[セキュリティ]クレジットカード番号をBotが総当たりで割り出しているという最新の不正手口
被害が少額で消費者が気づかないという不正利用など
先日クレジットカードにて、身に覚えのない請求がありました。それは某夢の国にあるホテルの宿泊代でした。夢の国には行ったことすらないのにです(夢の中の国?ならともかく)。カード会社に連絡したところ、難儀するかと思いきや、すんなりと適切な処理をしてくれました。よくある話だということなのでしょうか(それともカルマヨーガの達人だったのか?)。結局どこでどうハッキングされたのかはわかりませんでしたが、すぐにカードを止めて再発行してもらいました。不正利用されたのが、DLホテル宿泊代の一件だけというのも、何とも不思議な気がしたものですが。。実店舗でもネットでも、”セキュリティは万全です”とうたわれてはいますが、実際のところどうなのでしょう。
調べてみると、クレジットカードの表面にある16桁のカード番号にはアルゴリズムに基づく法則性があるため、「クレジットマスター」と呼ばれる手法でその番号を割り出すことができるそうです。そのためにカード番号に加えてカード裏面の3桁のセキュリティコード(CVV)の入力が求められているというのです。しかしクレジットマスターなどを使い、カード番号が入手済みであれば、Bot(ボット、ROBOTから生まれた言葉)を悪用して、わずか3桁の番号であるCVVを割り出すのは、繰り返し処理を得意とするBotにとっては朝飯前の作業なのだそうです。
また、「多くの会員制サイトでは、新規の会員登録を行う際に同じユーザーIDでの登録を防止するための機能があるが、botは不正に入手したリストのユーザーIDを試し、エラーが出ずに会員登録プロセスの次の画面に遷移したユーザーIDのリストをまず作成する。→こうして絞り込んだリストは、付加価値をつけて次の段階の攻撃者に販売される。その攻撃者は、また別のbotネットを使ってIDに対するパスワードの有効性を検証していく。→その結果のリストがさらに再販され、最終的にアカウントに登録されているクレジットカード情報を用いて商品が不正に購入される。」といった連係プレーの手口もあるとのことで、その悪知恵ぶりには驚かされるばかりです。
そして最近の被害の状況としては、「不正に使われる金額が数百円から千円単位と少額で、消費者も不正利用に気づかない」ということですから、対策としては請求書をちゃんとチェックするしかなさそうですね。使うのであれば。
(続きはこちらから)では、セキュリティ関連として、ASKAさんからの驚くべき情報です。
以前ASKAさんは、「パソコンの電源を切っていても盗聴盗撮はされる」と言っていました。そうだろうな!とおもったものです。(映画にもなったスノーデン※も、「パソコンのカメラは塞いでおいた方がいい、盗撮されるおそれがある」と言っていましたね)
今回の情報では、スマホカバーのピンホールから盗撮されるおそれがあるというのです。カバーのピンホールに対応するスマホの部位としては、音声関連の部位のはずで、カバーの穴も音を拾うためのものであるはずです。それを逆手に取って、その部位にカメラが仕込まれているということなのでしょうか。スマホを分解してみたらわかることでは?とか、もしくは個別に細工されていたのでは?とおもったりもしますが、そうなのだろうな!という自分もいます。
私のスマホカバーもこの手のものだったので、早速カバーの穴をテープで塞ぎました。このテープは何のため?と聞かれることがあるとして、盗撮防止のためといったら、驚かれるでしょうね。
(※)
元NSAの職員であったスノーデンは、横田基地に勤務していたときに、日本全国のインフラ施設にマルウェア(悪意のあるソフトウェア)を仕込んだといっていましたね。日本が言うことをきかないときの脅しとして。難儀するのでしょうか、聞き分けの良い日本の中にいる日本人。
調べてみると、クレジットカードの表面にある16桁のカード番号にはアルゴリズムに基づく法則性があるため、「クレジットマスター」と呼ばれる手法でその番号を割り出すことができるそうです。そのためにカード番号に加えてカード裏面の3桁のセキュリティコード(CVV)の入力が求められているというのです。しかしクレジットマスターなどを使い、カード番号が入手済みであれば、Bot(ボット、ROBOTから生まれた言葉)を悪用して、わずか3桁の番号であるCVVを割り出すのは、繰り返し処理を得意とするBotにとっては朝飯前の作業なのだそうです。
また、「多くの会員制サイトでは、新規の会員登録を行う際に同じユーザーIDでの登録を防止するための機能があるが、botは不正に入手したリストのユーザーIDを試し、エラーが出ずに会員登録プロセスの次の画面に遷移したユーザーIDのリストをまず作成する。→こうして絞り込んだリストは、付加価値をつけて次の段階の攻撃者に販売される。その攻撃者は、また別のbotネットを使ってIDに対するパスワードの有効性を検証していく。→その結果のリストがさらに再販され、最終的にアカウントに登録されているクレジットカード情報を用いて商品が不正に購入される。」といった連係プレーの手口もあるとのことで、その悪知恵ぶりには驚かされるばかりです。
そして最近の被害の状況としては、「不正に使われる金額が数百円から千円単位と少額で、消費者も不正利用に気づかない」ということですから、対策としては請求書をちゃんとチェックするしかなさそうですね。使うのであれば。
(続きはこちらから)では、セキュリティ関連として、ASKAさんからの驚くべき情報です。
以前ASKAさんは、「パソコンの電源を切っていても盗聴盗撮はされる」と言っていました。そうだろうな!とおもったものです。(映画にもなったスノーデン※も、「パソコンのカメラは塞いでおいた方がいい、盗撮されるおそれがある」と言っていましたね)
今回の情報では、スマホカバーのピンホールから盗撮されるおそれがあるというのです。カバーのピンホールに対応するスマホの部位としては、音声関連の部位のはずで、カバーの穴も音を拾うためのものであるはずです。それを逆手に取って、その部位にカメラが仕込まれているということなのでしょうか。スマホを分解してみたらわかることでは?とか、もしくは個別に細工されていたのでは?とおもったりもしますが、そうなのだろうな!という自分もいます。
私のスマホカバーもこの手のものだったので、早速カバーの穴をテープで塞ぎました。このテープは何のため?と聞かれることがあるとして、盗撮防止のためといったら、驚かれるでしょうね。
(※)
元NSAの職員であったスノーデンは、横田基地に勤務していたときに、日本全国のインフラ施設にマルウェア(悪意のあるソフトウェア)を仕込んだといっていましたね。日本が言うことをきかないときの脅しとして。難儀するのでしょうか、聞き分けの良い日本の中にいる日本人。
「身に覚えのない2千円」はクレカ不正利用だった 少額で被害に気づかない?最新の手口とは
引用元)AERAdot. 23/5/6
(前略)
2022年のクレジットカードの情報流出件数は84万件を超え、過去最高を記録した。コロナ禍でネットショッピングの利用が増えたことや、不正に使われる金額が数百円から千円単位と少額で、消費者も不正利用に気づかないという。
(中略)
最新の手口での被害も増加傾向にあると話す。Bot(ボット)が総当たりで、クレジットカード番号の規則性に従って、他人の番号を割り出しているという。ボットとは、一定のタスクや処理を自動化するためにプログラムされたツールのことを指し、ロボット(ROBOT)から生まれた言葉である。
(以下略)
2022年のクレジットカードの情報流出件数は84万件を超え、過去最高を記録した。コロナ禍でネットショッピングの利用が増えたことや、不正に使われる金額が数百円から千円単位と少額で、消費者も不正利用に気づかないという。
(中略)
最新の手口での被害も増加傾向にあると話す。Bot(ボット)が総当たりで、クレジットカード番号の規則性に従って、他人の番号を割り出しているという。ボットとは、一定のタスクや処理を自動化するためにプログラムされたツールのことを指し、ロボット(ROBOT)から生まれた言葉である。
(以下略)
クレカ不正利用で暗躍するbotの脅威 セキュリティコード特定は“朝飯前”
引用元)Itmedia 19/1/24
(前略)
カード表面の情報、つまり16桁のカード番号には「M10W21」または「Luhn」というアルゴリズムに基づく法則性があり、「クレジットマスター」と呼ばれる手法で割り出すことができる。 (中略)
このような背景から、多くのECサイトやスマホアプリでは、カード番号に加えてカード裏面の3桁のセキュリティコード(CVV)の入力を求めている。
(中略)
では、クレジットマスターの手法では生成できないCVVの情報がカード番号とセットになってダークウェブで売買されているのはなぜだろうか。
(中略)
クレジットマスターなどを使い、カード番号が入手済みであれば、botを悪用しても比較的簡単にCVVの照合ができる。 わずか3桁の番号を割り出すのは、繰り返し処理を得意とするbotにとって朝飯前の作業だ。
(中略)
多くの会員制サイトには、新規の会員登録を行う際に同じユーザーIDでの登録を防止するための機能がある。「そのユーザーIDはすでに使われています」と表示されるエラー画面を見たことがある人は多いだろう。botは不正に入手したリストのユーザーIDを次々にユーザー登録画面に入力して試し、エラーが出ずに会員登録プロセスの次の画面に遷移したユーザーIDのリストをまず作成する。 ここで注目したいのは、この段階では不正ログイン行為までは行われていないということだ。
(中略)
こうして絞り込んだリストは、付加価値をつけて次の段階の攻撃者に販売される。その攻撃者は、また別のbotネットを使ってIDに対するパスワードの有効性を検証していく。
(中略)
その結果のリストがさらに再販され、最終的にアカウントに登録されているクレジットカード情報を用いて商品が不正に購入される。ユーザーがそのサイトでの買い物でためたポイントを共通ポイントの交換サービスなどを利用して他の電子マネーなどに移す「ポイント・ロンダリング」を通じて、現金化される場合もある。
(以下略)
(続きはこちらから)
大丈夫だよ、お前は。【追記1】~2/15新【追記】
引用元)Fellows ASKA Official Web Site BLOG 23/2/14
(前略)
コメント
「スマホカバーされたのですね☺️」
そう、カバーしました。
これは、僕だけではなくスマホを持ってるみなさんに必要。
約15年前から、被害に遭っていたこと。
全て立証されたでしょう?
例えば
「パソコンの電源を切っていても盗聴、盗撮はされる」
など。
あの頃は、誰も信じなかった。
今は、常識です。
スマホのセキュリティはザルです。
ザルになるよう設計されてる。
最初から、そうなるようになってるんです。
(中略)
穴の空いていないカバーをつける事。
そしてカメラ方を下に向けて置くこと。
もちろん、これは狙われてる人がやる事でしょうが、
実は、そうでもないんです。
会話は、常に聴かれてると思っておいてください。
(以下略)
コメント
「スマホカバーされたのですね☺️」
そう、カバーしました。
これは、僕だけではなくスマホを持ってるみなさんに必要。
約15年前から、被害に遭っていたこと。
全て立証されたでしょう?
例えば
「パソコンの電源を切っていても盗聴、盗撮はされる」
など。
あの頃は、誰も信じなかった。
今は、常識です。
スマホのセキュリティはザルです。
ザルになるよう設計されてる。
最初から、そうなるようになってるんです。
(中略)
穴の空いていないカバーをつける事。
そしてカメラ方を下に向けて置くこと。
もちろん、これは狙われてる人がやる事でしょうが、
実は、そうでもないんです。
会話は、常に聴かれてると思っておいてください。
(以下略)
マイコメント
年々クレカの詐欺のやり方が巧妙になってきていますね。
これに最近話題のChat-GPTなどが悪用されるととんでもないことになりそうです。
おそらくすでにその悪用に仕方を探している人がいるはずです。
今後はクレカと言えども安心できないようです。
二段階認証や合言葉などを利旺したセキュリティ対策が必要になってくると思います。
コメント