誘導とかしてないから
この「正しいサイトなのに不正画面が表示される」というのが理解できない記者が書くと、不正画面が表示される＝不正サイトに誘導という誤った記事になる

>>129
代引きだと大丈夫だと思ってiPhone買ったら、石が送られてくるんですね？

>>168
今でもiアプリはなくなったみたいだけどiモードバンキングは強いんじゃね
スマホでも銀行が出してる専用アプリ使うとか

これは全部ネット経由の感染であって
中国人が会社の振込用PCに感染させてるなんて思ってはいけないよ

はじめからpcにマルウェア搭載して売るからな、中国はｗ

ガラケーでやれよ

で、そのヴァイラスはどこで感染するのさ。

中国製pcにマルウェア、米国レノボ使用禁止なお日本では販売
http://awabi.2ch.net/test/read.cgi/news4plusd/1410895382/

>>175
全てIBMのせいだな

ワンタイムパス方式が破られたというかウィルス感染したPCで取引した時に偽画面に入力させられてアウトか
ホントこういうのってどういう手段でウィルス感染してるんだろうなあ
被害者がファイル共有ソフトや怪しいアプリ使ってたとかの自己責任系なら怖くないんだけど

つまりここで「対策が悪い、警察無能」を連呼してるのはチョンだと言うことがハッキリしました