パスワードを忘れた? アカウント作成
10556 story

UFJ銀行を偽装した詐欺メールふたたび 83

ストーリー by Acanthopanax
ご注意を 部門より

Anonymous Coward曰く、"UFJ銀行をかたったフィッシング詐欺メールが出回っています(UFJ銀行による注意文)。タレコミ子のところへも届きましたが、HTMLメールを使ったもので、リンク名はUFJログインページのものですが、実際にクリックすると、同ページに似せたパスワードやログインIDを盗み取るページでありました。詐欺ページのアドレスはIPアドレスでの表示でしたが、調べてみるとペルーのサーバを使用しているようでした。UFJの口座をお持ちの方はぜひお気をつけ下さい。"

今年3月にも同様の詐欺メールが流れていた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 堤出しなさい??? (スコア:4, 参考になる)

    by calc (16044) on 2005年07月26日 20時03分 (#772359) ホームページ 日記
    フィッシング詐欺サイト情報 [www.rbl.jp] でも紹介されていますが、 トップページの精巧さと裏腹に、次のページに進むとおかしな日本語オンパレードです。(上のページにスクリーンショットあり)
    騙されて正しい契約番号とパスワードを入れてしまった人も、ここでおかしいことに気付いくでしょうね。後の祭りだけど。

    #それにしても [ 出しなさい] って。。。
  • by baffclan (9449) on 2005年07月26日 19時21分 (#772335) ホームページ
    HTMLメールのタイトルが「UFJのフィッシングメール」になっていたので、
    思わず笑ってしまいました。

    200.60.235.177(client-200.60.235.177.speedy.net.pe) に開設していますね。
    ここ [200.60.235.177]あたりを見ると頑張って作っているなぁと感心してしまいますが、
    Firefox などでみると文字化けをしたりして、修行が足りません。
    # IEでは文字化けせず表示されますが・・・
  • 銀行から来たメールってすぐにゴミ箱に入れてしまうから、フィッシング詐欺っていつも遠い話に聞こえるなぁ。なんて思っているうちに釣られるんだろうか。
    • 明細は”せめて”シュレッダーで処理しましょう。
      明細から犯罪者に狙われるなんて面白くない。
      クレジットカードみたく、明細の口座番号の一部をマスクするとかの
      施策を行うべき時期かもね。
      • 確かに、リアルゴミ箱が情報の山なのは同意。
        たかがコンビニやスーパーのレシートでも、男か女か、単身世帯かどうか、
        行動範囲、金銭感覚、帰宅時間・家を空ける時間帯などが分かってしまうことがある。

        でも、
        親コメントの「メール」って、郵政公社メールのことではなく、emailだろうなw
        シュレッダー処理するとしたら、こんなの [nikkei.co.jp]が必要に。
        親コメント
      • by Anonymous Coward on 2005年07月26日 23時44分 (#772497)
        クレジットカードみたく、明細の口座番号の一部をマスクするとかの
        施策を行うべき時期かもね。

        これ,いまだにカード番号をマスクしていない端末が多いのではないでしょうか。ちょっと控えを見てみると(×はマスクせず,○はマスクされている)

        • JR西日本みどりの窓口……×
        • JR四国みどりの窓口……×
        • ヨドバシカメラ某店……○
        • ジュンク堂書店大阪本店……○
        • ジュンク堂書店の某支店……×
        • 某ビジネスホテル……×
        • 某服飾店……×

        という結果でした。

        まあ小さい店だとなかなか端末を更新できないのかも知れませんが,JRでもダメというのがなんとも。

        # 一応AC。

        親コメント
        • 大きいところも事情は同じだと思う。
          カード端末機のリース期限が切れないと、更新の予算がつかなかったりとか。
          JRくらいの規模になると、地域会社レベルでも一度には全ての駅を新型に更新
          できないし。

          でも、カード番号のマスキングぐらいは端末内のプログラム変更で対応できるはず。
          (そうでなきゃ困るんだけどね)

          ところで、まだこの市場って店頭向けはNTT DATAの独占状態だっけ?
          タクシーなんかだとSII(セイコーインスツル)の子会社がクレジット/デビット
          両対応のシステムを出したりして結構シェア持ってるみたいだけど。
          http://www.siidataservice.co.jp/crepico/
          --
          -- All is need your love.
          親コメント
  • by ddts (10995) on 2005年07月27日 0時35分 (#772522) 日記
    UFJは、振込みなどの場合には乱数表が必要になるので少しは障壁が高いですね。高木浩光氏
    が指摘しているように、なんどもリクエストを投げる攻撃に対しては脆弱ですが。

    みずほ銀行のように乱数表すらないインターネットバンキングって、設計に根本的な間違いが
    あるような気がします
    • by targz (14071) on 2005年07月27日 10時30分 (#772639) 日記
      みずほは乱数表はないですが、振込み時は第2暗証番号を使うシステムですね。

      むしろ、東京三菱のようにログインだけで乱数表が必要な方が、設計の悪さを感じます。ログインしてしまうと振込みなど資金移動も可能なので、けっこうやばいです。

      # インターネットバンキングでてのひら認証できたらいいのに:-)
      親コメント
      • by znc (2768) on 2005年07月27日 11時48分 (#772678)
        > # インターネットバンキングでてのひら認証できたらいいのに:-)
        あくまで理論的な話ですが、新手のフィッシングにひっかかって
        手のひら認証データ(=各個人の静脈データ)を座れてしまった場合は
        暗証番号などと違って変更が出来ないので逆にやばい様な気がします。

        # どこかのサイトの受け売りなんだけど肝心のサイト忘れたorz
        --
        『今日の屈辱に耐え明日の為に生きるのが男だ』
        宇宙戦艦 ヤマト 艦長 沖田十三氏談
        2006/06/23 JPN 1 - 4 BRA
        親コメント
        • by 360d (6457) on 2005年07月27日 12時10分 (#772689)
          問題が発覚した際に、システムから切り離せないセキュリティの仕組みは問題ということですね。
          親コメント

        • > # インターネットバンキングでてのひら認証できたらいいのに:-)
          あくまで理論的な話ですが、新手のフィッシングにひっかかって
          手のひら認証データ(=各個人の静脈データ)を座れてしまった場合は
          暗証番号などと違って変更が出来ないので逆にやばい様な気がします。


          ですから,生体認証は本人以外が入力しづらい ID であって
          パスワードではないんです.このことを誤解している人が
          多いような気がします.
          親コメント
          • by nojiri (27623) on 2005年07月27日 13時00分 (#772725)
            >生体認証は本人以外が入力しづらい ID であってパスワードではないんです.

            そうですね。
            東京三菱銀行の場合、生態認証カードであっても、パスワードが必須です。
            1)ATMにカードを入れる。
            2)パスワードを入力する。
            3)引き落とし操作などをする。
            と、いう流れになります。
            従来のカードと流れは同じで、単にカードに備わっていたIDが本人以外には入力困難なID(生態認証)に置き換えられただけです。

            パスワードを頻繁に変更していれば、仮に生態認証情報が盗まれたとしても被害に遭わずに済むはずです。
            親コメント
        • 生体データもそのまま送るんではなく,毎回乱数なりを元にして
          不可逆な符号化をして送ればいいような気がしますが,それでは
          駄目なんでしょうか.
          #で,ホスト側も同じ乱数と記録してあるデータを用いて同様に
          #符号化して照合.
          親コメント
    • アメリカで現地の銀行のオンラインバンキングを利用してますが、ユーザー名(口座番号とは別)とパスワードだけで他行への振込み以外はなんでもできてしまいます。自行内なら不正利用があっても後で取り返しがつくからなんでしょうか?
      親コメント
  • by Anonymous Coward on 2005年07月26日 19時20分 (#772334)
    いつもUFJとUSJをマチガイル。

    いろんな詐欺が横行しちょるこんな世の中じゃ♪
    (秋葉詐欺、おれおれ、フィッシング、キャシング、クレジット
    出会い系・・・)

    だまされるスラド住人はいないだろうけど
    「もれは大丈夫」というやつほど、思わぬ糞壷にはなるので
    注意されたし
  • by Anonymous Coward on 2005年07月26日 20時27分 (#772372)
    ニセのヤフー [u-hip.jp] を発見しました。
  • by Anonymous Coward on 2005年07月27日 0時16分 (#772512)
    そろそろS/MIME使えばぁ・・・。
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...