掲示板

【Amazon】2段階認証を突破される不正アクセス被害の報告が急増

ご自身の設定、見直してください

https://sbapp.net/appnews/amazon/2dannkaininnsyoutoppa-148074

2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証が突破され、ギフトカードなどを無断購入される被害が増えています。


36 件のコメント
1 - 36 / 36
注意喚起を有難う御座います!
登録してある支払い方法を削除しようかな。
これ、SMSが届かないで認証される方法があるなら、防ぎようがない気がしてなりません。

>> Parama000 さん

2段階認証に加え、パスキーを設定、パスワードを十数桁にしました。

ちな、クレカや電子マネーはスキミング防止のカードケースに入れています。
お時間ございましたら、添付のSNS投稿もご参考下さいませ。
立石野毛男
立石野毛男さん・投稿者
SGマスタ
私は、支払いをpaypayにしています。
paypayはオートチャージなしにして、都度銀行チャージなので
銀行とpaypayとアマゾンを同時に不正アクセスしないと厳しいです。

銀行アプリは他のアドレスと非連携スタンドアロンのスマホで、メール受信もネット検索もしないスマホに入れてます。
私も見直しました。情報ありがとうございます!
ESetにも手口について記載されてますね。
https://www.eset.com/jp/blog/pearls-of-wisdom/why-2factor-authentication-can-be-broken/

「SMSをクリックしたらダメ」って事ですね。
正規にみせかけて、どこに飛ばされるか分からない。
番号をクリックしてコピーするのも危険な行為かも。
受け取った番号は、目視で覚えて正規の画面で入力するしかないかと。

何にしても、面倒で不便な世の中になりました。

現金決済が楽かも・・
(と、時代に逆行してみたりして)
SMS二段階認証をどうやって突破するんだろう。謎過ぎますね。
とりあえずクレカ情報を削除したのですが、クレカ情報って購入の度に自動保存されちゃうんですね。支払いが終わるたびに削除しないといけないんですね、面倒過ぎる。

IMG_6559.png

ワンタイムパスワード不要のcookieがあれば、二段階認証が不要になるのですね。
ワンタイムパスワード不要なデバイスが私47個もありましたので、全部削除しました。
私はアマゾンに登録してるクレカはauPayプリカ。
普段は多くても5000円くらいしか入ってないです。

詐欺メールの量の感じだとアマゾンって世界で最も狙われてるECサイトだと思うので、まともなクレカ登録しておきたくなくて。
2段階目に「SMS」の所有要素を用いて2要素認証(スマホ自体が生体認証だと3要素?!)にもしていても、SIMハッキング(SIMスワップ)だと乗っ取られる。。。困ったもんだ(◎_◎;)
Amazonとは、離縁してます!
2段階認証の突破方法が謎、、。
スマホそのものを一時的にでも盗まれているとか?
パスワード、自動設定で長いのに変えました🥲
上のtweetのように、もしも「二段階認証不要な端末」が乗っ取られているとすると、SMS認証無しでパスワードだけでログインできてしまいますよね。
パスワードをランダムに自動生成する機能を使っていても、そのランダムなパスワードを端末(かクラウド)で覚えているのだから、乗っ取られたら操作されてしまう、可能性もあるかな。

>> さと さん

同じ所「段階認証になるハズ」を読んで、同じ疑問を抱きましたよ。
ウィルスでパスを抜かれるとかではなくて、端末をリモートで操作されるような形なら注文は可能ですよね。

ざっと読んだだけですけど、ふと思ったのが他の被害者も?メールアドレスやパスワードなどの変更がされてないらしいという事。2段階認証潜り抜けられるならそれも可能なんだけど、それがされてない。

発覚を遅らせる為にわざと乗っ取らなかったのか、できなかったのか? とか、メールアドレス変えた方が購入メールが送られなくて発覚遅れるんじゃないかとか、色々確認せず雑に想像してます。

>> 永芳 さん

>SIMスワップ
オンラインで氏名、住所、電話番号は、極力入力しないようにするのが回避する一助となるようです。

最近、通話で利用している電話番号はオンラインで入力しないようにしてます。
データ用に契約しているSIMの電話番号を極力使う。
いつでも破棄できるから。

>> 404@QueSeraゝ さん

パスワードの変更とか重要な情報変更は、改めてログインが必要だったりするので、認証不要デバイスでのアクセスだと、そこを突破できなかったのかもしれませんね。

私もログイン済みの二段階認証不要デバイスでAmazonでセキュリティ関係の設定を改めて確認しようとしたら、ログイン(パスワード入力およびSMS認証)を要求されました。

>> srowt さん

そうですね。
私が犯人で2段階認証突破できてたなら、買い物できてもできなくても、最後にメールアドレス変更してからアカウント削除するかも。

この当事者かわからないけど購入履歴が非表示にされてたりする事もあるようですが、メールアドレス変更してなければお買い物メール来ちゃうと思うんですよね…

多発してればアマゾンの方がどういう経緯で不正ログインされたのか把握できるんじゃないかと。

>> さと さん

メールとかのリンクで偽サイトにログインさせて、犯人はそのID、パスワードを使って本サイトにログインし、そこでユーザーに飛んできたパスコードをユーザーが偽サイトに入力。犯人がそのパスコードを本サイトに入力する、って感じなのでしょうね。

リアルタイムフィッシングっていうみたいです。

メールなどに書かれているリンクから、ID、パスワードを入力してログインすることは、絶対にしないようにしています。

無題.jpg

最近、amazonを騙るメール受信がやたら多いんですけど。
(1日に10通くらい)

他の業者を騙るのも来るけど、最近は特にamazonが多い。

これに引っかかってる...って事なんですかね?

>> アッカリ〜ン@_@….,….,…😅 さん

なるほどー結局フィッシングなんですね。リアルタイムフィッシングと言うのですか。

twitterで報告している人は、「絶対にフィッシングには引っかかってない」と断言していたけど。自分では気付かないのがフィッシングですもんね。

https://www.eset.com/jp/blog/pearls-of-wisdom/why-2factor-authentication-can-be-broken/
やはりクレカ登録は危険ですよね
先日アマゾンで買い物をしたばかりですが、私の場合はPCでアクセスして2段階認証をスマホでやっています。
第三者によるスマホへのアクセスは出来ないはずですが、2段階認証を突破というのは、本人のID、パスワードをフィッシングで入手して、本人に成りすまして設定画面で2段階認証をキャンセルという事なのかな?
私が思うに、スマホの画面て小さいので、細かいところが読めないことが多いですね。その点PCは画面が広いので細かいところを確認できる。特にAmazonの偽メールなんて、Amazon.cnの時点でバレるけど、スマホの画面だとそこが見えにくい。
amazon-co-jp-xxxxxx.com
みたいな偽URLもありますからねー

ドットじゃなくてハイフンはドメイン名の内の一つなので騙されないように。
でも、実際のところ、DNSを乗っ取られてしまうと、詐欺し放題だったりするんですよね。それこそ、IPアドレスも負荷分散のためコロコロ変わりますし。
(ルートサーバー乗っ取るのは無理にしても、ある程度大きな会社(OCNとか)のDNSを騙してしまえば、OCNの人はAmazonにしても楽天にしてもヨドバシにしても正しいドメインで偽サイトに飛ばせたりするという・・・。あと、偽の経路情報をばらまくとか(ここまでいくとテロ行為)やり始めたら、インターネットって脆弱性と隣り合わせなんですよね。

そもそも、世の中はすべていい人前提で作られているネットワークなので、詐欺師がそこまで技術に詳しくならないことを祈りたいものです。
☝このTweetによると、誘導されたフィッシングサイト先で、URLが正規サイトに見えるように細工されていて、パスワードマネージャーも騙されちゃうそう。

幸い、メールアドレス内のリンクにカーソル当てたらURLがおかしいことはわかるとのこと。
ともかく「メールについてるリンクは絶対に踏まない!」これの徹底しかないですね。
盗まれたギフトコードを登録したアカウントを追跡して確実に捕まえるとか、

ギフトを購入するときは、最終確認のリンクと明細をメールに送信して、それを踏むまでは、購入が確定しないとか、

やって欲しいですね。

ログインしていないのに、そんなメールが来たら恐怖でしかないですが‥。その場合、既にログインされているということなので、速やかに予備のパスワードに切り替える、とかいうリンクも必要なのかな?

>> Piroschka@٩(ˊᗜˋ*)و さん

見てみました。
URL偽装できるんだ?って思いながら見てましたが

その右上画像のログイン画面で「Ting」というこの人がアマゾンに登録してるであろうユーザー名も出てますよね。これが不思議です。

もしパスワードマネージャーが騙されてたとしても、ここに表示される名前はアマゾンのアカウントサービス「ログインとセキュリティ 」で登録されてる名前のはずなのでフィッシングサイトが表示できるはずがないのですよね…
どういう事だろう?リダイレクトしてるの?
フレームみたいになってるの?
偽サイトamazon[e]タップしたらamazonが表示されるのだから、amazon[e]に何らかのプログラムがあるんだろうけど。
どういう仕組みなんだろう。
amazoneはサブドメインで
cnqndq . com
が偽サイトドメインですね

>> 404@QueSeraゝ さん

IDが表示されている理由は、ご本人も不明みたいです。

どういう仕組みなんでしょうね。
表では正規ページが表示されて、裏で抜き取りスクリプトが動いているページが開いているとか?

>> Piroschka@٩(ˊᗜˋ*)و さん

>表では正規ページが表示されて、裏で抜き取りスクリプトが動いているページが開いているとか?

私もそんな感じがします。

>> さと さん

圧倒的知識不足でぼんやりしか理解できてませんが、さとさんの想像している感じのような気がします。
amazoneで始まるURLで cookie 認証成功済みのセッションcookieを抜き取っているんじゃないでしょうか?
ああ、なるほど。

なんとなくわかる気もしますが、ブラウザのURLが正規で
その解説にある通りだと、アマゾンの正規ページにスクリプトが埋め込まれてないと無理のような気もするし。

これの手口知りたいですよね(^_^
あと、さっきからクロームとFirefoxでamazonのログイン画面や切り替え画面を何度も試してるんですけど、そのログインとかアカウントのスウィッチと書かれた同じ仕様の画面に出会えません(^_^;
コメントするには、ログインまたはメンバー登録(無料)が必要です。