■ドコモ口座事件、誰がリバースブルートフォースアタックって言い出した？

「推測情報」と「確定した情報」を区別できない人多すぎて凄い。

誰も突っ込まないからデマという話も出ない。

確定していること

犯人は、被害口座のうち、最低限

• 口座番号
• 口座名義
• 暗証番号

を把握していた。この情報を使ってdアカウントを新規作成、そのままドコモ口座に銀行紐付けしてチャージした。

推測でしかないこと

• 口座番号適当に探して、振込システムで名義を抜いた。暗証番号をリバースブルートフォースアタックで抜いた。
• 上記3点を含む情報を、フィッシングや推測、購入等で入手した。

この2つは「ありえない」わけでは無いが、「確定」したわけではない。

よく勘違いされること

• ドコモが(リバース)ブルートフォースアタックの対策をしていなかったから抜かれた

ドコモ口座の口座振替サービス画面からアタックされた、とはどこも報道していない。

ちなみに、リバースブルートフォースアタックするにはドコモは微妙であったりする。dアカウントの名前は簡単に変えられないからだ。

もしやるのであれば、他の口座振替サービスを使うもの経由で行うだろう。PayPay、メルペイあたりがそうだ。

そもそも、口座振替サービスへ遷移するときに名義を変えてしまえば通るとか、そういうやり方もある。「口座振替サービス」で対策してたかどうかでしかない。

メルペイ使えばもっとバレずにお金抜けるんでは？

ついでに、所有口座すべての口座振替登録しているサービスの一覧を銀行に出してもらったほうが良い。(普段行う業務ではないので、銀行側が簡単に出してくれないのだが)

もし自分が犯人なら、他のサービスも連携している。特にメルカリ(メルペイ)は連携行うだろう。

「メルペイスマート払い」を使えば、通帳に記載させることなく数万円程度の金を借りられてしまう。

メルペイにまともな住所を登録してないだろうから、メルペイ側が口座振替で強制回収するか、債権回収系ルートで初めて知ることになる。

もしかすると、ドコモ口座事件の犯人以外はこっそりこの方法で抜いているかもしれない。

Permalink | 記事への反応(1) | 08:58

ツイートシェア