シティバンクに対するハッカー被害が話題になっている。
FBIが、Citibankで数十億円単位のハッカー被害の調査をしているとのこと。
Citibankからの声明では、シティではそんな被害はないと言っているらしいが。
そうなのかな: シティ ハッカー被害なしか
シティグループは、傘下の銀行に対するハッカー攻撃で数千万ドル
(数十億円)の損害が出た恐れがあるとする報道は誤りだとする声明を
発表した。
FBIがシティグループ傘下の銀行に対するハッカー攻撃を捜査している
と報じていた。
こちらの記事
FBI Reportedly Investigating Hack and Theft at Citibank - Web Hosting Industry News | Daily Web Hosting News and Web Host Interviews"
によると、Wall Street Journalの記事でCitibankの顧客の話が紹介されていて、百万ドル(=~1億円)以上がラトビアとウクライナの口座に知らないうちに送金されていた、とのこと。
Wall Street Journalの記事は購読していないと読めない。
また、犯行手段について、ボットネットで操作されたトロイの木馬がブラウザで不正な操作を行ったのではないかという意見を紹介。 クライアント側の操作ではあるが、ウェブサイト管理者は、このようなman-in-the-browser攻撃の防止手段を持つべきだと言っている。
In a statement sent to the WHIR by email, Amichai Shulman, CEO of security company Imperva says, "my analysis of this report is that we are talking about a man-in-the-browser attack. That is, a Trojan controlled through a botnet that operates from within the browser and inserts false transactions into a user's sessions. In view of this it is clear why Citibank did not report or 'notice' any breach. The breach is not on Citi's side but rather on the consumer side."
"It does point to the growing sophistication of the attacker as we've mentioned in our list of predicted trends for next year," says Shulman. "While this is presumably an end-point security issue, I think that application owners should look for solutions that would protect their users against man-in-the-browser attacks during a session with the specific application."
Man-in-the-browserは2007年に報告されている。
正規銀行サイトで入力した個人情報を奪う「Man in the Browser」攻撃
Leave a comment