アカウント名:
パスワード:
http://docomokouza.jp/detail/faq/?category=deposit [docomokouza.jp] まず、チャージ用には本人名義の口座しか登録出来ないドコモ口座側は銀行側に遷移してそちらで本人確認が完了したら戻ってきてねって仕様になっている。なので、七十七銀行の側の本人確認が口座番号と暗証番号だけになってるからこういうパスワードスプレー攻撃でぶっこ抜かれた
で、銀行コードはわかるし代理店コードも公開情報だから総当たりで銀行コード+代理店コード+口座番号があれば全銀ネットワークの振り込み処理の途中までで名前はわかるので同一名称は事実上セキュリティにならない。
だから、ハードウェアトーク
口座番号の把握は特別給付金の申請情報でもまとめて盗んだのかな。思い返せばアレ、うちに来た奴は封筒の透かし見対策とかも無かったし、口座番号だけでは入金のみで引き出せないと見て管理がザルな自治体も多かろう。通帳表紙のコピーを要求されてバックドア仕掛けられたコピー機使っちゃった奴も居るだろう。
そろそろ締切だから提出されるだろう口座番号はあらかた出揃ったろうし、あんまり寝かしてると他の奴がこの攻撃して穴が塞がれてしまうから、同じリーク元にリーチ出来る攻撃者同士でタイミング読み合ってただろうし。
口座番号の把握なんてそんなリスク取らなくってわかるよ桁数わかってるし親コメでもいってるように銀行コードと支店コード、口座種別(この場合は全て普通だろう)で口座番号総当たりすれば氏名は全銀ネットワーク経由の口座情報取得で手に入る
振込先の名義人を確認できるサービスはあるから不可能ではないと思うが口座番号総当たりなんかは対策されてんじゃないの。可能なら口座番号名簿作って逆引きできるようにしたい。ドコモ口座不正なんかよりはるかにヤバくねーか?
もちろん対策されてて、オンラインバンキングサービスとかで、振込先口座番号から氏名を表示するのは、実際の振り込みをしないで氏名の表示だけやりまくると暫く表示されなくなる。でもゆっくりやりまくったり複数の口座から照会するとかをやればやれないこともないよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
えーっと・・・ (スコア:5, 興味深い)
http://docomokouza.jp/detail/faq/?category=deposit [docomokouza.jp]
まず、チャージ用には本人名義の口座しか登録出来ない
ドコモ口座側は銀行側に遷移してそちらで本人確認が完了したら戻ってきてねって仕様になっている。
なので、七十七銀行の側の本人確認が口座番号と暗証番号だけになってるからこういうパスワードスプレー攻撃でぶっこ抜かれた
で、銀行コードはわかるし代理店コードも公開情報だから総当たりで銀行コード+代理店コード+口座番号があれば
全銀ネットワークの振り込み処理の途中までで名前はわかるので同一名称は事実上セキュリティにならない。
だから、ハードウェアトーク
Re: (スコア:0)
口座番号の把握は特別給付金の申請情報でもまとめて盗んだのかな。
思い返せばアレ、うちに来た奴は封筒の透かし見対策とかも無かったし、
口座番号だけでは入金のみで引き出せないと見て管理がザルな自治体も多かろう。
通帳表紙のコピーを要求されてバックドア仕掛けられたコピー機使っちゃった奴も居るだろう。
そろそろ締切だから提出されるだろう口座番号はあらかた出揃ったろうし、
あんまり寝かしてると他の奴がこの攻撃して穴が塞がれてしまうから、
同じリーク元にリーチ出来る攻撃者同士でタイミング読み合ってただろうし。
Re: (スコア:0)
口座番号の把握なんてそんなリスク取らなくってわかるよ
桁数わかってるし親コメでもいってるように
銀行コードと支店コード、口座種別(この場合は全て普通だろう)で
口座番号総当たりすれば氏名は全銀ネットワーク経由の口座情報取得で手に入る
Re:えーっと・・・ (スコア:0)
振込先の名義人を確認できるサービスはあるから不可能ではないと思うが口座番号総当たりなんかは対策されてんじゃないの。
可能なら口座番号名簿作って逆引きできるようにしたい。ドコモ口座不正なんかよりはるかにヤバくねーか?
Re: (スコア:0)
もちろん対策されてて、オンラインバンキングサービスとかで、振込先口座番号から氏名を表示するのは、
実際の振り込みをしないで氏名の表示だけやりまくると暫く表示されなくなる。
でもゆっくりやりまくったり複数の口座から照会するとかをやればやれないこともないよね。