web-dev-qa-db-ja.com

テキストメッセージによるワンタイムパスワード:悪用の可能性はありますか?

オンラインクレジットカード取引(特にVisaによる確認)のOTP(ワンタイムパスワード)をバイパスできる信頼できるシナリオはありますか?

コンテキスト:私が知っている男は、通常のソーシャルエンジニアリングルートを介して騙され(私が知っているのはばかげています!)、彼のクレジットカードの詳細を明らかにし、不正な取引が行われました。銀行は、正確なOTPが入力されたため、責任が終了すると述べています。私はそれらに同意する傾向があります。

被害者OTOHは、電話でカード番号、有効期限、CVVをフィッシャーに渡したものの、携帯電話経由で受け取ったOTPを決して渡さなかったと主張していますSMS(テキストメッセージ)。それを合理化するのは難しい。

それが、どういうわけかOTP-SMS保護を打ち負かす攻撃のチャネルがあるのだろうかと私が思っているのはなぜですか?私がブレインストーミングできる唯一の可能性は、SIMカードの複製の変種です。

人々はどう思いますか?このようなエクスプロイトレポートを実際に知っていますか? (通常、私は被害者がOTPを明らかにしなかったと主張しているとは信じていませんでしたが、私は悪魔の擁護者を少しだけ演じています)

問題がある場合は、Verified by Visaがテキストメッセージで送信された4〜6桁のOTPを使用し、180秒で有効期限が切れるはずです。

phishingone-time-password
5
curious_cat

SMS=によるOTPの人気が高まるにつれ、マルウェアを盗む傾向が高まっています。

たとえば、NeverQuestに関するこのレポートを確認してください。コンピューターに感染して他のすべての資格情報を盗むと、銀行からのように、アプリのダウンロードを求める非常にプロフェッショナルなページが表示されます。そしてもちろん、OTPを盗みます。

(PDF) https://devcentral.f5.com/d/neverquest-malware-analysis?download=true

友達がアプリのダウンロードを求められなかったと主張した場合、考えられるシナリオは次のとおりです。

  1. 彼は合法的に見え、テキストメッセージの読み取り権限が必要なアプリをダウンロードしました。
  2. アプリが実行されると、彼の電話番号が詐欺師に送信されました。
  3. 詐欺師は彼に電話をして詳細を尋ねました。
  4. 詐欺師は彼の詳細を使用してログインしました。
  5. 銀行はあなたの友人にOTPを送りました。
  6. アプリはそれを詐欺師に転送し、SMSを電話から削除しました。
  7. 詐欺師はOTPを使用してログインを完了しました。

このメソッドが使用されていることは聞いていませんが、実装は非常に簡単です。 Neverquestよりもはるかに簡単です。

4
ColBeseder

友達が真実を言っている場合、攻撃者がコードを入手する方法はいくつかあります。

  1. 電話がGSMの場合、SIMのクローンを作成し、テキストメッセージをそのまま受信した可能性があります。
  2. テキストメッセージは、SMS-Cと呼ばれるシステムによって処理されます-SMSは、セルプロバイダーのネットワークにあるテキストメッセージを処理するソフトウェアを実行するサーバーです。フィッシング詐欺師がSMS-Cをハッキングできた場合、システム内のすべてのテキストメッセージにアクセスできる可能性があります。
  3. 彼の電話はハッキングされました-電話のマルウェアがフィッシング犯に彼の電話のテキストメッセージへのアクセスを与えた可能性があります
  4. 電話のアプリが権限を使用して情報を漏らしました。 Androidアプリをインストールすると、アプリが必要とするすべてのアクセス権が含まれたメッセージがポップアップ表示されます。最もマイナーな機能を提供するアプリは、メール、SMS、連絡先、写真、場所へのアクセスを要求することがあります。および閲覧履歴-アプリケーションがSMSメッセージへのアクセスを許可すると、すべてのSMSを転送することができるようになります。ほとんどの場合、これは広告主に販売するために行われますが、これらのアプリケーションの一部は、個人情報の盗難と幅広い犯罪を支援する目的で犯罪者によって明示的に開発されたことが知られています。

したがって、あなたの友人が犯罪者にSMS詳細を直接提供しなかった可能性があり、代わりに、彼がインストールしたアプリを介して間接的にそれらを提供した可能性が高いです。

4
GdD

また、攻撃者が携帯電話のデータにアクセスするための可能な攻撃ベクトルとしてIMSIキャッチャーを使用したことを考慮する必要があります。

IMSIキャッチャーは、本質的に、通話やテキストメッセージを傍受するために携帯電話の塔を模倣するデバイスです。これらのデバイスは、国際モバイルサブスクライバーアイデンティティ、電話、テキストメッセージなどの情報を取得できます。

政府機関や法執行機関はこれらを使用できますが、闇市場でいつでも購入したり、自分で作成したりできます(方法がわかっている場合)。

IMSIキャッチャーは電話の信号を乗っ取り、場合によっては通話やテキストの内容を傍受します。 IMSIキャッチャーは、システムに組み込まれた脆弱性を利用します。 3Gまたは4Gテクノロジーを使用する電話はセルタワーを認証できますが、古い2Gシステムの電話は実際のタワーと偽のタワーを区別できません。

IMSIキャッチャーは、よりスマートな3G信号と4G信号をブロックし、エリア内の携帯電話にセキュリティ保護されていない2Gサービスへの切り替えを強制します。次に、IMSIキャッチャーはタワーを装って信号を「キャッチ」します。

2
Michal Koczwara

それが4桁のパスワードであり、3回入力を試みた場合、10,000回の攻撃ごとに3回、ランダムなパスワードを試すことで成功します。それはあまり聞こえませんが、クレジットカードまたはデビットカードを持つ10億人ほどの人々がこのように攻撃された場合、30万人があなたの友人のような話をしているでしょう。

0
Mike Scott