二段階認証の設定をしていてもハッキングされる可能性がある?!その手口について解説

二段階認証を使っていても、詐欺の被害に遭う可能性が

セキュリティー調査をする会社の報告などで、最近では二段階認証を設定しているアカウントでも、【ID、パスワード、二段階認証コード】の三点セットで情報を盗まれる事例があるとの報告が出ています。
『二段階認証・2ファクター認証なら、IDやパスワードが盗まれても、ログインまでは成功しないんじゃないの?』 と思われた貴方。この記事を書いている当店スタッフも最初はそう思ったんですけど、次のような手口があることを知って、『確かにこれはまずい』と思いました。

二段階認証が破られる、その手口をご紹介します

当店で聞いた最近の手口について、できるだけ判りやすく解説したいと思います。
左側があなたの画面、右側が詐欺を働く側の画面です。上から下に時間が流れて行きます。

ステップ1 誘導

詐欺集団は、あなたに『偽のログイン画面』にアクセスするよう仕掛けます。
メールなどで通知する方法が一般的です。『システムに問題が発生した』とか『不正ログインが検出された』などの理由を示して、【次のリンクからログインください】と偽のサイトにアクセスさせます。
このメールを信じて、メール内のリンクをクリックした時点で、あなたは騙されることが濃厚になりました。

 
受信したメールを開く。
メールの内容を信じて
中にあるリンクをクリック。
【偽のログイン画面】
が表示。
※あなたは『本物のサイト』だと思っている事がポイント

  
← メールが送信される
 
 
 
→ 偽のログイン画面が表示されたことが通知される

偽の内容のメールを送信。
 
 
 
 
詐欺集団が準備を始める。
【本当のログイン画面】
を表示させ、準備する。

偽のメールであなたを信用させ、メール内のリンクをクリックさせることに成功した場合、あなたはこのリンクが正式なアクセス先(今回の場合、ログイン画面)であると信じているので、この【偽のログイン画面】の出来が本物そっくりだった場合は、この【偽のログイン画面】が出た時点で、詐欺集団にログイン情報を盗まれる準備が整ったことになります。
この【偽のログイン画面】の精巧さが、この詐欺の肝です。かなり精巧に作られていて、疑ってかかっても見分けられないかもしれません。

ステップ2 ログイン認証 (二段階認証)

【偽のログイン画面】に誘導することに成功した詐欺集団は、次の方法で本当のIDとパスワードを盗みます。
その詳細は以下の通りです。

【偽のログイン画面】
表示中。
IDとパスワードを入力。
送信。(ログインボタン)
 
 
【二段階認証の確認画面】
二段階認証のコードが届く。
コードを入力。

【ログイン完了画面】
何かしらの表示があり、作業は無事完了したことにする。
あなたに疑われないような文言が表示される。

 
 
 
IDとパスワード →
 
 
 
 
 
 
二段階のコード →

 
 

詐欺集団側は、
【本当のログイン画面】に
受け取ったIDとパスワードを入力 し、二段階認証の確認画面に移る。

(コードが届くまで待つ)

届いた二段階認証のコードを入力。

【ログイン成功の画面】
ここから、実際の操作が可能に。

この時点で、あなたの画面には【偽の完了画面】が、詐欺集団の画面には【正しくログインできた画面】が表示されていて、これから実際の被害が始まります。

ステップ3 実際の被害

経験上、少なくとも金融機関の場合は、お手続きをするたびに二段階認証などの確認をしてくるので、ログインされたからと言って、口座が根こそぎ空になるような被害は無いんじゃないかなというのが個人的な見解です。
サイトによっては、例えば金融期間以外のところだと、初回のログインを通過してしまうと、ある程度の手続きや変更などが行えることもあるので、二段階認証をも通過した正式なログイン成功は、重大なセキュリティー侵害だと言えます。

どうすれば防げるのか?どこで気づくべきなのか?

この手の詐欺の原型は、二段階認証のバージョンが出てくる前からあるものです。
偽のサイトに誘導し、IDやパスワードを入力させて盗む、これがベースになっています。
要は、届いたメールを安易に信じてしまい、リンクをクリックすると騙されるということです。
実際のメールに従って作業を進めていくと結構な確率で【偽のサイト】に誘導されます。

ここでは、どのようにしたらこの手の被害を防げるのか事例を示してみます。

メールソフトの迷惑メールフィルターを活用する
人間の目でメールの真贋を見分けるのは、意外と難しく神経を使います。
大手IT各社・プロバイダー各社は、メールサービスに対して『迷惑メールフィルター』機能を提供している場合が多いです。詐欺のメールであった場合、他の方からの報告や、迷惑メールフィルター自身の学習から、『迷惑メールの可能性がある』ことを通知してくれる場合があります。あなたの目に触れないところに隔離する機能もあります。
騙されやすいのは人間なので、 機械による冷静な診断結果により、未然に防げる場合が多いのも事実です。
当店スタッフの間では、Google Gmail の迷惑メールフィルターが優秀だという意見が多く、Gmail でメールを読み書きする割合が多いですね。

そもそも、メール内のリンクはクリックしない
メールに書かれている内容を信じることと、メール内にある『リンクをクリックすること』はまったく別次元のものです。実際にメールを読んで心配になった場合でも、メール内のリンクをクリックするのではなく、そのサービスのトップページから正式な方法でログインする習慣をつけてください。
これを厳守するだけで、メールをきっかけとした詐欺の被害には遭わなくなると思います。

有名なサービスを利用している方は、基本的に疑ってかかること
銀行系なら、都市銀行の有名どころ、地元の有名金融機関など、これらの金融機関を名乗った迷惑メールは、星の数ほど流通しています。有名な金融機関を名乗って詐欺を試みるのは詐欺集団の基本的な作戦です。
あわてずに、いつもの方法でログインして確かめましょう。

詐欺の手口は年々巧妙化しています
リンクをクリックして、本物と一緒だったから・・・とう詐欺に遭った方の中には騙された理由として『本物そっくりだった』ことを挙げられるようです。一昔前は不自然な文章だったり、一見してうさん臭さを感じるものが多かったと思いますが、最近のものは大変巧妙です。人間の目を騙すくらい、最近の手口では簡単なことだと思っていてください。

基本的に慌てなければ大丈夫です
メールが届いたからといって、今すぐに対応しないと大変なことになるということはありません。
映画の世界のように、オンラインの銀行口座からみるみるうちに残高が減って行き、ゼロになるみたいなことはありません。(もちろん、常日頃から適切にID・パスワードを管理されている場合に限った話しですが。)

なので、今すぐにアクセスして対応を・・・と来た時点で怪しいと思うのも手です。
一呼吸おいて、正式なサービス窓口(ログインURL)から、ログインして確認をしてください。
インターネットでアクセスすること自体が怖いと感じたら、ネットではなく電話でも対応できる会社さんは多いです。

偽の要求なのか、本当の被害なのか判らないという方に

店舗へご来店でのご相談となりますが、実際に受信されたメールを拝見し、本当の被害なのかどうか確認のお手伝いも可能です。緊急性の高いご相談については、当店ではなく実際のサービス提供会社、金融期間などの相談窓口を推奨しています。
実際にクリックする前に、適切な方法で確認し対処してください。