GTAリークにも使われたハッキング手法「多要素認証疲れ攻撃」がヤバい [573472858]
■ このスレッドは過去ログ倉庫に格納されています
多要素認証(MFA)で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログインを許可するかどうか確認する。
MFA Fatigue(多要素認証疲れ)の手口ではこれを逆手に取り、故意にログイン試行を繰り返すことで確認通知を何度も執拗(しつよう)に受信させ、相手を疲れ果てさせて承認に追い込む。
報道によるとUberを狙った攻撃では、攻撃者が事前に何らかの手段で従業員のユーザー名とパスワードの組み合わせを入手して、この従業員のアカウントに何度も繰り返しアクセスを試みた。
従業員には1時間以上にわたり、ログインを承認するかどうか確認するプッシュ通知が大量に送信され続けた。
次に攻撃者はUberのIT担当者を装ってこの従業員に連絡を取り、通知を止めたければ承認するよう指示した。
大量の通知に疲れ果てていた従業員はログインを承認し、不正アクセスを許してしまったという。
(中略)
今回、Uberに不正侵入したのは18歳のハッカーだったと報じられ、悪名高いサイバー犯罪グループ「Lapsus$」の関与も指摘されている。
Rockstar Gamesが開発中のゲーム「グランド・セフト・オート6」の情報を流出させたのも同じ攻撃者だったと伝えられており、同じ手口で従業員がだまされた可能性がある。
全文はソースで
https://www.itmedia.co.jp/news/articles/2209/28/news050.html >攻撃者が事前に何らかの手段で従業員のユーザー名とパスワードの組み合わせを入手して
最も重要な部分をサラッと流すなよ 既にIDとパス抜かれてたじゃんもうすでにアウトだったじやん >>2
世の中のハッキングの殆はアナログだぞ
映画や漫画みたいに謎のプログラ厶使って不正アクセスなんて夢まぼろし >>7
ソーシャルハッキングの手口委細を知ってるだけに隔世の感があります( -_-) >>15
うーん(+o+)
上手に説明できません。 スマホの電源切って家電話か公衆電話から会社にヘルプ要請すれば良いんじゃね? スマホで、〇〇からアクセスがありました、心当たり云々で折れて押したということか uberの担当者装って「いやーすんませんシステムが暴走して通知出まくってるみたいっすね一回認証してくれたら収まりますよ」って伝える感じかな スーパーハッカー
「もしもし俺俺。俺や。会長じゃ名乗らすなワレェ。ちょっと困った事になってのう、大至急暗号を教えてくれへんか」 こうなったらパスワード変えるしかないんだろうけど
それにも二段階認証が必要で
どれが自分が発した認証要求なのかわかんなくなっちゃうね 従業員のユーザー名とパスワード握ってる時点で半分ハック成功してるやん スマホのプッシュ通知で間違って承認押しちゃった事はあったわ 昔はセキュリティがガバガバだったからな
マイナープロバイダーとか簡単に登録者の個人情報見れたし
普通にアクセスするだけだったしなIDやパスすらない
今も対してかわらんことしてる企業があるのにびびるわ グーグルに全サイトのパスワード記憶させてるからグーグルのセキュリティが破られたら終わりだわ >>31
あるな
登録情報確認ページのURLの数字を変えるだけで赤の他人の登録情報が出てくるとこ
バイトが作ってんのかなって思うね ヤバいなこれ
セキュリティ意識の低い面倒くさがりな従業員だったら承認しちゃうだろうな ■ このスレッドは過去ログ倉庫に格納されています