多要素認証を利用してない銀行の本人認証はまだ色々なサービスに残っているかと思いますが、預金残高の下4桁で認証するという方法も、遠くない将来に破られそうな気がします。
www.ehackingnews.com
ロシア中央銀行は、詐欺師が音声メニューを使用して、カードの最後の4桁のみを使用して顧客のアカウントのステータスに関する情報を取得することを銀行に通知しました。
それはすべて、信用機関の1つが詐欺師から顧客へのコール数の急激な増加を報告し、攻撃者がアカウントの正確な金額を知っていたという事実から始まりました。
詐欺師がIVRシステム(インタラクティブ音声応答)に電話をかけ、顧客番号を置き換えたことが判明しました。クライアントの番号から電話をかけると、銀行カードの最後の4桁を入力して、残りの資金に関する情報を要求しました。
その後、詐欺師は潜在的な被害者を呼び、銀行員として自己紹介しました。信憑性の証明として、顧客に口座残高に関する情報を提供しました。その後、ソーシャルエンジニアリング手法を使用してお金を盗むことに成功しました。
(E Hacking News記事より引用)※機械翻訳
キタきつねの所感
ロシアで攻撃者が銀行の電話応答システム経由で対象顧客のデータを窃取し、銀行員を装った対面詐欺に使うインシデントが発生した様です。
こうした攻撃が日本で広がるか?と考えると、オレオレ詐欺等で預金者(潜在的な被害者)の警戒心が強くなり始めているので、そうでも無い気がします。
しかし攻撃パターンを少し変えるだけで、違った脅威に化けそうです。
当該のロシア中央銀行の場合、ロシア中央銀行情報が「預金残高情報」と「カードの下4桁」を元に本人認証を行っており、何らかの手段で預金者(潜在的な被害者)の口座情報を入手した攻撃者が、口座の詳細情報(例えば預金残高の総額)を入手した、つまり前述のインシデントと同様に銀行の本人認証の脆弱点が突かれたのが事件の原因の様です。
※「預金残高情報」と「カードの下4桁」なので1要素認証となり、フィッシングサイト等、同じタイミングで認証情報を窃取出来る可能性があります。この手法は、生体認証等を使った多要素認証に比べると脆弱点が多いかと思います。
何らかの手段、すなわち被害を受けた預金者の認証情報は、フィッシング(偽サイト誘導)によって流出した可能性が高いと思われます。
※記事では詳しく書いていません
では、フィッシング(偽サイト)にだけ気を付ければ良いのか?と思う方もいらっしゃるかと思いますが、こうした攻撃の変形パターンとして「音声応答」にも留意する必要があります。
銀行サポートを装ったIVR音声応答(音声ガイダンス)サイトに(SMS等のフィッシングで)誘導する事で、フィッシング偽サイトと同じ様に口座番号や暗証番号、銀行口座残高の下4桁といった情報を入手する事は、そう難しくないかと思います。
更に言えば、以下の様な「勝手にかかってくる電話」は、まさにフィッシングサイトと同じです。
このIVR音声応答のパターンが変わるだけで、預金情報(本人確認情報)が窃取されてしまうと考えると、銀行側がどういった情報をネットで預金者に開示するか、あるいは最後に有人オペレータの確認を入れるべきか等々、情報資産の取り扱いについて再整理する事が残っている気がします。
www.city.kashiwara.osaka.jp
余談です。ロシア中央銀行のケースですが被害を受けた方を除いては、一部預金者の個人情報漏えいはあったものの、大規模な金融資産の不正引き出し事件にはならずに終わった様です。
顧客の電話番号とその銀行カードが侵害され、インターネット上に広まった。中央銀行は、詐欺師がパブリックドメインにあったJoomのクライアントベースからそれらを入手できると考えています。その後、オンラインストアと銀行の代表者は、詐欺師の手に渡ったデータが口座からお金を引き落とすのに十分ではないので、顧客に危険がないことを保証しました。
(E Hacking News記事より引用)※機械翻訳
更に余談ですが、事件についてコメントしたカスペルスキーラボのSergey Golovanov氏は私と同じ結論でした。「生体認証」(=多要素認証)を導入するのが、現時点では最良の対策だと思います。
※スマホ等と連携したFIDO認証で実現が可能かと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
