【Amazon】2段階認証を突破される不正アクセス被害の報告が急増
ご自身の設定、見直してください
https://sbapp.net/appnews/amazon/2dannkaininnsyoutoppa-148074
2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証が突破され、ギフトカードなどを無断購入される被害が増えています。
36 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
登録してある支払い方法を削除しようかな。
>> Parama000 さん
2段階認証に加え、パスキーを設定、パスワードを十数桁にしました。ちな、クレカや電子マネーはスキミング防止のカードケースに入れています。
paypayはオートチャージなしにして、都度銀行チャージなので
銀行とpaypayとアマゾンを同時に不正アクセスしないと厳しいです。
銀行アプリは他のアドレスと非連携スタンドアロンのスマホで、メール受信もネット検索もしないスマホに入れてます。
https://www.eset.com/jp/blog/pearls-of-wisdom/why-2factor-authentication-can-be-broken/
「SMSをクリックしたらダメ」って事ですね。
正規にみせかけて、どこに飛ばされるか分からない。
番号をクリックしてコピーするのも危険な行為かも。
受け取った番号は、目視で覚えて正規の画面で入力するしかないかと。
何にしても、面倒で不便な世の中になりました。
現金決済が楽かも・・
(と、時代に逆行してみたりして)
とりあえずクレカ情報を削除したのですが、クレカ情報って購入の度に自動保存されちゃうんですね。支払いが終わるたびに削除しないといけないんですね、面倒過ぎる。
ワンタイムパスワード不要のcookieがあれば、二段階認証が不要になるのですね。ワンタイムパスワード不要なデバイスが私47個もありましたので、全部削除しました。
普段は多くても5000円くらいしか入ってないです。
詐欺メールの量の感じだとアマゾンって世界で最も狙われてるECサイトだと思うので、まともなクレカ登録しておきたくなくて。
スマホそのものを一時的にでも盗まれているとか?
パスワードをランダムに自動生成する機能を使っていても、そのランダムなパスワードを端末(かクラウド)で覚えているのだから、乗っ取られたら操作されてしまう、可能性もあるかな。
>> さと さん
同じ所「段階認証になるハズ」を読んで、同じ疑問を抱きましたよ。ウィルスでパスを抜かれるとかではなくて、端末をリモートで操作されるような形なら注文は可能ですよね。
ざっと読んだだけですけど、ふと思ったのが他の被害者も?メールアドレスやパスワードなどの変更がされてないらしいという事。2段階認証潜り抜けられるならそれも可能なんだけど、それがされてない。
発覚を遅らせる為にわざと乗っ取らなかったのか、できなかったのか? とか、メールアドレス変えた方が購入メールが送られなくて発覚遅れるんじゃないかとか、色々確認せず雑に想像してます。
>> 永芳 さん
>SIMスワップオンラインで氏名、住所、電話番号は、極力入力しないようにするのが回避する一助となるようです。
最近、通話で利用している電話番号はオンラインで入力しないようにしてます。
データ用に契約しているSIMの電話番号を極力使う。
いつでも破棄できるから。
>> 404@QueSeraゝ さん
パスワードの変更とか重要な情報変更は、改めてログインが必要だったりするので、認証不要デバイスでのアクセスだと、そこを突破できなかったのかもしれませんね。私もログイン済みの二段階認証不要デバイスでAmazonでセキュリティ関係の設定を改めて確認しようとしたら、ログイン(パスワード入力およびSMS認証)を要求されました。
>> srowt さん
そうですね。私が犯人で2段階認証突破できてたなら、買い物できてもできなくても、最後にメールアドレス変更してからアカウント削除するかも。
この当事者かわからないけど購入履歴が非表示にされてたりする事もあるようですが、メールアドレス変更してなければお買い物メール来ちゃうと思うんですよね…
多発してればアマゾンの方がどういう経緯で不正ログインされたのか把握できるんじゃないかと。
>> さと さん
メールとかのリンクで偽サイトにログインさせて、犯人はそのID、パスワードを使って本サイトにログインし、そこでユーザーに飛んできたパスコードをユーザーが偽サイトに入力。犯人がそのパスコードを本サイトに入力する、って感じなのでしょうね。リアルタイムフィッシングっていうみたいです。
メールなどに書かれているリンクから、ID、パスワードを入力してログインすることは、絶対にしないようにしています。
最近、amazonを騙るメール受信がやたら多いんですけど。(1日に10通くらい)
他の業者を騙るのも来るけど、最近は特にamazonが多い。
これに引っかかってる...って事なんですかね?
>> アッカリ〜ン@_@….,….,…😅 さん
なるほどー結局フィッシングなんですね。リアルタイムフィッシングと言うのですか。twitterで報告している人は、「絶対にフィッシングには引っかかってない」と断言していたけど。自分では気付かないのがフィッシングですもんね。
https://www.eset.com/jp/blog/pearls-of-wisdom/why-2factor-authentication-can-be-broken/
第三者によるスマホへのアクセスは出来ないはずですが、2段階認証を突破というのは、本人のID、パスワードをフィッシングで入手して、本人に成りすまして設定画面で2段階認証をキャンセルという事なのかな?
私が思うに、スマホの画面て小さいので、細かいところが読めないことが多いですね。その点PCは画面が広いので細かいところを確認できる。特にAmazonの偽メールなんて、Amazon.cnの時点でバレるけど、スマホの画面だとそこが見えにくい。
みたいな偽URLもありますからねー
ドットじゃなくてハイフンはドメイン名の内の一つなので騙されないように。
(ルートサーバー乗っ取るのは無理にしても、ある程度大きな会社(OCNとか)のDNSを騙してしまえば、OCNの人はAmazonにしても楽天にしてもヨドバシにしても正しいドメインで偽サイトに飛ばせたりするという・・・。あと、偽の経路情報をばらまくとか(ここまでいくとテロ行為)やり始めたら、インターネットって脆弱性と隣り合わせなんですよね。
そもそも、世の中はすべていい人前提で作られているネットワークなので、詐欺師がそこまで技術に詳しくならないことを祈りたいものです。
幸い、メールアドレス内のリンクにカーソル当てたらURLがおかしいことはわかるとのこと。
ともかく「メールについてるリンクは絶対に踏まない!」これの徹底しかないですね。
ギフトを購入するときは、最終確認のリンクと明細をメールに送信して、それを踏むまでは、購入が確定しないとか、
やって欲しいですね。
ログインしていないのに、そんなメールが来たら恐怖でしかないですが‥。その場合、既にログインされているということなので、速やかに予備のパスワードに切り替える、とかいうリンクも必要なのかな?
>> Piroschka@٩(ˊᗜˋ*)و さん
見てみました。URL偽装できるんだ?って思いながら見てましたが
その右上画像のログイン画面で「Ting」というこの人がアマゾンに登録してるであろうユーザー名も出てますよね。これが不思議です。
もしパスワードマネージャーが騙されてたとしても、ここに表示される名前はアマゾンのアカウントサービス「ログインとセキュリティ 」で登録されてる名前のはずなのでフィッシングサイトが表示できるはずがないのですよね…
フレームみたいになってるの?
偽サイトamazon[e]タップしたらamazonが表示されるのだから、amazon[e]に何らかのプログラムがあるんだろうけど。
どういう仕組みなんだろう。
cnqndq . com
が偽サイトドメインですね
>> 404@QueSeraゝ さん
IDが表示されている理由は、ご本人も不明みたいです。どういう仕組みなんでしょうね。
表では正規ページが表示されて、裏で抜き取りスクリプトが動いているページが開いているとか?
>> Piroschka@٩(ˊᗜˋ*)و さん
>表では正規ページが表示されて、裏で抜き取りスクリプトが動いているページが開いているとか?私もそんな感じがします。
>> さと さん
圧倒的知識不足でぼんやりしか理解できてませんが、さとさんの想像している感じのような気がします。amazoneで始まるURLで cookie 認証成功済みのセッションcookieを抜き取っているんじゃないでしょうか?
なんとなくわかる気もしますが、ブラウザのURLが正規で
その解説にある通りだと、アマゾンの正規ページにスクリプトが埋め込まれてないと無理のような気もするし。
これの手口知りたいですよね(^_^