クレジットカード不正利用

https://matomedane.jp/potato/page/195216
こういう事もあるそうですね。
3桁ならすぐ当てられそうです。

後、似たような構造で、中国版マイナンバーで、
習近平氏のマイナンバーが分かっちゃたそうです。

多くの場合、本当に漏れているわけではなく、スケジュール化された分散型の逆ブルートフォース攻撃等に遭っているだけだと思われます😰
カード番号本体に比べて、有効期限やセキュリティコードは探索・試行範囲が限られるので😱
サイト側が名義人チェックをしてくれれば、本当に漏れている場合以外は被害に繋がらないと思いますが、チャージ型デビットもあったりするので、対応が難しいのかも。
とにかく、明細をこまめに確認するしかありませんね😰

皆さんコメント有難うございます
持ってるだけで不正利用されるのは勘弁してほしいですねー、本当に最悪

最近思ってることであり、改めて投稿を拝見して必要だと感じコメントさせてもらってます。

長年使ってるクレジットカード、色んなネット、サブスク、月々支払いや店舗で使ってるんで買えなきゃなぁと思ってます。
面倒ではあるんですけど。

普段遣いの店舗クレジットカード決済は、プリベイトカードの方が良いなと思ってまして、模索しているところではあります。

自分も以前mijicaとB/43で不正利用されそうになったことがありました
どちらもチャージ型で必要なときに必要な分だけ手動チャージし
オートチャージオフだったので難を逃れることができました
上でコメントされている分散型逆ブルートフォース攻撃など
総当たりでメインカードがやられたら意味ないですが
ネットショップ等からの流出ならば対策になるのと思い
今はKyashをメインにしています

クレカは番号は数字だけである程度割り当てられているので16桁ないので、セキュリティ的に不安ですよね。たまたまあてて不正利用されることもあります。一度も封を開けてない不正利用されることも。

枚数を最低限にして月1は明細をチェックするしかなさそう。

3Dセキュアでセキュリティ対策は一応あるけど、そもそも根本的な仕組みが…。

コストコの給油施設にカメラがあり、カード番号、名前が写っていれば「docoa」さんの引用記事のように コードが類推可能なので 適正(不正)利用されたのかも。
ふつうの記念撮影でも 指紋側を撮り SNSのアップすると危険なのでやめましょう、というのが何年も前に報じられました。

昔、不正利用がありました！カード止めています！って連絡があり、明細を見るのですが…１つも見当たらず…引き落としされているのは全てこれを購入した代金という説明がついたのですが…結果カード再発行になり、面倒くさいだけが残るお知らせがありました…😱

先日、某セキュリティカンファレンス行ったのですが、ワタシ的にはいまだに「クレジットカードマスターって有用なの?」と疑問視しています。
※要するにそのカードセキュリティソリューション出しているところがクレジットカードマスターの話題を出したのです

昔の国際クレジットカード通話のようにカード番号だけでオッケー、リトライ回数も比較的緩めという時代ならともかく、有効期限やCVC2/CVV2はクレジットカードマスターじゃ生成できませんし、分散攻撃でも決済会社にデータが来るので攻撃対象なら対応も可能なんでねぇ。

私の場合不正利用の経験は事実上なし(1回だけ、全額前払いの宿で取られましたが、連絡して返金処理)なんで「お前の感覚はヌルい」と言われても仕方ないかもしれませんが……コロナ禍後にCIC行ってないから今度本人開示するか。

過去、コンビニで数万円の決裁を連続で行っていたところ、クレジット会社から電話があり、不審カード決裁とシステムが感知したとの事でした。
電話がかかってきて、何も悪い事をしてないし、本人が支払い決済しているのですが、何か悪い事したんかなとドキドキしてビックリした半面、そのような対応されるのだという事で安心した経験があります。

色んな所に流出しているであろうカード番号変えるためにも再発行また解約して新規発行等をやる方がいいなと改めて思いました。

俺は不正利用には遭わない　何を根拠に？
たぶん遭わないと思う　そうありたいですね。
遭わないんじゃないかな　注意しているから？
遭うと覚悟はしておこう　念のため

投稿者様のコメントどおり、今や「持っているだけで被害に遭う」可能性があります😰
カード不正利用は、(情報流出/窃取によるものでなければ)基本的に特定個人を狙うものではありません。カモ探しをして、たまたま運悪く見つかったカモが餌食になります。分散型逆ブルートフォース攻撃は、カモ探しの効率化手法例です。有効期限は仮に7年分を試行するなら84通り、セキュリティコードは1,000通りなので、1本の番号に84,000回試行すれば、ほぼ確実にヒットしてしまいます。普通にブルートフォースすると三振アウトになるので、逆ブルートフォースで😱
ただ、試行サイトや試行元をどれだけ分散しても、結局は決済会社のサーバーに辿り着きます。そこには各社自慢の「不正検知システム」が待ち構えていて、それとの攻防になります。これを掻い潜るためには、同じ番号に対する再試行は十分に時間を空けるとかの、精緻なスケジュール化が必要になります。このように時間を空けての試行を余儀なくされるため、短期的な打率は超低いはず、というのが救いです。このような一連の攻撃をパッケージ化したサイトも、既に存在するのかも知れません😱
ランサムウェアに関しては既にあるとのこと。
https://www.ntt.com/bizon/raas.html

>> p928gts さん

昔から「東で盗んだものは西で捌く」的なことがあり、クレジットカード番号を盗んだ人と悪用する人は別だったりしますね。

RaasやPhaaSはすでにあります。RaaSに関してはアサヒビールに対してのQilin、アスクルのRansomHouseが最近話題ですね。
クレジットカードを狙うならPhaaSの方がより確実ではないかと思いますけどねぇ。
※むかーし、総当たりでメールアドレスを作って攻撃する手法がありましたが、最近は全然聞きません

>> pasorin さん

> クレジットカードを狙うならPhaaS

相場は相場に聞け ではなく、
カード情報は本人に聞け(語らせろ)ですね😰

>> p928gts さん

昔のフィッシングは聞きすぎで不審がられましたが、シチュエーションを選べばなんとかなる……かな？

ソーシャルエンジニアリング手法って、それこそ詐欺師の領域ですし、かのケビン・ミトニック(来日時に名刺交換したことあります)もヘルプデスクに社員と思わせて電話するとか、そっちの方で頑張ってましたよね。

犯人が早く捕まりますように。

投稿者様には少しだけ不愉快な話ですが…
既にコメントにあったとおり、カードの不正利用は、逆ブルートフォース型にせよ、フィッシング型にせよ、行う側にも結構面倒な作業です。ということは、分業したり成果物(🦆リスト)を共有したりということも、想定の範囲内と考えるべきでしょう。有効期限内でセキュリティコードまでも判明したカード番号(🦆番号)は、ダークウェブなど闇の世界で流通していても不思議はありません。なので補償の有無を問わず、一度ケチのついたカード番号は、速やかに再発行手続で変更されることをお勧めします。既にカードデスク(カスタマー)から提案があったとは思いますが。

[セキュリティ] ダークウェブで売買される盗難クレジットカード情報、日本発行のカード情報は“世界一高額”（NordVPN、11月6日）
https://ascii.jp/elem/000/004/350/4350359/
嬉しくないデータ共有！！
苦労(？)して集めた成果物は、やっぱり共有されるようです😱