Shiro Kawai on Twitter: “これはかなりすごいソーシャルハック。「怪しいカードの利用がありました。マイアミで使いましたか?」 (いいえ) 「わかりました。このトランザクションはブロックします。本人確認のためメンバー番号を」 (メンバー番号自体は特に秘密でな… https:__t.co_NHMlzcqkEj”

2019/10/09 19:35

kana-kana_ceo

（あぶない、気をつけよう）

2019/10/09 22:09

ikarino-ikaring

こっわ！

2019/10/09 22:17

maturi

　KOWAI

2019/10/09 22:19

dowhile

話術たくみだったら言われるままに読み上げそうで怖いな

2019/10/09 22:54

Tucana

恐ろしい手口だな

2019/10/09 23:00

Galaxy42

生きた人間とソーシャルハックが最恐。

2019/10/09 23:31

Falky

2FAのOTPは絶対に他人に教えない、という原則さえ徹底できていれば…とはいえ相手を安全なシステム・人間だと思い込んでしまっていればやむなしというのはあるなあ。

2019/10/09 23:45

namisk

気をつけよう。

2019/10/09 23:56

yamaidare

ソーシャル・ハックは読み物としてとても面白いし、大好きなネタだけど、聞いたことのない手法で自分に仕掛けられたら、途中で気づく自信はないな。

2019/10/10 00:33

misomico

映画みたい

2019/10/10 00:33

kagecage

おおう、こわい

2019/10/10 00:38

brain-owner

知識ある者と知識ある者とのやり合いはピカレスクロマンの香りがして楽しそうだが、自分の金をベットしてやるのは怖いなぁ

2019/10/10 00:40

htnmiki

すげえ……

2019/10/10 00:47

ChieOsanai

怖い

2019/10/10 01:11

spook7

これからはこんなんと戦っていかなきゃならんとするともうだめだあって気持ちになるな。老親がネット使えないことを心配してたけどむしろ使えないままでいいのかも

2019/10/10 01:48

pure_flat

あとから冷静に考えれば確認コードを電話口で伝えるのはおかしいんだけど、流れの中で実際に銀行から確認コードが送られているのが実によく効いている。

2019/10/10 02:14

obatakanae

やべ、これひっかかるかも…

2019/10/10 02:23

tamtam3

酒飲んだ後とか、眠いときとかにやられると引っかかるやつ

2019/10/10 02:23

KAN3

確認コード読み上げは怪しすぎる。ほとんどパスワード読み上げと変わらんし。

2019/10/10 02:47

makou

推理小説みたいなソーシャルハックだ。

2019/10/10 02:51

gachapining

ツイートとは直接関係ないけど、日本人は英語の文面を自動で警戒するので、それだけでかなりフィルタできてるけど、英語圏だったら騙されるような周到なフィッシングは多いんだろうなーと思う

2019/10/10 03:05

ene0kcal

誰かと思ったらshiro氏だった。みなさんご存知のGaucheの作者です。

2019/10/10 03:16

awawann

こんなんされたら絶対ひっかかるよね、、

2019/10/10 03:42

mobile_neko

こんなん騙されるだろ

2019/10/10 05:15

IGA-OS

これは心理的に引っかかる

2019/10/10 05:32

tohima

これすごいな、騙されそう

2019/10/10 06:03

bodibod

巧妙だな。一旦切って自分から(公式の連絡先に)かけ直す、とかしないとこれは騙されそう。まあ如何なる他人にも暗証番号を伝えない、という原則を守れば問題ないはずなんだけど。

2019/10/10 06:04

hatemate

これは気を付けないと。気づく自信はない、流れでつい言ってしまいそう。

2019/10/10 06:19

tiri_gami

親に共有したい

2019/10/10 06:29

natu3kan

パスワードはどんな公的機関の連絡であっても、口頭で伝えられる機会はないし、自分も教えないって原則を忘れてなければ最後の城壁は崩されないけど、上手いよなあ

2019/10/10 06:31

yoiIT

巧妙。パスワードを聞くフローはあり得ないという事をちゃんと普段から意識してる人でないと詐欺だと気づきにくい。

2019/10/10 06:35

homarara

疑うべき点としては、本人確認に口座番号なんて使わんという点と、確認コードのメールに「パスワードリセット」とか書いてないのかという点かな。

2019/10/10 06:58

wkatu

『実はメンバー番号を伝えた段階で相手はパスワードリセットをかけてて、その確認コードを読み上げさせていた。その時点で相手は口座情報にアクセス可能になっていた。』

2019/10/10 06:59

napsucks

2FAって2段階目に設定するとリスト攻撃の成否が分かって結局パスワードのバレるよなあと毎度思う

2019/10/10 07:21

rti7743

本人確認のため番号をというのかまず怪しい。氏名とかじゃないの？　でも、だまされそうだよな。知らない番号の電話には出ないでディフォルト留守電で。必要なものだけ別途折り返すでいいと思うわ。

2019/10/10 07:29

shoh8

OTPを口頭で聞いてくるところ怪しいけど、やられたタイミングで不審に思えるかわからない

2019/10/10 07:30

Palantir

電話かけ直しでだいたい解決するので、カードの裏の番号にかけ直すと多分いいんではないかと思う。 PKIってやつだ！(違います)

2019/10/10 07:34

sisya

この手口はアレンジすることで無限に人を騙せる手法が編み出せそうだ。ワンタイムパスワード方式のまずさが露呈している。

2019/10/10 07:37

shields-pikes

電話のみでの重要な手続きの場合は、必ずこちらから代表やカスタマー窓口などの公開番号に掛け直すという段階を踏むことを習慣にしている。どちらが本人確認の証明をすべき立場なのかを常に明確にしておこう。

2019/10/10 07:43

shun_libra

その相手は本物？という観点はとても大事。なりすましソーシャルハックやばい。

2019/10/10 07:44

zubtz5grhc

きっと自分もいつかは騙されるのだろうと覚悟はしてる。年々判断力が低下しているので尚更。

2019/10/10 07:57

ssids

「かかってきた電話、向こうから送って来たメッセージ・メールはすべて信用しない」が基本。カードの裏に書いてある電話番号だけ信じろ

2019/10/10 08:00

bobniku

うおぉ意識してないとやられそうだなぁ

2019/10/10 08:00

tecotex

本人であることを証明すべきは.....あちらさんの方だぜ！！

2019/10/10 08:04

shibainu46

仕組みをちゃんと理解してる人って少数派だろうし、リテラシないと気付けなそう

2019/10/10 08:08

aaasukaaa

背景がシャイニングのホテルの床模様なのが気になる

2019/10/10 08:13

smatsubara

これは分からん。

2019/10/10 08:26

guldeen

これはウッカリすると引っ掛かりそう…(-_-;)▼ウェブでのパスワード変更でも、こちらが指定したメアドに先方からメール送信され、パラメータ付きのURLに誘導されるもんね。

2019/10/10 08:32

tekitou-manga

いきなりこんなの来たらちゃんと判断できるか怪しいなぁ。パスワードやPIN答えろってのには流石に引っ掛からないと思いたいが。親の世代なら相当引っ掛かりそう

2019/10/10 08:33

qawsklp

これは気を付けよう(英語で電話かかって来ないけど...

2019/10/10 08:35

toksato

こりゃすごい。。。褒めちゃダメだけど。

2019/10/10 08:45

pandaporn

中国人がすこういうこと気づいて実行しそうだよなあ。LINE乗っ取りとかだいたい中国人だったでしょ

2019/10/10 08:46

onesplat

仕事柄PINを読み上げさせられる段階で気付いたけど、これ一般人なら100%やられるよな。暗証番号のない普通のサービスの2FAだとかなりやばいのでは？このケースでは利用履歴を読み上げることで信頼させているとはいえ

2019/10/10 08:55

airj12

こちら側でなく相手側からかかってきた電話で本人確認を求められた時点で怪しいと気付きたいけど全く自信なし、相手の技量次第でやられる / この手法と先日話題になった名前詐称SMSを組み合わせたりも出来そう

2019/10/10 08:56

jaguarsan

いうなればオレオレ詐欺もソーシャルハックだからな

2019/10/10 09:00

sase

これは騙される

2019/10/10 09:02

n_pikarin7

これで騙されても、不正検知したら自動でカード止まるよね。あと、カード会社から解除のために電話がかかってくる様なことはないよね。

2019/10/10 09:07

cardamom

専門用語が多すぎて何言ってんのか分からない。私はそれだけで「良く分からないのでお答えできません」になってしまいそう。

2019/10/10 09:12

naglfar

これはこわい。暗証番号や確認コードはとにかく伝えないこと。

2019/10/10 09:16

vlxst1224

実際は声色とか話術の力で違和感のない流れになってただろうし、これは初見で見破れる自信ないわ。騙されない自信＝知ってるトラップには引っかからない自信、だから未知のトラップには生兵法のせいで逆効果なのよね

2019/10/10 09:24

mostaga

メモ。2段回認証のワンタイムパスワードは絶対に他人に教えない。突然トラブルの連絡を受けて驚き、判断力を奪われた時が特に危ない。

2019/10/10 09:30

taguch1

これくらいなら大丈夫…と思いたいが電話口でちゃんと冷静に頭を働かせて受け答えできるだろうか。大事なアカウントに関係する話なら公開されてる電話番号にこっちから掛け直して仕切り直すように気をつけよう。

2019/10/10 09:38

ivory105

確かに、その場で答えず折り返すこと大切かもしんないね

2019/10/10 09:39

OkadaHiroshi

向こうからかかってきた電話は一切信用しないという単純なルールを社会全体で共用すべき。

2019/10/10 09:40

kiyo_hiko

私用で電話を取ってない。ピンポンに常に居留守なのと同じで、外から自分に来るエネルギーは基本的に悪意だ。

2019/10/10 09:44

imakita_corp

悪い一休さん

2019/10/10 10:07

JULY

賢いなぁ。というか、ここまでたどり着く時点で、相当の個人情報が相手に渡っている、ということだよなぁ。

2019/10/10 10:08

hiro_curry

ハッキングで一番強いのはソーシャルハックということは知られるべき。

2019/10/10 10:12

ukayare

これMFAの先にセキュリティがなかったら完全に破られてたんだなあ。気をつけよう

2019/10/10 10:20

T_Shino

これリテラシーがない人にかかってきたらと思うとゾッとする

2019/10/10 10:28

topiyama

これは怖い気を付けよう

2019/10/10 10:32

bk246

どこの銀行（カード会社？）からを装って電話してきたのだろう？その銀行に通報して全利用者に周知してもらったほうがいい

2019/10/10 10:35

tohokuaiki

唐突な2FAが分からなかった。二段階認証ね。

2019/10/10 10:35

tockthey

トランザクション通すのにもブロックするのにも必要ってことは無いと改めて考えさせられた。

2019/10/10 10:47

tzk2106

こんなの騙されちゃうよ、、、

2019/10/10 10:50

zgoto

これは気づかなくて、うっかりひっかかってしまうわ

2019/10/10 10:50

stp7

確認コードを読み上げる時点で怪しいと思わないとダメだな。気をつけないと。

2019/10/10 10:54

ngsw

印鑑廃止の次は電話廃止なのかもしれん。かける側の正当性証明というか。個人がクライアント証明書発行して架電okの相手に配る仕組みみたいなのないかね

2019/10/10 10:57

good2nd

「(は? 何言ってんの?)→切断」この行で「え？あ、そうだった」てなったので自分も危ないなと思いました。

2019/10/10 10:59

pero_pero

これLINEの手口と同じなんだよなー。で、引っかかるのはカードの不正利用の電話のことをよく知ってる人（あー、また例のあれねって脳内補完してしまう）の方なんだよね。

2019/10/10 11:07

Dragoonriders

「本人確認」とは「アクセスしてきた者が、自分を証明するために行うものだ」という意識をちゃんと持ちたい／事務的な口調で電話してきてびっくりさせられた状態では、なかなか気がつけない心理戦ですね。

2019/10/10 11:10

kuippa

ソーシャルハックというよりはソーシャルエンジニアリング

2019/10/10 11:10

augsUK

ワンタイムパスワードを信用させる道具にするのは上手いなあ

2019/10/10 11:21

maharada

全く関係ない話ですがこの方のアイコンの背景の模様はシャイニングのホテルのカーペットの模様に似ている

2019/10/10 11:26

otihateten3510

究極言えば本人が鍵を渡せば犯人が入れてしまうわけだから、ユーザーの仕組みに対する理解が重要になるんだよね。んで最近のセキュリティって仕組みを理解しづらいと思うんだ。

2019/10/10 11:29

sds-page

フットインザドア案件

2019/10/10 11:29

satomi_hanten

二段階認証のコード教えたら二段階認証じゃなくなる

2019/10/10 11:36

go_kuma

こっわ

2019/10/10 11:36

whirl

とはいえ前提として何かしらかがすでに漏れているからなあというか

2019/10/10 12:06

Gaju

なかなか凄いschemeですね

2019/10/10 12:12

Windfola

「電話口で暗証番号ありえない」ところが我が国の一般人がよく利用するサービスにね、”ネットワーク”暗証番号とやらを電話口で答えさせる奴が普通にあってね。それに慣れちゃうとね……。

2019/10/10 12:12

lifefucker

電話番号とクレカの組み合わせは漏れてたの？

2019/10/10 12:13

sadn

暗証番号を尋ねられるまで、気付かないかもしれんなぁ

2019/10/10 12:15

mionosuke

親じゃなくてもひっかかりそう。意味が分かんないカタカナ多いし。知らない番号には出ずに、気になる電話だけ折り返すようにしてる。

2019/10/10 12:28

underd

あとでよむ

2019/10/10 12:33

ardarim

これは怖い。でも、パスワード親兄弟だろうとシステム管理者だろうと絶対に誰にも教えるなって単純明快な一事だけを朴訥に守れば最後までは引っかからずに済む

2019/10/10 12:40

fukken

なるほど、上手い。二要素認証で送られるSMSって文面が極端にシンプルな事が多いので、何をトリガーに送られたかなんて文面からわからないしな。

2019/10/10 12:41

north_god

うはー、これはやりとりの最中から思考停止してしまいそう…

2019/10/10 12:57

t-murachi

なにそれこわい(´・ω・`) 向こうからかかってくる電話の話者は基本信用しちゃだめだ罠(´・ω・`)

2019/10/10 12:58

brusky

自分で解決できなさそうな問題に対して手を差し伸べてくれる（ように見える）人を信じがち問題

2019/10/10 13:12

u-li

“パスワードリセットの保護に導入された2FAをこの会話で破ってログインできた(3)だが送金には別に暗証番号(PIN)が必要で、その詐取には失敗”

2019/10/10 13:19

tetsuya_m

ソーシャルハックはいきなりやって来るから、いつも正しい対応が取れるとは限らない。くわばらくわばら

2019/10/10 13:43

hokuryuno

最近は本物の銀行からのメールさえも一度は疑っている。詐欺に遭わないためには必要だとしても面倒だよね。

2019/10/10 14:08

onasussu

これ、早々に周知しないと騙される人相当いるのでは…

2019/10/10 14:20

lastline

何回か不正利用されたけど、カード番号とかお客様番号を確認された覚えないなぁ。名前と住所と生年月日かな。基本的に、仕様の確認を経て、止めます、新しいの送りますってフロー

2019/10/10 14:20

crarent

まぁパスワード電話で聞くのは完全にNGだよな。本物だとしても俺は電話を切るよ。

2019/10/10 14:22

HanaGe

一旦切って、落ち着いてカード会社（カードに記載されてる番号。相手が言った番号でなく）にかけ直す、という冷静さがあればいいけど実際はテンパると思う。

2019/10/10 14:26

panoramaafro

こういう被害があると、面倒で忘れがちなリスクベース認証もやはり必要なんだなと。

2019/10/10 14:44

katawax

どんな連絡も一旦こちらから折り返しますが最強なんだよな。

2019/10/10 15:19

megumin1

2FAをトリガーできるのは「本人とサイト側の管理者だけ」という誤った思い込みがこのハックの肝であり、引っかかる人多そうですね。実際は「1段階目の認証を突破した人（犯人含む）」なら誰でも2FAをトリガーできます

2019/10/10 15:20

tattyu

いわゆる一般的なソーシャルハックだと思う。これがLINE上でのやり取りだったら最初にコード入れさせる時点でやばいってすぐわかるよね？。

2019/10/10 16:01

FeZn

（ブクマコメント欄が参考になった。人間の思考的な意味で）

2019/10/10 17:37

quick_past

認知レベルが下がってるときだと引っかかりそうだなあ・・・

2019/10/10 18:11

UhoNiceGuy

理解できない。やっぱクレカをインターネットで使うのは無理だわ

2019/10/10 18:44

fu_kak

きちんと対処できる自信がない

2019/10/10 18:45

kou-qana

ある程度わかってる人の方が危ないのかな？私は電話が来た段階で怖くなって「すみませんよくわからないので」って切っちゃいそう（本物の銀行からでも切っちゃってカード不正使用されまくるかも）

2019/10/10 23:20

LawNeet

2要素認証のSMSに「この番号を他人に伝えないでください」の注意書きがされていることがあって、当たり前だろう何だこの過剰注意書き社会（）と思っていたが、やはり必要な一文であった。

2019/10/10 23:53

kusukusunoki

元ツイートと少し違うが今後応用がききそう。詐欺師が標的の口座にアクセスしながら電話でやりとり、「暗証番号を変更しました」と伝えるタイミングでパスワードリセット。「今送った暗証番号を読み上げて」のように