パスワードを忘れた? アカウント作成
17256453 story
お金

Amazonで不正アクセス多発か? 69

ストーリー by nagazou
何が起きているのか 部門より
14日頃からSNS上で多くのユーザーが「Amazon.co.jpを不正利用された」との報告が出ているという。一部の被害者は「Amazonギフトカードを大量購入された」または「二段階認証を設定していたにもかかわらず、それを突破された」と話している。中でも注文履歴が非表示にされ、被害者が不正利用に気付かないままクレジットカードの請求が届いたという報告もあったことが注目されている(ITmediaTogetter)。

この被害者がAmazonのサポートに問い合わせたところ、似たような事例が多発していると説明されたという。最終的に被害額は全額返金されたと報告されている。Amazonはセキュリティ対策の一環として二段階認証機能を提供しているが、何らかの手段を使って二段階認証を突破されるケースが相次いでいる模様。また、不正利用分の購入履歴が非表示になることも共通しており、攻撃者はこれを利用して被害の発覚を遅らせている可能性があるとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年09月15日 14時12分 (#4529644)

    本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、
    被害はもっととんでもないことになってるはず。
    実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。

    • by Anonymous Coward
      アカウント(=メールアドレス)、パスワード、電話番号がセットで流出した人がSIMスワップでやられてるのでは
      • by Anonymous Coward

        SIMスワップ????
        SIMスワップなんてされたらさすがに気づくよ
        SMSインターセプトって言いたかったのか?

        Authenticatorでやられてるからその線もないけどな

    • by Anonymous Coward

      セッション乗っ取られたかフィッシングだな

      • by Anonymous Coward on 2023年09月15日 14時59分 (#4529681)

        やられた人は「絶対にフィッシングサイトは踏んでない」と言ってますけど、フィッシングサイトと気づいて踏んでる人はいないと思うんだよね。

        親コメント
        • by Anonymous Coward on 2023年09月15日 17時35分 (#4529857)

          X(いわゆるTwitter)では「Amazonのサポセンにはマルウェア感染の可能性を指摘されたけど、それなら2FAは突破できない」みたいなこと言ってる人が震源地のうちの1人だったのを観測したから、やや眉唾感はあるね。
          自分のログイン済み端末が感染して使われたら2FAは無力なのを理解してない残念な人(なのに自分はリテラシーがあると思ってる)だし。

          親コメント
        • by zambia (36932) on 2023年09月15日 17時44分 (#4529861)

          そうそう。だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい
          #佐川急便からの届け先が不明で持ち帰りましたも

          親コメント
          • by Anonymous Coward

            > だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい

            しかしフィッシングメールの定番中の定番でもあるわけで、フィッシングサイトを気づかず踏むようなやつに促すのは逆効果にしかならないのでは

          • by Anonymous Coward

            >そうそう。だからアマゾンからの「不審な挙動を検知しました」ってメールはちゃんとリンク先をチェックした方がいい

            いかなるメールのリンクも簡単に踏むな定期
            ブラウザで自分の信用している(常用している)リンクから飛べ
            リンク先を確認する時代は終わった

            「メールのリンクをクリックするな」

            • by Anonymous Coward

              サムネ画像の取得でメールソフトが勝手にリンク先を読み込み始めるのはなんとかならんのかなこれ。

              • by Anonymous Coward

                まともなメーラーなら読み込みをブロックする設定があると思うが

    • by Anonymous Coward

      フィッシングサイト経由でログイン→二段階認証させることでフィッシングしたサーバーを「信頼できる端末」として登録してしまえば、
      それ以降フィッシングサーバーからのアクセスではユーザーの認証は不要になるから
      ユーザー視点で見れば「二段階認証をスルーされた」と受け取るのはごく自然なこと。

    • by Anonymous Coward

      だろうね
      その手の警告偽装フィッシングで釣り上げられた結果だったりするんじゃないかな

    • 本当に二段階認証を突破されてたら確実にアナウンスがあるだろうし、
      被害はもっととんでもないことになってるはず。
      実際はフィッシングかスマホに変なアプリやブラウザに怪しい拡張を入れて抜かれたと予想。

      仕組みはこう
      利用者 → 偽のサイトにユーザーがアクセス →  アマゾン側へアクセス
      利用者 ← 偽のサイト がパスワード要求
      利用者 ←                        アマゾン側
      利用者 → 偽のサイトにユーザーがアクセス →  アマゾンにアクセス成功

      詐欺サイトがリアルタイムにレスポンスを

      • by Anonymous Coward

        「詐欺サイトがリアルタイムにレスポンスを返してくれば」
        をろくに説明できてない図のせいで何が言いたいのかわからん

        • by Anonymous Coward

          偽サイト、かどうか知らんけど攻撃者の仕組みがamazonへのプロキシサーバーになってればいいんじゃない

          • by Anonymous Coward

            これを見て「プロキシサーバーになってる」と受け取れるのはエスパーだよ。

            二行目ではアマゾンからはパスワード要求していないのに偽サイトからはユーザーにパスワードを要求しているように見えるが、実際にはアマゾンから偽サイトへのパスワード要求をユーザーに中継しているはず。
            三行目に至ってはアマゾンからユーザーに矢印が伸びているが、何を送信しているのか一切説明がないため完全に意味不明。

            • by Anonymous Coward

              スマホの数字が移り変わっていくOTPなら有効期限がスマホに表示されてから90秒だかだからプロキシ先との連携しないとやりずらいけど
              パスワードはただちに中継しない搾取をしてもただちに中継する搾取をしてもいいと思えます。
              間違ってたらすまない

              • by Anonymous Coward

                偽サイトはパスワードを受け取ったら直ちにレスポンスを返さないとユーザーに怪しまれるし、
                そのパスワードが正しいかどうかを確かめないとユーザーにまとも(に見える)レスポンスを返すことができない。
                そのためにパスワードを受け取ったらすぐにそのパスワードでアマゾンにログインを試みるのが最も簡単で確実な手段なのに、そうしない理由がない。

              • by Anonymous Coward

                搾取しずらい

              • by Anonymous Coward

                以前見た説明では、一度「パスワードが間違ってます」エラーを返すんだそうな。
                入力ミスと思って再度入力してくれて、そのときは目的サイト(この場合はアマゾン)に遷移する。

              • by Anonymous Coward

                あるある。
                だからフィッシングサイトで遊ぶ時はまず最初にわざと適当な文字をidとpass欄に突っ込んでログインボタンを押して遊ぶ

      • by Anonymous Coward

        フィッシング詐欺をしないで二段階認証を突破したのなら分かるけど、
        それはフィッシング詐欺にあっただけなのでは?

        • by Anonymous Coward

          二段階認証にしていればフィッシングのリンクを踏んでも安心と思っていたバカが過剰に騒いでいるだけだな

      • by Anonymous Coward

        要するにドメインを確認せずにニセURLのサイトにパスワード突っ込みましたと
        そんなの大昔から抜かれて当然だと思うが。

    • by Anonymous Coward

      被害者がネットで検索して知った「2段階認証をすっ飛ばすツール」はevilproxyのことみたい。
      これも結局はフィッシングを利用した手法なので本当にすっ飛ばしてるわけじゃない。

    • by Anonymous Coward

      ストーリーに挙げられたtogetterまとめの人は

      かなり昔にアマプラのために登録して、ほとんど買い物に使わず放置していたので、パスワード覚えてなかったんですよね…。pcが覚えてるだけという状態でした。

      だそうで。
      偽サイトだとブラウザはパスワード自動入力してないので、
      フィッシングの可能性が低いんじゃないですかね。

      AmazonPayは国内サイトで直近利用有り

      ってことで、AmazonPayを疑ってる感じ。

      • by Anonymous Coward

        これだとセッションハイジャックも期限切れで使えませんね

    • by Anonymous Coward

      なんかパスワードマネージャーを騙すタイプの偽サイトがあるっていう話は見かけた。
      ソースは探すの面倒なのでない。

      • by Anonymous Coward

        経路ハイジャックと証明書誤発行しないと無理そう
        証明書の警告無視すればその限りではないが

      • by Anonymous Coward

        あのツイート見てるとさもブラウザorパスワードマネージャーのURL欄をハックしたみたいな話に見えるけど
        そんなんじゃ絶対ないよね

  • by Anonymous Coward on 2023年09月15日 14時57分 (#4529679)

    Amazonギフトカードを不正に大量購入ということは、連絡が早ければすぐにAmazonで無効にできると思う。
    ギフトカードを使っての購入は取り消しだし、使ったアカウントも凍結。

    何かマネーロンダリングできるルートがあるだろうか。

    • by Anonymous Coward

      誰も買わない高額な商品を出品しそれを購入すれば、出品者へお金が送金される。

    • by Anonymous Coward

      8000万円以上だましとったとみられる中国人グループ 指示役の留学生の男(40)逮捕 [yahoo.co.jp]
      似たような事件でタイムリーな報道がありましたね。
      記事中でJREポイントが挙げられていましたが、ギフトカードなりポイントなりを現金化するルートがあるんでしょうね。

    • by Anonymous Coward

      昔、海外ゲームをプレイしていたら、同盟内のベトナム人が $50 で $100分のgoogle playカードのシリアルを教えると同盟内チャットに書き込んでいて。
      それに応じて、実際に$50払って$100分のシリアルを入手、ゲームに課金しているヨーロッパ人が結構いた。

      これって、マネロンだよなって、日本人コミュニティの中では話題になってたから、日本人では表立って手を付ける人は居なかったけど、
      でもこんな身近なところにマネロンの手段が潜んでるんだ。。って思った。

    • by Anonymous Coward

      Amazonの中でスキームを完結させると都合の良い立場の犯行かな

  • by Anonymous Coward on 2023年09月15日 15時02分 (#4529685)

    実際どうなの?起きているの?それともフェイクニュース?
    スラド民で被害にあった人いる?

    俺はLinux使い。全通信をモニタリングしてるし怪しいリンクすら踏んでいない。
    この俺が被害を受けたら間違いなくAmazon内部犯の犯行だな

    • by Anonymous Coward

      全通信モニタリングとか人類ができるボリュームなのか・・・?
      通信速度が律速されててみるべき通信が少なく都度切断とかか?

    • by Anonymous Coward

      俺はLinux使い。全通信をモニタリングしてるし怪しいリンクすら踏んでいない。
      この俺が被害を受けたら間違いなくAmazon内部犯の犯行だな

      ハム速なんざ情報源にしてて、こんな感じの「パソコンの大先生」ムーブかます人に限って、結構やらかすんだよなぁ。
      # ブラウザに怪しい拡張いれてたりとか

    • by Anonymous Coward

      全通信をモニタリングしてるし怪しいリンクすら踏んでいない。

      フィッシングと正常な通信を漏れなく正確に判別できるなら、
      それをサービス化して起業でもしたほうがいいのでは?

      • by Anonymous Coward

        どうせ親コメはWiresharkとかでログ残してあるぐらいのことをやってるだけだろうけど、
        正常な通信というのはどこから出てきた?

        • by Anonymous Coward

          「全通信をモニタリングしてるから被害を受けない」んであれば、正常ではない通信を防ぐ術があるのでは?
          ただ見てるだけ?

    • by Anonymous Coward

      あのー192.168.0.1は私のIPアドレスです、勝手に使わないでください

      • by Anonymous Coward

        ついでに、192.168.100.1/255 は私のIPアドレスですので勝手に使わないでください

      • by Anonymous Coward

        使い古されてもはやうんざりするネタを嬉々として…
        哀れみすら感じるわ

        • by Anonymous Coward

          「ひさびさにスラド定番のフレーズ来た」ってむしろ嬉々とした私にも哀れみプリーズ
          これからも流行の最先端を走ってくださいや

          • by Anonymous Coward

            クラファン失敗のたびにMorphyOneネタを蒸し返したりするんでしょ…しょうもな…

      • by Anonymous Coward

        空いてたから使ったんじゃ。早い者勝ちじゃ。後から来たヤツは172.16.0.1でも使えばいいんじゃ

    • by Anonymous Coward

      Amazon内部犯と言うよりついAmazon倉庫発送でも中華系で買っちゃうとカード情報とかAmazon決済でガードしててもメール情報をそっち系に売り渡されている気がするな購入利用時からのフィッシングメール爆撃までが早すぎる
      良評価して連絡したら500円引きとか商品に紙入ってたり、評価催促メール来たりとか、勢いで買っちまってからやっちまった...とな
      ちゃんと業者チェックしないとあかんよな
      似たような商品を外面ブランド替えて多数の業者で売って評価分散して組織臭いとかもう手が込んでいる

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...