ご存じでない、ないしはお気づきでない方もいるかもしれませんが、プライベートでこんなメールが届くことはありませんか。
「あなたの○○アカウントは一時的に停止しました」
この「○○」は、アマゾンでも楽天でもLINEでも銀行でも、何でもいいのですが、とにかくあなたの何らかの口座に不正なアクセスと見られる動きがあったので、一時的にアカウントを停止しているという、一見親切なメールです。しかしこのメール、送り付けるのは大半の場合、犯罪グループです。
メールの中で「アカウント停止の解除はこちらから」と書かれてあるリンクをクリックすると、そこが不正の入り口で、銀行の場合なら、本物の銀行のホームページそっくりの画面が表示されます。
そして、本人確認に必要な情報だとして口座番号、ログインパスワード、キャッシュカードの暗証番号を順番に入力していくと、「本人確認が完了しました。口座の停止を解除しました」といった、ユーザーを安心させるメッセージが表示されます。しかしそのときにはすでに、銀行口座の口座番号、ログインパスワード、キャッシュカードの暗証番号は、犯罪グループに盗まれているわけです。
ちなみに、このような罠を仕掛けなくても、リバースブルートフォースという手口のように、手当たり次第にログインIDと暗証番号を試す攻撃もあります。フィッシング詐欺に引っかかった経験がなくても、暗証番号やパスワードに簡単なものを設定している人は、このような攻撃に対して脆弱だと言えます。
第二段認証の壁がない
「緩い銀行」が狙われた
さて、口座情報を盗んだ犯人にとって難しいのは、ここからです。大半の場合、個人の銀行口座にインターネットバンキングでログインしても、普通はお金を送金できない。第二段認証の壁があるからです。しかしときどき、そういった壁を越える必要のない新サービスが登場します。ドコモ口座もその1つで、上限30万円までなら低いセキュリティで資金を移動できる銀行が何行もありました。だから、その銀行の預金者が狙われたわけです。
