これはかなりすごいソーシャルハック。
「怪しいカードの利用がありました。マイアミで使いましたか?」
(いいえ)
「わかりました。このトランザクションはブロックします。本人確認のためメンバー番号を」
(メンバー番号自体は特に秘密でないので伝える)
→ https://t.co/41U7rmR9kz— Shiro Kawai (@anohana) 2019年10月9日
「確認コードをテキストで送るので読み上げて下さい」
(銀行の番号からテキストメッセージが来る。コードを読み上げる)
「本人確認できました。以下の場所でカードを使いましたか?」
(以降、使った覚えのあるトランザクションが読み上げられるのでyesと回答)
→— Shiro Kawai (@anohana) 2019年10月9日
「ありがとうございます。念のため暗証番号をブロックします。暗証番号を読み上げてください。」
(は? 何言ってんの?)→切断実はメンバー番号を伝えた段階で相手はパスワードリセットをかけてて、その確認コードを読み上げさせていた。その時点で相手は口座情報にアクセス可能になっていた。
— Shiro Kawai (@anohana) 2019年10月9日
2FAをトリガする時点で、通信相手が確実に対象であることが保証されてないとだめ、と考えれば納得いくんだけど、話術の流れだと自然に信じてしまいそうだ。
— Shiro Kawai (@anohana) 2019年10月9日
かなり端折った訳だったのでわかりづらかったかもしれないけど(1)犯人はおそらくターゲットのメールには既にアクセスできてて(2)パスワードリセットの保護に導入された2FAをこの会話で破ってログインできた(3)だが送金には別に暗証番号(PIN)が必要で、その詐取には失敗した、という流れですね
— Shiro Kawai (@anohana) 2019年10月9日
パスワードリセットがかけられたってことは、犯人はターゲットのメールを覗き見できる状態にはあったってことだと思います。銀行側のフローとしては「メンバー番号=ユーザ名からのパスワードリセット要求に対し2FAで確認後に登録メールにパスワードリセットリンクを送付」で問題ない。
— Shiro Kawai (@anohana) 2019年10月9日
つまり、メールハックに対する防御として導入されていた2FAが無効化されたっていうのがセキュリティ的にはポイントかと。その後の流れは本物のトランザクション情報を示して信用させてPINを詐取しようとしたってことで、まあ普通の詐欺ですが、全体の流れの中で2FA無効化になかなか気づけないですよね
— Shiro Kawai (@anohana) 2019年10月9日
ああ、それだと仕方ないですね……。
Bank of Hawaii だと、初めてアクセスするブラウザの場合は秘密の質問(しかもややこしい)がありましたけど、そこまでやってるところは少ないですね。いずれにしてもメールにアクセスできる時点で秘密の質問に答える情報も手に入りそうですし……。— Toru Hisai (@torus) 2019年10月9日
