口座と講座をかけた激うまギャグです!!!
はい(´・ω・`)
ドコモ口座が熱いですね。
聞けば聞くほど、ドコモ側も各銀行側もガバガバ。
手口は標記の、両手から竜巻出す技っぽい名前のそれですね。
パスワードは0000とか固定にして、ID(ここでは口座番号)をとっかえひっかえ試し
当たったらラッキー、お金盗んじゃえ! というやつ。
ID固定でパスワードの方をとっかえひっかえする、ブルートフォースアタックと違って
「パスワード●回間違えたらロック」を苦にしないメリットがあります。各IDで試すのは1回だけなので。
情報処理試験にも出たり出なかったりする。みんなも覚えようね!
さて、日中から
実際そんな簡単にお金引き出せるもんなのか、我が身を媒介に試したいと思っていた。
主に使っているりそな銀行は提携しておらず(えらいっ)
ただの預金タンクとして寝かしているゆうちょ銀行は、手元にカードやIDが無かった。
そんなわけで帰宅後に試すことにした。
docomoIDは持っているのでその中のメニューを辿り
口座は1分で作れた。
「海外へお金を送る」なんていう、いかにも犯罪に使ってくれと言わんばかりの機能もあるやん。
英語だけじゃなくて中国語訳もつけとくともっとニーズに沿った形になると思うぞー
チャージする ⇒ 銀行口座 で口座を紐づければ
その口座からドコモ口座にお金を吸い上げ放題、
そして海外送金でマネーロンダリング完成。いやっほう!という寸法。
こりゃよくできた犯罪ツールだわ(感心)。
この紐づけの部分で、口座番号と暗証番号さえあればドコモ側は成立してしまい
ワンタイムパスワード等、多段階認証で銀行側の本人確認がなされないと
あっさりやられちゃう、というのが今回の大きな問題なわけですね。
暗証番号は4桁の数字なので最大10000パターン、ランダムでやってもヒット率は激アツ。
サイバー犯罪者たちもウッキウキで巡回ツール作ったことでしょう。
まあそれはいい。
早速自分のゆうちょを紐づけ、吸い出して海外(あわぎん)にでも送金を・・・って
ゆうちょ・・・あらへん・・・
どうやら日中にゆうちょも手を引いた模様(↓)。
サイバー犯罪は対策されるまでのスピードが肝要。ビッグウェーブに乗り損ねました。
っていうかスルガがいる時点で色々とお察しよね。
まだ名前が残っている銀行はスルガと同列に見られてるという自覚を持とうね!
ゆうちょ銀もドコモ口座の登録停止 連携銀の過半停止に
https://news.yahoo.co.jp/articles/772c3484197c8afb5cb5375586ab9ae405a7eb17
[追記]
りそなは最初から提携してなかったわけではなく、昨年に同様の被害があり
(仕組みはずっと同じなのだから今しか起きない理由はないよね)
そこで撤退した模様。事後対応としては立派。
その件がもっと大々的に報じられてれば、ここまで二次被害が大きくはならなかっただろうにねえ・・・