*SSL証明書 | ワンタイムパスワードまで盗むフィッシングの手口
RSAセキュリティによると、海外の金融機関などでユーザの本人認証のために採用されている、携帯電話のショートメッセージサービス(SMS)を利用したワンタイムパスワード(OTP)を破る手口が確認されたという。
確 認された手口は従来通りフィッシングメールを送信し、フィッシングサイトに誘導する。ユーザがフィッシングサイトにアカウント情報を入力すると、画面上に 「しばらくお待ちください」といった趣旨のページがゆっくり表示され、時間稼ぎを行う。
その間に、攻撃者はフィッシングサイトに入力されたアカウント情報 を使って正規サイトにログインし、送金処理を行う。
すると、ユーザの元には正規サイトからSMSでOTPが送信されるため、フィッシングサイトでは、時間 稼ぎページに続いてOTPの入力を求めるページが表示される。
ここで、ユーザがOTPを入力すると送金処理が完了してまうという流れだという。
