メインメニュー
PR
facebook

「ドコモ口座」不正利用


投稿ツリー


前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 .3 .4 .5 | 投稿日時 2020/9/10 12:03
Chryso  スタッフ   投稿数: 5965
https://diamond.jp/articles/-/248227?page=2

まだ手口は正確にはわかっていないようです。
総当りで、銀行口座にアクセスしようと思っても、暗証番号を続けて間違えると、そこでその取引を中止する仕組みがあるわけですが、逆総当りという方法がありましたか。暗証番号をきめて、それで、銀行口座を次々と試していくと。
思うに、同一銀行口座では暗証番号入力回数制限がありますが、銀行口座を次々にかえてしまえば、それにはひっかからないというわけですね。

同一IPアドレスで同一暗証番号で複数の銀行口座にアクセスしようとする行為をソフトウェア的に禁止させればよさそうな気もしますが、複数人で別のIPアドレスでやられたら、破られていまいますね。


...と素人は思うのだが、それよりも深い話かな?
投票数:1 平均点:10.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2020/9/10 20:11
くー  常連   投稿数: 268
私も素人考えですが、逆総当たりが濃厚だと思います。

そう考えると、今回の事件では複数の問題点がありますが、まずは、銀行の口座番号と名前がどこから漏れたのかということです。

怖いですね。口座番号と名義だから単純に、銀行のセキュリティに問題があると思いがちですが、口座振替にした事業者から漏れたという可能性が心配です。思い浮かぶのは電気、ガス、通信等の公共料金なんですが、そこから名簿が漏れたことがあったのだろうか。

公共料金以外に口座番号と名義を知らせることがあるのだろうか。すぐには思い浮かばない。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2020/9/10 20:22
粒子  常連   投稿数: 885
口座引き落としになっているところには、名義と口座番号がわかっていると思います。
うちだと保険会社やNHKなど。
JAFもそうか。
名簿が漏れるというのはコンプライアンスの問題になってしまうと思います。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 | 投稿日時 2020/9/10 20:39 | 最終変更
YMN  常連   投稿数: 945
>暗証番号をきめて、それで、銀行口座を次々と試していくと。

 00000、11111といった安易なパスワードから始めるのが犯人側の手筋になりそうで、それを避けるのが一応の(あるいは気休め程度の)対策にはなるでしょう。

 金融業界ではバグひとつで巨額の損失になりかねず、古いソフトには今まで動いてきた実績があり、必要がない限りはソフトの更新はなるべくしたくないということで、かなり昔のソフトが現役で動いていることが結構あるのかもしれません。
コンピューターの性能が低いときの昔のソフトには、重くなる処理は外すとかコンピューターの都合が反映していることも考えられます。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2020/9/10 20:42
Chryso  スタッフ   投稿数: 5965
口座番号と名義がわかれば、預けてある金をいっぺんに全部引き落とされる気がしますが。それを考えると逆総当りかな、と。

抜かれた人の共通点(ある引き落としサービスを利用、など)をさぐると手口が見えてくるかもしれませんね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2020/9/10 21:07
Chryso  スタッフ   投稿数: 5965
偽サイトに誘導して、メールアドレスとパスワードを入手する、フィッシング詐欺、だという憶測もあるようです。

そうやって入手したパスワードを、逆総当りすれば、確率的にはビンゴ!になってしまうこともありますからね。
11111とか、ASDFGとか。(キーボードをみてみよう)

思うに被害者の居住地がわかってしまえば、使っている銀行も類推できてしまう(宮城なら七十七銀行、とか)ので試行回数も減らせる...といっても今回は全国的なゆうちょ銀行口座にも被害がでているし、そもそも、居住地なんかわかるものだろうか。

他にも試行回数を減らす方法が頭に浮かんだが、悪用されたら困るのでやめておく(笑)まあ、素人の考えることだから...
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2020/9/10 23:21 | 最終変更
LuckyHill  一人前   投稿数: 1436
何とも気の抜けた返信であいすみません。
今日の朝刊の第1面記事がこの件だったのですが、寝ぼけ眼には見出しの文字が

 ドコモロ座 (どこもろ座)

に見えて、なんか変な名前だけど劇場か映画館の話なのかな?なんて思ったのでした(汗)

# ネットロ座(ねっとろ座)という間違い方もあるなw
投票数:1 平均点:10.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2020/9/11 2:57
Chryso  スタッフ   投稿数: 5965
もろ場の刃、もしくは剣、ってこういう場合に使うんでしょうね。

パスワードをいれさせたり、2重認証がめんどくさい、システム構築にコストがかかる、めんどくさがって、顧客も増えないということで簡単にしてしまうとこういうことも起こりやすいわけで。

思い起こすのはセブンペイでしたね。2重認証にもなっていなく、パスワードを間違えても、制限がなく何度もリトライできてしまう。(善意の)ユーザーにしてみればそのほうが単純で、間違ってもフォローしてしまうんですが。

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2020/9/11 6:05
くー  常連   投稿数: 268
どうしてそんなに簡単に口座が作れるのだ(怒)

宇都宮で栃木銀行か足利銀行の口座を作ろうと窓口で相談したところ、北海道の人は作れない。地元に住んでいないと作れない。引っ越してきてからにしてくださいと断られました。だから、こっちは引っ越す前に作りたいのだよ。

まあ犯罪に使われにくいように地元シバリがあるのかとそのとき納得しました。

で札幌に帰って、宇都宮で使いやすい都市銀行はということでみずほ銀行に行ったら、架空口座を作らせないためか本人確認されました。口座一つ作るのになんと面倒なことか。

ドコモ口座簡単に作れすぎる。これは、ちょと腹立ちますね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2020/9/11 7:32
Chryso  スタッフ   投稿数: 5965
地元に住んでいないと口座が作れない、という縛りですか....

地元に住んでいる人なら、連想できるパスワードも、似通って来るのではないか、と思う次第。あれとか、あれとか...地域ごとに決まってくるものです。

それを使って、地方の銀行の口座を逆総あたりして、ビンゴになったら、そのパスワードで再検索したら、ほかにもビンゴがぞろぞろ...

という妄想をしてしまいました。
確率的には低いかもしれませんが、高性能のコンピュータを使ったら案外早いかもです。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2020/9/11 12:42
Chryso  スタッフ   投稿数: 5965
名前がついていたらしい。リバースブルートフォース攻撃だそうです。

なんでも、抜いたらすぐに、そのd払いで、換金性の高いものを買う必要があるそうな。
d払いはATMには対応していないので、すぐに現金を手にいれることができないようです。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2020/9/11 12:50
Chryso  スタッフ   投稿数: 5965
https://www3.nhk.or.jp/news/html/20200911/k10012612611000.html

>何者かがドコモと連携する銀行の預金者になりすまして口座を開設したとみられていますが、先月下旬以降、多い時には1日およそ100の不正なドコモ口座が開設され、銀行とひもづける手続きが行われていたことが、関係者への取材で分かりました。

>また、同じIPアドレスから複数の不審なアクセスがあったということです。

これを読む限りでは、IPアドレスは割れているようですね。複数犯(組織的な犯行)ではないのか?
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2020/9/11 12:59
Chryso  スタッフ   投稿数: 5965
確率的な対策になりますが、総当り戦をやろうにしても、リトライに時間がかかるようにするという防衛方法がありますね。口座番号と暗証番号を間違えたら、次にできるのはたとえば1分後、とか。

これだと1時間に60回しか総当り戦ができない。
ループかますだけだと素人は思ってしまう。

***

某横浜市の某システムですが、暗証番号を「1回」間違えると、リトライできるのは30分後、というのがありましたね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2020/9/16 6:43
Chryso  スタッフ   投稿数: 5965
今度はpaypayらしい。

https://paypay.ne.jp/help/c0118/
paypayの本人確認。

■銀行口座の認証を利用する

チャージ用の銀行口座を登録している場合、その情報を利用して本人確認ができます。

1 PayPayアプリのホーム画面右下の[アカウント]をタップ
2 [アカウント情報]または右上の[詳細]をタップ
3 [本人確認]をタップ
4 [銀行口座で確認]をタップ
5 お客様ご自身の情報(氏名や住所)、利用目的を入力
6 入力した情報の確認がとれれば完了

*入力した情報が何かわかりませんが、この方法だと、銀行口座番号(暗証番号も?)を知っていれば、できてしまいますね。
それこそ総当り戦で入手した銀行口座番号使えば。

paypayは補償する、といっています。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2020/9/17 11:17
Chryso  スタッフ   投稿数: 5965
とりあえず、私のゆうちょ銀行の口座は無事であった。

こういうものの口座番号ってシリアルになっているんでしょうね。だったらリバースブルートゥース、もとい、リバースブルートフォースのプログラムも書きやすいぞ、と。

安全のために口座番号の発行がランダムだったら、攻撃者がプログラムを作って実行しても「はずれ」が多く、効率はよくありません。
と、ここまで書いて思ったが、最初に口座番号をそうやって舐め回して、「暗証番号が違う」といわれたら、その口座が「ある」ことがわかるわけで、次回からはその口座番号を狙えばいいわけで。

「迷惑メール」をやめるようにメールを返信したら、そのメールアドレスが「生きている」ことがわかるようなものですね。
投票数:0 平均点:0.00
返信する

このトピックに投稿する

題名
ゲスト名
投稿本文
  条件検索へ


ログイン

ユーザー名:


パスワード:





パスワード紛失  |新規登録
PR
twitter
Created by: twitter website widget