[brian krebs: "High Crimes Using Low-Tech Attacks" (2009/07/07) on Washington Post -- Security Fix]この手口の解説を提供したのは、金融機関のAMLや詐欺防止ソリューションプロバイダであるActimize社のAmir Orad副社長である。
The scam works like this: The criminal calls a target, claiming to be the fraud department of the target's bank calling to alert the mark to potential unauthorized activity. The recipient of the call is then told to please hold while a fraud specialist is brought on the line. The perpetrator then calls the victim's bank, and bridges the call, while placing his portion of the call on mute.
詐欺はこんなふうに行われる。詐欺犯は被害者に電話をかけて、標的とする銀行の詐欺対策部門が不正引き出しの可能性を警告するために、電話で話をしたがっていると伝える。電話を受けた被害者は、詐欺対策スペシャリストが電話に出るので、ちょっと待つようのと言われる。そして、犯人は被害者が口座を持つ銀行に電話をかけて、会話を中継する。犯人は自分が銀行と会話しているときは、被害者との電話をミュートにする。
When the bank's fraud department asks various questions in a bid to authenticate the victim, the criminal records the customer's answers. Depending on the institution, the answers may include the victim's Social Security number or national ID number, a PIN or password, and/or the amount of last deposit or location of the last transaction.
"銀行の詐欺対策部門のスペシャリスト"は被害者の本人確認のための多くの質問をし、詐欺犯は被害者の回答をメモる。銀行によっては、その回答には被害者の社会福祉番号や国民番号やPINあるいはパスワード、直近の預金額や最後の入出金場所などが含まれる。
The criminal then calls the bank back (ostensibly reaching a different customer service representative), supplies the personal information needed to access the victim's account, and begins to initiate a series of wire transfers out of that account into another that he controls.
詐欺犯は、(本物の)銀行との電話を再開して、表面上は銀行内の別の顧客サービス担当者と連絡をとっているふりをして、被害者の銀行口座にアクセスするために必要な個人情報を回答して、詐欺犯が使っている口座への送金を開始する。
こActimizeのAmir Oradはローテクかつエレガントだと評している。このような詐欺を防ぐ対策は、やはりローテクである。米国シークレットサービスのスポークスマンMalcolm Wileyは次のようにアドバイスする:
Orad said his company first saw this attack against one of its customers in the United Kingdom about six weeks ago. Since then, the company has seen similar attacks against financial institutions in Canada and the United States, giving the perpetrators the information they need to begin transferring tens of thousands of dollars from victims.
Actimizeが英国のクライアントのひとつで、この攻撃を受けたを見たのは6週間前のことだった。その後、Actimizeはカナダや米国の金融機関でも同様の手口で、犯人が被害者から何万ドルものお金を引き出すために必要な情報を入手しようとする攻撃を受けた。
"If you receive a call about someone claiming to be from your bank, the smartest thing to do is to hang up, look up the bank's number and call them directly," Wiley said.
あなたの銀行口座からの支払いについての電話があったら、もっともスマートな方法は、銀行の電話番号を調べて、電話をこちらから、かけなおすことだ。
【Othersの最新記事】
