銀行の2段階認証を突破して、他人の口座から勝手に送金する事件頻発。なぜ突破できる？

銀行の2段階認証を突破して、他人の口座から勝手に送金する事件が頻発しているそうです。
なぜ突破できるのでしょうか？

記事中で紹介されている手口は下記のとおりです
「」内は記事より引用
手口の概要
「被害が増えた理由は新しい手口の出現だ。2段階認証は、利用者がIDやパスワードを入力後、金融機関からスマホに届くSMSに記載された認証用の番号を改めて入力することで本人確認する仕組みだ。」

1段階目の突破
「新しい手口はまず、メールやSMSでフィッシングサイトに誘導し、利用者が入力したIDやパスワードを使って本物のサイトにログインする。

これはわかります。詐欺グループが作った偽の銀行サイトに、ターゲットの本物のID,パスワードを入力させて、それを詐欺巣ループが読み取り、ID,パスワードを知ってしまうのですね。

2段階目の突破
「すると、金融機関から利用者に認証用の番号が記されたSMSが届くので、その番号を偽サイトに入力させて盗み、不正送金する。」

これがわかりません。銀行からやってくる認証IDとか認証パスワードとか認証URLのことを言っているのでしょうが、それはたいていの場合はターゲットである本物の預金者のメルアド宛てに送られるようになっているはずです。そのターゲット宛てのメールに記載されている内容を、どうして詐欺グループが知ることができるのでしょうか？　もしかしてあらかじめターゲットのスマホ用のメールアドレスとパスワードすらも知っているのでしょうか？　でもそれならば各携帯キャリアのメールシステム自体がすでにハッキングされているのでしょうか？

詳しい方、教えてください。
（なお、これは手口を知るためのものではありません。あくまで防犯意識を高めるためのものです）



参考　ヤフーニュース中の毎日新聞記事
https://headlines.yahoo.co.jp/hl?a=20191214-0000 …

ネットバンクの不正送金被害が急増　「フィッシング」組み合わせた新しい手口目立つ
12/14(土) 17:19配信
インターネットバンキングの口座に不正アクセスされ、知らない間に預金が詐欺グループに送金される被害が急増している。一時は沈静化していたが、夏ごろから増え始め、9月には400件を超えた。金融機関を装ったメールをスマートフォンに送信して暗証番号などを盗み取る「フィッシング」を組み合わせた新しい手口が目立つ。従来の防止策が破られている可能性があり、警察や金融機関が注意を呼び掛けている。

No.3 回答者： スリープ 回答日時： 2019/12/14 23:07

サイトにログインして、○○して○○すると犯人の携帯に認証が送られるから、それでログインし直して盗む、と。

こんなの詳しく書けるわけがありません　(^_^;

この回答へのお礼

ご回答ありがとうございます

>サイトにログインして、○○して○○すると犯人の携帯に認証が送られるから、それでログインし直して盗む、と。

これでは答えになっていません。
〇〇の部分をきちんと書いてください。

お礼日時：2019/12/14 23:15

No.2 回答者： ジロゥ 回答日時： 2019/12/14 22:28

記事を書いている人もよくわかっていないのかもしれません。

例えば犯人がそのアカウントでアクション（大金の振り込み）を起こしたとします。
当然、本人さんにSMS認証が届きます。
で、本人さんは突然のSMS認証に何もしていないのになぜ？となるのですが
偽サイトにIDとパスを打ち込んでしまうような人たちですからそういう疑問を抱かず
そのまま本サイトに飛んでとりあえず暗証番号を打ち込んで
つまり偽サイトで騙されたように「結果どうなるか」で物事を判断しようとしてしまう。

言ってみれば自らGOサインを出して
口座からお金が消えた結果で「そんなつもりじゃなかった」と騙されたと気づくのではないでしょうか。

それを記事では「突破された」と書いているわけですが、ようは本人さんの「うっかり」
なのではないかと。

騙す方も特定の人を狙うのではなく、数撃ちゃ当たるなので、いちいち誘導してられないでしょう。

この回答へのお礼

ご回答ありがとうございます

>例えば犯人がそのアカウントでアクション（大金の振り込み）を起こしたとします。
当然、本人さんにSMS認証が届きます。

確かにおっしゃるとおり、犯人が本物の客のふりをして預金移動を行なったら、本物の客のスマホ宛てに
「振込完了通知」
などのメールが届くでしょうね。

しかしながら、おそらく犯人はこういう動きをするでしょう。
本物の客からログインID,パスワード、認証パスワードの3点セットを偽サイト経由で窃取した時点で、すぐさま本物の客のふりをして本物の銀行サイトにログイン。
すぐさま、以下の作業をするでしょう
・ログインID、ログインパスワードの変更（システム上、ログインIDの変更は不可能になっている場合もあるがその場合でもパスワードの変更をしてしまえばOK)　これで本物の客が持つログインID,パスワードを使っても本物の銀行サイトへはログイン不可になる。
・連絡先メールアドレスの変更を実行し、犯人グループが持つメルアドに変更する　これでネットバンキングシステム上でどんな行為を行っても、本物の客のメルアドに連絡がいくことはなくなる。
・一日の振り込み限度額の変更　これで何百万円でも一気に資金移動が可能となる

上記の行動をしたうえで、本物の客が全く知らないところで、預金を根こそぎ詐欺グループの持つ口座へ全額振込み。すぐさまATM等で現金化。

ただし、いぜんとして第二段階の突破の際に
「認証パスワードを、本物の銀行サイトではなく偽の銀行サイト上に入力させるか」
の方法がわかりません。本物の認証パスワードを送ってきたメール上には本物の銀行サイトのURLが記載されているでしょうから、いかにそれを使わせずに偽の銀行サイトに誘導するのか・・・　不思議ですね。

あと、認証パスワード方式ではなく、認証URLを送ってくる形式の銀行だったらこの2段階目の突破は無理でしょうね。各銀行さんには認証URL式に変更してほしいですね。

ご回答ありがとうございました

お礼日時：2019/12/14 22:55

No.1 回答者： naokita 回答日時： 2019/12/14 20:48

まず、詐欺犯は、本物そっくりの裏サイトを作り管理です。

その裏サイトを迷惑メールなどでランダムに送りつける。
「○○銀行です。ログインして変更してください！」などのように。
その○○銀行に無関係な人は、迷惑メールとして削除するのですが、
その○○銀行のユーザーなら、ビックリしてログインするのかも・・・

１，客に別の裏サイトを確認させる（ID/PWを入力）　詐欺犯に把握される。
２，ほぼ同時に詐欺犯が、本物のサイト（ID/PWを入力）
３，客のSMSに本物の認証が届く
４，客が別の裏サイトで、二段階認証を入力する。詐欺犯に把握される。
５，ほぼ同時に詐欺犯が、本物のサイトに二段階認証突破

その後は、すぐに送金しちゃうのか、
詐欺犯がログインして、携帯番号やメールアドレスを変更してから、送金するのかは知りませんが、
客はしばらく（記帳や残高を見るまで）気づかないでしょうね。気付いてない人も居るのかも・・・

おそらくこんな感じだと想像します。

私は「メールのお知らせ」のリンクは、絶対にクリックせず、絶対にログインしません。
本サイト経由でログインするようにしています！

この回答へのお礼

ご回答ありがとうございます。

>３，客のSMSに本物の認証が届く
>４，客が別の裏サイトで、二段階認証を入力する。詐欺犯に把握される。

ああ、なるほど、わかりました。
本物の客のスマホに届いた認証パスワードなどを、「詐欺師が作った偽の銀行サイト」に入力させて、それで詐欺師が認証パスワードなどを知りえるわけですね。
これでログインID,ログインパスワード、認証パスワードの三点がそろうので、
これらを使って、詐欺師が本物の客のふりをして本物の銀行サイト内での操作ができる、ということですね。

本物の客のスマホに届いた認証パスワードなどを、本物の客が、本物の銀行サイトに入力するのだと思っていました。（なんで詐欺師がこれで認証パスワードを知りえるんだろうか？と。
「認証パスワード入力用の偽の銀行サイト」も用意しているわけですか。こりゃ用意周到ですね。
しかし、まだ一つ疑問があります。
本物の客が受けとった認証パスワードが記載された銀行からのメールには、おそらくは銀行の本物のURLが記載されているはずです。普通は銀行サイトにログインするには、それを使うんじゃないかと思います。だって認証パスワードを送ってきたメールの画面上に表示されているんですから、それをクリックなりタップした方が早いですよね。
詐欺師がどうやって「認証パスワード入力用の偽の銀行サイト」に誘導するのか、それが不思議ですね

ご回答ありがとうございました

お礼日時：2019/12/14 20:58