-
テレフォンバンキングがリバースブルートフォース攻撃される可能性について
2020年09月18日 12時00分
複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している(高木浩光@自宅(テレワークを除く)の日記)。同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。
編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。
なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
https://security.srad.jp/story/20/09/17/1654244/ - テレフォンバンキングて
電話でなんかできるの? -
_ノ乙(、ン、)_え?タモリ?
- 知らなかったアル
- ただの残高照会しかできないとしても口座番号と暗証番号が特定できるから攻撃出来てしまう
- ブルートゥース攻撃
- テレフォンバンキングってテレフォンセックス的なやつ?
- また次から次へと脆弱性が
- 最終判決懲役200年w
- タモリ?
- みずほ
- そんなんまだやってたのか
- くらえ!リバースブルートフォース!!
- >>13
リフレク! - しかしこのリバースブルーオイスターカルトアタックっちゅうのはどのくらいの規模の総当たり数まで有効なんだ
- 入会金無料!1時間800円!1時間800円!
- ダイヤルQ2みたいなもんか
- >>1
ネット銀行は、間違ってもやらないわ。紙の通帳に記帳。これ以外、安全策は無い
- >>17
三井住友銀行ですけど - >ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ
何言ってるんだこいつ
- >>19
文章通りでしょ - >>19
テレフォンバンキングやネットバンキングをわざと暗証番号間違えてロックするという防御法がある
口座引き落としやATM引き出しはロックされないからテレフォンバンキングやネットバンキング使わない奴は問題ないという話 - >>1
聞き慣れない単語だから調べたらID総当りのことらしいバカはすぐ体を表さない名前を作るのな。お前らだよ、クソプログラマーども
- >>21
いや実に分かりやすい名前だが。 - >>51
体をあらわしているとは思わないけど
ブルートフォース攻撃の「リバース」っていったらこれしか思い当たらん系 - へー
スラドの記事でニュー速にスレが立つのかw - すげぇ無様なセキュリティなんだな、先進国ではないよ、菅さんアンタさ、考えったほうがいいよ
- つまりどこ銀行?
- 調べたらすでに自分で止めてた
- テレフォンバンキングって口座開設のときに使うかどうか指定したような気がする
使わないのに有効にしてる人多いのかな? - ゆうちょってこれあるんかね?
- もしかして
音響カプラつかうの?
- テレフォンバンキング?
ダイヤルアップで接続してやるやつ?
ピーヒョローガガガガ… - >>31
IVR
自動音声応答 - 三井住友銀行の場合は暗証番号が判明しても二要素認証してるから悪用される可能性は低いけど
テレフォンバンキングしてて二要素認証してない銀行は危ないだろうな - >>32
問題はネットバンキングを契約してない人じゃね? - >>42
オプトアウトがネットバンキングでしか出来ない、とは限らない
銀行によって違うだろう - 日本語でおk
- ピポパの音で暗証番号ばれます
- つーか、今どきテレフォンバンキングしてる奴いるの?w
- 多分これ読んでも理解できる人少ないだろな
- >>37
自動音声応答による銀行口座残高の照会が逆総当たり攻撃される危険性があるならわからないかな
- ブリーチかな?
- ドコモのサービスでも電話から携帯番号+ネットワーク暗証番号でブルートフォースできそうだよ
怖いことに海外からの電話でも他の電話からもできて拒否設定や番号登録がないみたい
ユーザーが被害者になりうる脆弱性はドコモ放置なんだね
自分を守れれば顧客がどうなろうとどうでもいい
ドコモ口座も手数料とビッグデータがビジネスでそれでユーザーがどうなろうと知ったこっちゃない - >>41
そういやネットワーク暗証番号なんてものもあったっけか… - あ!番号廃止したのに
バンキングの登録そのままだ - テレホンバンキングでリバースブルートフォースは難しいだろ。
- 顔認証導入しろよ
- ブルートフォースおまえもか・・・
- >>1 あーわかるわ
パージがルシのコクーンでパルスだろ? - リバースブルートフォースアタックなんていう周知の攻撃法に対しては、システムを組む
側はその対策をしているからな
まぁ普通はそうなんだけど、口座番号と名義人と生年月日と4桁の暗証番号だけで本人確認
とした日本の銀行は、世界標準のセキュリティ基準から明らかに劣っているので、日本の
銀行システムの場合はもしかしたらリバースブルートフォースアタックに対する対策を
していない可能性はある - ほんと訳わかんない。
漢字熟語で表記してくれ - >>55
鍵(穴)総当り - 完全な防御策は無いから、せめてすぐに気付くようにしないと。
入出金ごとにメール送ってくれるソニー銀行に一本化しようかな。 - >>56
よく考えたらソニー銀行は、引き落とし設定できないとこがいくつかあるから一本化は無理でした。 - ただ電話でそんな糞面戸くさい事やるかって話だけどな
- キャプテンシステムって奴だな
- キャッシュカードを
磁気ではなくICキャッシュカードにする様に義務付けろ - /´∀`;::::\< テレホマンの全身AA貼ったら弾かれるのかな?
【不正】テレフォンバンキングがリバースブルートフォース攻撃される可能性 #銀行
ニュー速+
コメント一覧