フィッシングの場合、詐欺師は厄介なトリックを使用してデータを入手しようとします。多くの場合、巧妙な口実のもと、悪意のあるアプリやその他のプログラムをダウンロードするよう圧力をかけられることがあります。オンラインで十分なセキュリティを確保するには、アカウントを 2 倍保護できる 2 要素認証 (2FA) をお勧めします。しかし、ある事例が恐ろしいほど簡単に示しているように、これらさえも回避することは可能です。
2FA にもかかわらずフィッシング: 悪い Cookie が原因です
携帯電話アプリまたは SMS コードを使用してログイン試行を検証するために使用する 2 要素認証のおかげで、通常、フィッシング攻撃者はそれほど遠くまでは到達しません。したがって、2FA はフィッシングから身を守り、最悪の場合、ログイン情報を共有したにもかかわらず詐欺師がアカウントを乗っ取るのを防ぐための方法です。
しかし、あるケースではこれを回避できることが判明しました。 COMPUTER BILD は、2FA はログイン試行のデータをより迅速に比較できるようにするためにブラウザの Cookie も使用すると説明しています。
この Cookie にアクセスできれば、ログインを試行するためにスマートフォンなどの別のデバイスが実際に必要であるかどうかは問題ではなくなります。通常の状況では、この Cookie を「盗む」ことは不可能です。しかし、Microsoft Edge WebView2 ブラウザ モジュールを使用すると、この種の攻撃が突然現実のものになります。
特定のモジュールにより詐欺師のアクセスが許可される
WebView2 は、このモジュールを使用するとアプリケーションで Microsoft Edge ウィンドウを開くことができるため、アプリ発行者の間で非常に人気があります。ただし、WebView2 を使用すると、開発者はこれらの Cookie を表示してアクセスすることもできます。詐欺師のアプリを使用すると、2FA にもかかわらず、このフィッシング手法が可能になります。
Microsoft 自体も、この難しい要件に注意を払っています。しかし、過去の詐欺事件を見ると、フィッシング攻撃者が口実やトリックを使って被害者に悪意のあるアプリをダウンロードさせることにかなり成功していることがわかります。
健全な疑いをもってフィッシング攻撃から身を守りましょう
2FA が可能な場合は、すべてのサービスで 2FA を設定する必要があります。これにより、WebView2 の「脆弱性」を利用しないフィッシングから確実に身を守ることができます。
さらに、PayPal や電子メール プログラムなどにすぐにログインする必要がある突然の電子メールやテキスト メッセージには常に注意する必要があります。したがって、メッセージ内のリンクを使用するのではなく、公式 Web サイトから直接登録してみることをお勧めします。アカウントに実際に問題がある場合は、この方法でそれを知ることができます。
読書のヒント: 2 要素認証の仕組みと安全なパスワードに関する詳細については、別の記事で説明しています。
出典: コンピュータービルド