-
多要素認証(MFA)で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログインを許可するかどうか確認する。
MFA Fatigue(多要素認証疲れ)の手口ではこれを逆手に取り、故意にログイン試行を繰り返すことで確認通知を何度も執拗(しつよう)に受信させ、相手を疲れ果てさせて承認に追い込む。報道によるとUberを狙った攻撃では、攻撃者が事前に何らかの手段で従業員のユーザー名とパスワードの組み合わせを入手して、この従業員のアカウントに何度も繰り返しアクセスを試みた。
従業員には1時間以上にわたり、ログインを承認するかどうか確認するプッシュ通知が大量に送信され続けた。次に攻撃者はUberのIT担当者を装ってこの従業員に連絡を取り、通知を止めたければ承認するよう指示した。
大量の通知に疲れ果てていた従業員はログインを承認し、不正アクセスを許してしまったという。(中略)
今回、Uberに不正侵入したのは18歳のハッカーだったと報じられ、悪名高いサイバー犯罪グループ「Lapsus$」の関与も指摘されている。
Rockstar Gamesが開発中のゲーム「グランド・セフト・オート6」の情報を流出させたのも同じ攻撃者だったと伝えられており、同じ手口で従業員がだまされた可能性がある。全文はソースで
https://www.itmedia.co.jp/news/articles/2209/28/news050.html -
セキュリティホールは「ヒト」か(>_<)
-
>>2
世の中のハッキングの殆はアナログだぞ
映画や漫画みたいに謎のプログラ厶使って不正アクセスなんて夢まぼろし -
>>7
ソーシャルハッキングの手口委細を知ってるだけに隔世の感があります( -_-) -
>>12
ずっと変わってないって話だろ -
>>15
うーん(+o+)
上手に説明できません。 -
どんなスーパーハッカーかと思えばこんなんかい
-
>攻撃者が事前に何らかの手段で従業員のユーザー名とパスワードの組み合わせを入手して
最も重要な部分をサラッと流すなよ -
ソーシャルハックが一番手っ取り早いんだよ
-
既にIDとパス抜かれてたじゃんもうすでにアウトだったじやん
-
回数制限ないのかよw
-
従業員のパスどこから持ってきたんや
-
押した社員は解雇か?
-
物量攻撃最強だな
-
昭和で廃れた押し売りのやり方
-
すげー作戦
-
天才やん
-
人間の駄目なところ補うAIまだか
-
ID変えろよバカ
-
スマホの電源切って家電話か公衆電話から会社にヘルプ要請すれば良いんじゃね?
-
スマホで、〇〇からアクセスがありました、心当たり云々で折れて押したということか
-
2段階認証にしても方法はいくらでもあるって話だな
-
uberの担当者装って「いやーすんませんシステムが暴走して通知出まくってるみたいっすね一回認証してくれたら収まりますよ」って伝える感じかな
-
なんだそれ
-
スーパーハッカー
「もしもし俺俺。俺や。会長じゃ名乗らすなワレェ。ちょっと困った事になってのう、大至急暗号を教えてくれへんか」 -
こうなったらパスワード変えるしかないんだろうけど
それにも二段階認証が必要で
どれが自分が発した認証要求なのかわかんなくなっちゃうね -
従業員のユーザー名とパスワード握ってる時点で半分ハック成功してるやん
-
力業やんけ
-
スマホのプッシュ通知で間違って承認押しちゃった事はあったわ
-
結局人間がセキュリティホールなのか
-
昔はセキュリティがガバガバだったからな
マイナープロバイダーとか簡単に登録者の個人情報見れたし
普通にアクセスするだけだったしなIDやパスすらない
今も対してかわらんことしてる企業があるのにびびるわ
GTAリークにも使われたハッキング手法「多要素認証疲れ攻撃」がヤバい
コメント