URLはダミーです。
①ログインID,パスに加え、ワンタイムパスなども入力できるシステムでフィッシング詐欺を行っている
②ワンタイムパスなどを利用せずとも買い物が出来るネットショッピングサイトを利用している(amazonは無くても出来たような・・・)
実際にしたことはないので、詳細には分かりませんが、具体例として挙げてみました。
回答にそぐわない場合は0ポイントでお願いします。
質問者:
comoberu
①に関して、ワンタイムパスは、随時番号が変わるので、無理だと思うのですが、どうでしょうか
②に関しても、クレジットカードではないので、銀行情報がわかっただけで、買い物はできない
と思いますが、どうでしょうか
今ほとんどの銀行が、ネットバンクでの振込の際に、ワンタイムパスワードや、別の振込暗証番号カードなどを使っているので、
むしろ、ワンタイムパスワードを使っている金融機関の方が少ないと思います。また、ワンタイムパスワード発生器を使っている場合、カードと発生器を別々に管理・携行する必要があることと、これを紛失すると一巻の終わりなので、実は発行件数はそれほど多くないと言われています。
また、オンライン証券や通販サイトでワンタイムパスワードを設けているところは、ほとんどありません。
フィッシャーは、正規の証券サイトや通販サイトを偽り、エンドユーザーが入力したIDおよびパスワードを盗みます。これで、エンドユーザーのアカウントを乗っ取ることができます。
乗っ取ったアカウントにクレジットカード番号や決済口座番号が登録されていれば、証券や物品を発注、これを売買しフィッシャー自身の口座に入金させます。
以上がフィッシング詐欺の典型的な手口です。
参考サイト
この質問・回答へのコメント
次の条件ならワンタイムパスワードは無力です
1.「ワンタイムパスワードの受信メールアドレス」の変更が可能なシステムであり
2.変更が可能になる暗証番号を教えてしまい
2.「受信メールアドレスの変更」の認証が「変更したメールアドレス」から
行われる場合
これで、ワンタイムパスワードは無力です。
AAA@co.jpというアドレスでワンタイムを受信していたのを
BBB@co.jpというアドレスに変更したら
BBB@co.jpにメールが届いて「アドレス変更を認証する」という感じです。
(BBB@co.jpが詐欺側です)
これを回避するためには「受信メールアドレスの変更」の認証を
AAA・BBBのメールアドレス両方で行うシステムが必要でしょう。
しかし、そのシステムですと「AAA」が利用不可能になってしまった場合
ワンタイムパスワードの「受信メールアドレスの変更」が
オンライン上で不可能になります。
---
通常、振込み等の際にはIDとパスワード以外の暗証番号を
必要としますが、ログイン画面にその暗証番号入力フォームを設置して
(もちろん偽装ですが)取得するケースも起こっています。
と、思いついた範囲はこの程度です。
1.「ワンタイムパスワードの受信メールアドレス」の変更が可能なシステムであり
2.変更が可能になる暗証番号を教えてしまい
2.「受信メールアドレスの変更」の認証が「変更したメールアドレス」から
行われる場合
これで、ワンタイムパスワードは無力です。
AAA@co.jpというアドレスでワンタイムを受信していたのを
BBB@co.jpというアドレスに変更したら
BBB@co.jpにメールが届いて「アドレス変更を認証する」という感じです。
(BBB@co.jpが詐欺側です)
これを回避するためには「受信メールアドレスの変更」の認証を
AAA・BBBのメールアドレス両方で行うシステムが必要でしょう。
しかし、そのシステムですと「AAA」が利用不可能になってしまった場合
ワンタイムパスワードの「受信メールアドレスの変更」が
オンライン上で不可能になります。
---
通常、振込み等の際にはIDとパスワード以外の暗証番号を
必要としますが、ログイン画面にその暗証番号入力フォームを設置して
(もちろん偽装ですが)取得するケースも起こっています。
と、思いついた範囲はこの程度です。
完全に勘違いだったようです。
0ポイントでよろしくお願いします。
0ポイントでよろしくお願いします。