「山形銀行の偽サイトへ誤ってログインに必要な情報(ID、パスワード)を入力をしてしまい、さらにワンタイムパスワードも電話を通じて聞き出されてしまったことから他行口座に同社の口座より1億828万円が不正に送金」
規模が地面師みたいだな 泣き寝入りなんてありえない企業相手でも逃げ切ろうと思えば逃げ切れるのか
“山形銀行ややまぎんネット EB サポートを騙る自動音声電話がかかり、ネット EB の契約者情報の更新が求められる。(更新をしない場合2時間以内に口座が使えなくなるなどと伝えられる模様。)”
偽〔口座閉鎖?〕警告の自動電話と送付されたURL掲載メールで偽サイトに誘導されIDとパスワード入力後、再び着信。"ワンタイムパスワードも電話を通じて聞き出され〔"ネット EB やトークンの操作"指示〕 "
今は明らかなコンピュータ音声による音声メッセージは疑ってかかるフェーズ。この次にAIによる自然な合成音声が登場すると、被害はもっと増えると思ってる・・
こわすぎ
“ 顧客へメールや電話、SNSなどで契約情報やログイン情報を求めることも一切ない”:これが今時のネットサービスの標準であることが事業者と利用者の両方に広まって欲しい。
三菱の法人向けネットバンキングでずっと注意喚起されてたのこれだったのか。お前んとこの従業員こそ泥棒じゃんwて見るたびに思ってしまってたけど
サービスへの勧誘も全部疑わしく思えてくる。
法人狙いなんよな?(・ω・) 個人狙いになったら、親戚が騙されてしまいそうで怖い
初手だけ機械にやらせて実際の処理は人間の詐欺師がやってるのね。オレオレ詐欺もここまで進化したか… LLMの進化で今ならこれを自動でできるようになってしまってるから、大規模化可能なのだよなあ。
どうでもいいがジェイソン・ステイサムの底抜けアクション映画『ビーキーパー』も、この手のフィッシングで口座がカラになってしまうところが発端だった。騙されてしまった人がいたたたまれない。
これ明らかに顧客情報漏れとるやん。マット妖怪の次は顧客情報持ち出し妖怪が爆誕かよ。山形県、絶対近づかんとこ。
“サイトへ誤ってログインに必要な情報(ID、パスワード)を入力をしてしまい、ワンタイムパスワードも電話を通じて聞き出され”DATAはそこまで実装してないよと。人と機能で操作壁と信用のバランスとれてるよな。
個人口座だと一度に取引できる金額上限設定があるけど法人口座だと上限が大きいからできちゃうのか
やっぱり人間が一番のセキュリティホールなんすねぇ
口座から口座への送金だったらすぐに足がつきそうに思えるんだけども、どうやってるんだ?
機械音声だと人手を集めなくても数うちゃあたる戦法が使えるんだよな
まとめ助かる。巧妙にはなってきてるけれども注意すれば防げる部分はまだあるはず
やっぱさ、自動音声で電話を掛けるオートコールはすべて法律で禁止すべきだと思うんだ。世論調査に使うっていうなら許可を受けた団体だけが使えるようにするとかさ
山形弁を喋る人間が関わっている。地元の人を捜査した方がいいのかも
もう電話マナーは忘れよう。自動音声はガチャ切り。人からでも普段の担当者でない場合は、一旦切って、折り返しとするなど、話の途中でも一旦切ってもよいとしよう。
とても勉強になる。おれもいつか巧みに盗み取られそうな気がしてならない。山銀の名前を出されたら思わず相手してしまうよなあ。県民や県内企業だったら。
めちゃくちゃ手が込んでる 準備も人手もそれなりに必要でかなり組織的な手口やね
ワンタイムパスワードを電話で教えたのか......それでアレっと思って欲しかった。
担当者のメールを聞き出す事で、途中で担当者を変えさせるのがミソなのかな?
貸金庫と同じで銀行や権威あるものを信用してはいけない。人間の脆弱性だね。
まとめありがたい
Vishing被害事例として出てくるのは珍しい
以前に自動音声通話と思わせつつ人間が録音流してるだけなのでどんな番号を押しても人間が出てくるというのがあったが、今回もそんな感じなのだろうか。
めんどくさくても金額制限と、送金依頼者と承認者を分けておくぐらいいるなぁ。
この記事をおすすめしました
銀行員になりすました犯人は山形弁を使っていたのだろうか
電話番号はどうだったんだろうやはり海外からだったのかな。NTTで高頻度でかけてくる海外からの電話番号は遮断できないのかな、、もしくは通報窓口を設けて調査するとかできないのか?
取引先から電話きて「手続用url送るからアドレス教えて」あたりまでは普通の対応でインシデントとは言えないのでは。その後来たのがフィッシングメールと気づけなかったこと、電話でワンタイムパス教えたのが問題。
電話でメアド聞かれるまではともかく偽のサイトにつながるURLで気づかないというのは同じ形の違う文字とか文字方向とかで見た目はまったく同じになるようにしてたとか?
対策としては「一旦こちらから(相手から伝えられた番号ではなく自分で調べた番号へ)掛け直す」かな……送金時に複数人の承認を必須にしても、一人が信じてしまうと厳しそう。
山形鉄道の会計担当独断で対応してしまったのだろうか…それとも組織ぐるみで騙された…
「更新をしない場合2時間以内に口座が使えなくなる」←はい出た脅迫的表現!! 本物の業者はほぼこんなこと言わない、もうちょっと移行期間とか余裕を持たせる。脅迫的な強気の言葉で相手を焦らせるのが詐欺の常套
音声以外の部分は普通のフィッシングなので、パスワードマネージャーを使っていれば防げた(気づけた)
リテラシーの問題とは言えこれで設備更新費を失ったのかわいそうでならない
早くしないと〇〇になるは全部詐欺
まぁ「山形道場」に見えるよね
1億円送金できる設定になってるのもすごいな
2段階認証コードはいかなるイレギュラーが起きたとしても自分以外の人間に教えてはならんのだ…。「他人に教えてはいけません」じゃダメ。「この人は今この瞬間において"他人"ではない」という誤った判断が起きうる
地球上の詐欺師は全員、今即座に地獄に堕ちて閻魔様に全身ぶん殴られろって思う。騙される方も悪いっていう人いるけど、騙す方が圧倒的に悪い。自衛の知識武装は必要だけど知らなかった人を責めるのはある意味同罪。
自動音声で始まった後は典型的な手段で騙されている。
“急な対応が必要な場合は窓口にて手続きを行うとしている。”フラグ
1億円を不正送金された山形鉄道への音声フィッシングについてまとめてみた - piyolog
「山形銀行の偽サイトへ誤ってログインに必要な情報(ID、パスワード)を入力をしてしまい、さらにワンタイムパスワードも電話を通じて聞き出されてしまったことから他行口座に同社の口座より1億828万円が不正に送金」
規模が地面師みたいだな 泣き寝入りなんてありえない企業相手でも逃げ切ろうと思えば逃げ切れるのか
“山形銀行ややまぎんネット EB サポートを騙る自動音声電話がかかり、ネット EB の契約者情報の更新が求められる。(更新をしない場合2時間以内に口座が使えなくなるなどと伝えられる模様。)”
偽〔口座閉鎖?〕警告の自動電話と送付されたURL掲載メールで偽サイトに誘導されIDとパスワード入力後、再び着信。"ワンタイムパスワードも電話を通じて聞き出され〔"ネット EB やトークンの操作"指示〕 "
今は明らかなコンピュータ音声による音声メッセージは疑ってかかるフェーズ。この次にAIによる自然な合成音声が登場すると、被害はもっと増えると思ってる・・
こわすぎ
“ 顧客へメールや電話、SNSなどで契約情報やログイン情報を求めることも一切ない”:これが今時のネットサービスの標準であることが事業者と利用者の両方に広まって欲しい。
三菱の法人向けネットバンキングでずっと注意喚起されてたのこれだったのか。お前んとこの従業員こそ泥棒じゃんwて見るたびに思ってしまってたけど
サービスへの勧誘も全部疑わしく思えてくる。
法人狙いなんよな?(・ω・) 個人狙いになったら、親戚が騙されてしまいそうで怖い
初手だけ機械にやらせて実際の処理は人間の詐欺師がやってるのね。オレオレ詐欺もここまで進化したか… LLMの進化で今ならこれを自動でできるようになってしまってるから、大規模化可能なのだよなあ。
どうでもいいがジェイソン・ステイサムの底抜けアクション映画『ビーキーパー』も、この手のフィッシングで口座がカラになってしまうところが発端だった。騙されてしまった人がいたたたまれない。
これ明らかに顧客情報漏れとるやん。マット妖怪の次は顧客情報持ち出し妖怪が爆誕かよ。山形県、絶対近づかんとこ。
“サイトへ誤ってログインに必要な情報(ID、パスワード)を入力をしてしまい、ワンタイムパスワードも電話を通じて聞き出され”DATAはそこまで実装してないよと。人と機能で操作壁と信用のバランスとれてるよな。
個人口座だと一度に取引できる金額上限設定があるけど法人口座だと上限が大きいからできちゃうのか
やっぱり人間が一番のセキュリティホールなんすねぇ
口座から口座への送金だったらすぐに足がつきそうに思えるんだけども、どうやってるんだ?
機械音声だと人手を集めなくても数うちゃあたる戦法が使えるんだよな
まとめ助かる。巧妙にはなってきてるけれども注意すれば防げる部分はまだあるはず
やっぱさ、自動音声で電話を掛けるオートコールはすべて法律で禁止すべきだと思うんだ。世論調査に使うっていうなら許可を受けた団体だけが使えるようにするとかさ
山形弁を喋る人間が関わっている。地元の人を捜査した方がいいのかも
もう電話マナーは忘れよう。自動音声はガチャ切り。人からでも普段の担当者でない場合は、一旦切って、折り返しとするなど、話の途中でも一旦切ってもよいとしよう。
とても勉強になる。おれもいつか巧みに盗み取られそうな気がしてならない。山銀の名前を出されたら思わず相手してしまうよなあ。県民や県内企業だったら。
めちゃくちゃ手が込んでる 準備も人手もそれなりに必要でかなり組織的な手口やね
ワンタイムパスワードを電話で教えたのか......それでアレっと思って欲しかった。
担当者のメールを聞き出す事で、途中で担当者を変えさせるのがミソなのかな?
貸金庫と同じで銀行や権威あるものを信用してはいけない。人間の脆弱性だね。
まとめありがたい
Vishing被害事例として出てくるのは珍しい
以前に自動音声通話と思わせつつ人間が録音流してるだけなのでどんな番号を押しても人間が出てくるというのがあったが、今回もそんな感じなのだろうか。
めんどくさくても金額制限と、送金依頼者と承認者を分けておくぐらいいるなぁ。
この記事をおすすめしました
銀行員になりすました犯人は山形弁を使っていたのだろうか
電話番号はどうだったんだろうやはり海外からだったのかな。NTTで高頻度でかけてくる海外からの電話番号は遮断できないのかな、、もしくは通報窓口を設けて調査するとかできないのか?
取引先から電話きて「手続用url送るからアドレス教えて」あたりまでは普通の対応でインシデントとは言えないのでは。その後来たのがフィッシングメールと気づけなかったこと、電話でワンタイムパス教えたのが問題。
電話でメアド聞かれるまではともかく偽のサイトにつながるURLで気づかないというのは同じ形の違う文字とか文字方向とかで見た目はまったく同じになるようにしてたとか?
対策としては「一旦こちらから(相手から伝えられた番号ではなく自分で調べた番号へ)掛け直す」かな……送金時に複数人の承認を必須にしても、一人が信じてしまうと厳しそう。
山形鉄道の会計担当独断で対応してしまったのだろうか…それとも組織ぐるみで騙された…
「更新をしない場合2時間以内に口座が使えなくなる」←はい出た脅迫的表現!! 本物の業者はほぼこんなこと言わない、もうちょっと移行期間とか余裕を持たせる。脅迫的な強気の言葉で相手を焦らせるのが詐欺の常套
音声以外の部分は普通のフィッシングなので、パスワードマネージャーを使っていれば防げた(気づけた)
リテラシーの問題とは言えこれで設備更新費を失ったのかわいそうでならない
早くしないと〇〇になるは全部詐欺
まぁ「山形道場」に見えるよね
1億円送金できる設定になってるのもすごいな
2段階認証コードはいかなるイレギュラーが起きたとしても自分以外の人間に教えてはならんのだ…。「他人に教えてはいけません」じゃダメ。「この人は今この瞬間において"他人"ではない」という誤った判断が起きうる
地球上の詐欺師は全員、今即座に地獄に堕ちて閻魔様に全身ぶん殴られろって思う。騙される方も悪いっていう人いるけど、騙す方が圧倒的に悪い。自衛の知識武装は必要だけど知らなかった人を責めるのはある意味同罪。
自動音声で始まった後は典型的な手段で騙されている。
“急な対応が必要な場合は窓口にて手続きを行うとしている。”フラグ