「確認コードをテキストで送るので読み上げて下さい」 (銀行の番号からテキストメッセージが来る。コードを読み上げる) 「本人確認できました。以下の場所でカードを使いましたか?」 (以降、使った覚えのあるトランザクションが読み上げられるのでyesと回答) →
Show this thread
これはかなりすごいソーシャルハック。 「怪しいカードの利用がありました。マイアミで使いましたか?」 (いいえ) 「わかりました。このトランザクションはブロックします。本人確認のためメンバー番号を」 (メンバー番号自体は特に秘密でないので伝える) →https://twitter.com/DigitalLawyer/status/1181348689756864513 …
-
-
-
「ありがとうございます。念のため暗証番号をブロックします。暗証番号を読み上げてください。」 (は? 何言ってんの?)→切断 実はメンバー番号を伝えた段階で相手はパスワードリセットをかけてて、その確認コードを読み上げさせていた。その時点で相手は口座情報にアクセス可能になっていた。
Show this thread -
2FAをトリガする時点で、通信相手が確実に対象であることが保証されてないとだめ、と考えれば納得いくんだけど、話術の流れだと自然に信じてしまいそうだ。
Show this thread -
かなり端折った訳だったのでわかりづらかったかもしれないけど(1)犯人はおそらくターゲットのメールには既にアクセスできてて(2)パスワードリセットの保護に導入された2FAをこの会話で破ってログインできた(3)だが送金には別に暗証番号(PIN)が必要で、その詐取には失敗した、という流れですね
Show this thread - End of conversation
New conversation -
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.