12/12/30 17:14:10.05 rcWMLqMM
1.乗っ取りたいサービスのパスワードリセットを申請。
→ パスワードをリセットするための情報が別のメールアドレスに送信される。
2.そのメールアドレスをTwitterなど他のサービスの公開情報、書き込みから推定。
3.推定したメールアドレスを提供している会社にもパスワードのリセットを申請。
例えば、公開情報と(事前に)新規登録したクレジットカード情報や生年月日
だけで、電話により本人として申請できる会社が狙われる。
→ 本人確認が甘い会社のメールサービスの乗っ取りに成功する。
4.乗っ取ったメールサービスに届いたメールを使い、ターゲットのアカウントを
乗っ取る。
マジかよ・・・.パスワード難しくしても無駄じゃん.