Citibankを騙るMan-In-the-Middleアタックが出てて、ワンタイムパスワードでも防げないらしい。

米SANS InstituteやフィンランドF-Secureは現地時間7月12日，米Citibankをかたる「中間者攻撃（man-in-the-middle attack）」タイプのフィッシング詐欺が確認されたことを明らかにした。ワンタイム・パスワードなどの2要素（2因子）認証を使っていても防げないことが特徴。偽サイトは既に閉鎖されている。
中間者攻撃とは，正規の通信の間に“割り込んで”，通信の当事者には気付かれないように通信内容を盗んだり改ざんしたりする攻撃手法。今回のフィッシングでは，ユーザーと正規のWebサイト（Citibankのサイト）の間に割り込む。ユーザーに対しては，攻撃者が構築した偽サイトをCitibankのサイトと思わせ，Citibankのサイトに対しては，偽サイトを同社サービスのユーザーに見せかける。
具体的にはまず，ユーザーに偽メールを送って，偽のログイン・サイトへ誘導する。偽メールには，以下のような文章が書かれている。「あなたの口座に対して，あるIPアドレスから不正と思われるアクセスが確認されました。あなたのIPアドレスを確認するために下記のサイトへアクセスしてログインしてください。3日以内にログインしないと，あなたの口座は一時的に閉鎖されます」。

ワンタイム・パスワードでは防げない“中間者攻撃フィッシング”が出現 | 日経 xTECH（クロステック）