詐欺対策専門家は詐欺電話を受けたときどう対応したか?

GIGAZINE



セキュリティやソーシャルエンジニアリングに詳しい人は「自分が詐欺でだまされるわけがない」と考えているはずですが、実際にはそんなことはなくあっさりだまされてしまうものであることを、ソーシャルエンジニアリングに詳しいというナターシャ・Lさんが自らの体験をもとに明らかにしています。

As much as we like to pretend otherwise, infosec professionals are as vulnerable to scammers and social engineering as anyone else. Here’s a story about the most sophisticated Wells Fargo/Apple Pay scam I’ve encountered, which successfully tricked me. https://t.co/K5HmHxPoJf

— Meadow (Natasha L.) (@lupinia)


Lupinia Studios – I’m a Scam Prevention Expert, and I Got Scammed
https://www.lupinia.net/writing/tech/scammed.htm


ある日の昼下がり、ナターシャさんのもとに1本の電話がかかってきました。ナターシャさんは転送番号などを活用して、自分の本当の電話番号を可能な限り隠しており、その番号を知っている人が日中に電話をかけてくることはほとんどないものの、発信者情報を確認すると口座を持っているウェルズ・ファーゴからのものだったので、出たそうです。

電話口の相手は「ウェルズ・ファーゴの詐欺防止部門の担当者」で、ナターシャさんの名前とデビットカード番号の下4桁を聞いた上で、カードに不正利用の形跡があると告げました。2100km離れた都市での利用に心当たりのなかったナターシャさんは不正利用だと判断。ウェルズ・ファーゴの担当者は「登録された住所宛に新しいデビットカードを送る」と続けました。これでよくある不正利用への対応が終わったと考えたナターシャさんでしたが、これはまだ序の口に過ぎませんでした。


やりとりの後、ウェルズ・ファーゴの担当者はナターシャさんに「今回の不正請求はApple Payで行われたものです。使わないならオフにしないと」と言って、ナターシャさんがApple Payを使う予定がないことを確認すると、「アカウントとApple Payの切り離し作業」を開始しました。

作業において、ナターシャさんは送られてくる確認コードを担当者に伝えることになりました。その際に受け取ったメールが以下のもの。ナターシャさんは、これは二要素認証コードで、受け取った人が直接認証ページに入力すべきものだと気づきましたが、ウェルズ・ファーゴの担当者は「これはAppleのシステムの一部で、我々がアクセスできる範囲は限られているのです」と釈明したとのこと。


システムの技術的複雑性を知っていたナターシャさんは、「不正に追加された支払い方法をアカウントから削除するにあたって、AppleやGoogleはこの種の苦労を銀行に強いるだろう」や「そもそもウェルズ・ファーゴのシステムがずさんなのでこんなひどい方法でもマシな方なのだろう」と考え、また、疲れていて他のことに気を配る余裕がなかったこともあり、担当者の要求のままに、認証コードを伝えたそうです。

ここまでやりとりを進めて、ナターシャさんは、2つの引っかかりを覚えました。1つは、ウェルズ・ファーゴに登録している携帯電話とは異なる、普段使っている携帯電話番号に、事前に不正利用に関するテキストメッセージが届いていたこと。

もう1つは、やりとりをしている間にApple Payから、カード番号を登録したというメールが届いたことです。メールに関してウェルズ・ファーゴの担当者は「古いメールがサーバーに残っていたのだと思います」と答えましたが、ナターシャさんは、認証コードを伝えた直後に「遅れていたメール」が届いたのは、偶然にしても出来すぎていると感じました。

そこでようやく、相手が名乗っていないことに気づいてナターシャさんが名前を問うと、ウェルズ・ファーゴの担当者は「ダニエル・コフマン」と名乗って社員番号が「1687979」であると明かし、もし心配であれば上司に代わるとナターシャさんに告げました。ナターシャさんは、ダニエルがナターシャさんの情報に非常に詳しかったことや、やりとりを早く終わらせたかったこともあり、疑いを抱きつつもさらに手順を進めました。

「アカウントとApple Payの切り離し作業」を終えたダニエルは「不正利用のあった都市からオンラインバンキングにログインしましたか?」とナターシャさんに質問しました。ナターシャさんはこの種のことがあればすぐ対応できるよう備えていたため、ただちにオンラインバンキングにログインしてパスワードが誰かに変更されていないことを確認した上で、パスワード変更を行いました。このとき、ナターシャさんはパスワード変更や取引履歴の確認などで頭がいっぱいになり、ダニエルに聞かれた住所、カード情報、口座残高、誕生年、社会保障番号の下4桁などを、深く考えずに答えてしまったそうです。


ダニエルがオンラインバンキング対応をしている間、ナターシャさんが口座の取引履歴をチェックしていると、目の前でApple Cashによる150ドル(約1万8000円)の新規取引が出現しました。ダニエルは「また別の不正取引で、他のものと同様に削除されます」と答えましたが、ナターシャさんは、不審な状況に遭遇した人たちに自分が行ってきたアドバイスを思い出して、一歩下がって状況を批判的な目で確認しました。

その結果、「デビットカードの不正利用と、誰にもパスワードを知られていないはずのオンラインバンキングへの不正ログインという2つのことが同時に発生するのはありえない」とは思ったものの、ダニエルは詐欺師ではなく金融機関の人間でもおかしくないと思うぐらいナターシャさんの情報に詳しかったため、「この電話が詐欺である」という確信を持つには至りませんでした。

そこでナターシャさんは確認として、ダニエルに「カスタマーサービスに電話して、ダニエルのIDでこの案件を続けられるか」と聞きました。これに対する「プロセス完了前なので、あなたが支店に行かない限り、当座預金口座全体が7~10営業日、確認のために凍結されることになります」というダニエルの回答は、ナターシャさんが嫌うウェルズ・ファーゴの“ばかげた方針”と一致するものでしたが、相手をパニックと焦りに追い込む詐欺師の基礎戦術でもあるため、ヒントにはなりませんでした。

ところがここで、ダニエルがナターシャさんに「完全な生年月日と完全な社会保障番号」の確認を求めました。これらの情報は非常に機密性が高い個人情報なので、電話伝達時にはキータッチトーンを利用します。キータッチトーンは直接の情報ではないので安全に思えますが、実際には音を復号することで、どのボタンを押したのかを識別することが可能です。


疑いを深めたナターシャさんはダニエルに、番号入力時にいったんどこかの部署に転送する予定だったのか、それとも自動化システムに転送するつもりだったのかと聞きましたが、ダニエルは「転送の必要はなく、いつでも入力を始められます」と回答しました。ナターシャさんによると、キータッチトーンが使用する周波数は人間の音声の周波数と近いため、入力時にはオーディオ処理が必要であり、電話口の担当者と話しながらシームレスに入力できるようなコールセンターの仕組みは聞いたことがないとのこと。

さらにいくつかの問答の末、ナターシャさんは、わざと異なる生年月日と社会保障番号を入力。ダニエルによる「システムが要求を処理するまで待ってください」という指示の間に、別の電話を使ってウェルズ・ファーゴに連絡を取り、最初に連絡があった不正利用に該当する履歴が存在しないこと、社員番号1687979のダニエル・コフマンなる人物が在籍しないことを確認しました。この作業の間も、ダニエルはナターシャさんにときどき「いま処理作業は進んでいます」と進捗を報告したそうですが、同時に、別の不正取引が行われていて、本物のウェルズ・ファーゴ担当者によって800ドル(約10万円)が守られたそうです。

このあと、「詐欺師からお金をだまし取ることはできないが、せめて時間は浪費させる」ことに方針を転換したナターシャさんはダニエルにここまでの確認作業の内容を尋ね、いよいよネタがなくなると、ダニエルに上司に代わるよう頼みました。するとダニエルは「喜んで」と保留に切り替え、そのまま電話は繋がることなく切れたそうです。

ナターシャさんは今回の自らの経験を踏まえて、「進行中の電話・対話が不審だと感じたら、できるだけ早く外部の確認を得ることが重要です。複数の電話が使えないなら、相手を保留にしたり、電話を借りたり、テキストチャットを使うのも手です。疑わしいことがあったら質問してください。たとえ相手がすべての質問に答えても、納得いくまで質問を続けてください。最も熟練で準備万端の詐欺師であったとしても、いずれは答えを使い果たします。相手が誠実ではないと疑いを持ったら、自分も誠実である義務はないと思いだしてください。試しにウソの情報を与えてみてください。相手が本物なら即座に入手できるはずの情報であればなおさらです」とアドバイスしています。

また、自分に電話してきた「ダニエル・コフマン」に対して「あなたが何者であれ、とてもよくやりました」とのメッセージを送っています。

この記事のタイトルとURLをコピーする

Source

タイトルとURLをコピーしました