TwitterのアクセスにはIDとパスワードが必要となる。
IDの代わりにメールアドレスや電話番号も使用できるので、
それらを知っている人がパスワードを探り当てると本人でな
くてもログインして書き込みや設定変更ができてしまう。
そうしたトラブルを避ける方法の一つとして、二要素認証が
ある。
例えばID・パスワードに加え、ログインのタイミングでSMS
でスマホに届いたコードを入力しないとログインが成功しな
いといった方法がそれにあたる。
しかし、偽のログイン画面に誘導するフィッシングという手
口を使われると、二要素認証でも安心できない。
例えば、以下のような方法で悪意の持ち主は二要素認証をく
ぐりぬけてログインを成功させてしまう。
1)偽のログイン画面(フィッシングサイト)に誘導し、被害者
にIDとパスワードを入力させる。
2)入力されたID、パスワードを使ってTwitterにログインする。
3)二要素認証により被害者にコードが送られる。
4)フィッシングサイトをコードを入力させる表示にする。
5)被害者がフィッシングサイトにコードを入力する。
6)入力されたコードを使ってTwitterのログインを成功させる。
悪意の持ち主は、これで被害者のTwitterに入り込める。
後は、勝手にパスワードを変えたり、被害者の意図しないツイー
トを行ったりとやりたい放題だ。
パスワードを変えられてしまうと、被害者は自分のアカウントに
も入れなくなってしまう。