Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

3Dセキュアのフィッシング

つぶやいてみた。

単なるフィッシングなのですが、もう少し洗練されたら怖いかも知れませんね。

www.security-next.com

クレジットカードの大手ブランドが提供する本人認証サービス「3Dセキュア」のパスワードを詐取するフィッシング攻撃が確認された

「3Dセキュア」は、インターネットにおけるクレジットカード決済時に、クレジットカード情報にくわえ、事前登録したパスワードを求めることで不正利用を防止する本人認証サービス。

大手カードブランドになりすまし、クレジットカード情報にくわえ、パスワード情報もだまし取ろうとするフィッシング攻撃が確認されたとして、フィッシング対策協議会が注意喚起を行った。

(Security Next記事より引用)

 

◆キタきつねの所感

記事ソースは、フィッシング対策協議会の発表とあったので見てみたのですが、正直、この手のフィッシングでひっかかるの?というレベルです。この程度で”釣られる”方は、きっと他のフィッシングメールにもひっかかると思います。

www.antiphishing.jp

フィッシングメールをフィッシング対策協議会のページから引用させてもらいますが、機械翻訳を使っただけと思われる、いくつもの怪しげなポイントが分かります。

f:id:foxcafelate:20181110065123j:plain

例えば、冒頭の「お客様各位」ですが、何らかのクレジットカード関連の問題が発生した際に、メールを送付してくるであろうカード会社は、カード会員(貴方)のお名前を知っているはずです。そして「、」などという誤植を残す事はないと思います。

これは【Dear Customer, 】という英語でよくある書き方の「,」を翻訳してしまっていると考えられます。

同じように見ていきますと、「問題の検出」であったり、「あなたのセキュリティのために」といった日本語でお客向けの表現に使わない訳文もあります。

更に言えば、セキュリティ用語的には正しいのですが、「あなたのカードをロック」「再度アクティブ」というアカウントのロック、アカウントのアクティブ化の類似表現での説明は、日本語に直接翻訳すると違和感があり、意訳しなければならない部分なのですが、普通に使われています。

注意書きも「秀逸」ですね。最後の「・・・可能性があるため、永遠に」は、国語のテストであれば赤点を覚悟しなければならない気がします。

 

フィッシングでカード番号を窃取するやり方も結構乱暴で、突っ込みどころがたくさんあります。例えば、「VISA/Mastercard(ダブル表示)ですが、深刻な事態に陥ったはずのクレジットカードがどこの決済カードブランドであるか、送付側は「わかってない」事になります。

f:id:foxcafelate:20181110070358j:plain

サンプルでは隠されていますが、フィッシングメールのロゴはこんな感じで貼られていたのだと思います。

f:id:foxcafelate:20181110070949j:plain

自分のカード会社のページでは、こんな両方のロゴが表記されてはいませんでした。全てのカード会社でそうなっているか断定は出来ませんが、両ブランドのロゴが掲載される事で、カード会員は混乱してしまう可能性があるので、恐らくこうしたページ表示をカード会社はしないのが普通ではないでしょうか。

楽天カードの3Dセキュアの説明ページから引用しますが、実際に見比べてみると「カード番号はマスキングされて表記」されていますし「セキュリティコード」は入力欄は当然ありません。(3Dセキュアの認証ページで存在してはいけない項目です)

f:id:foxcafelate:20181110070542j:plain

 

おわかりでしょうか?フィッシングページでは、貴方のクレジットカードに問題が起きたといいながら、カード番号(16桁)をすべて入力させようとしています

f:id:foxcafelate:20181110072015j:plain

※上記の楽天カードの説明ページが正しい訳ですが、カード番号がマスキングされて表記される(認証側が貴方のカード番号を知っている)はずなのに、カード番号を入力させるという意味は、フィッシングメール)送付側がカード番号を知らない事に他なりません。

 

フィッシングメールの目的は、セキュリティコードを入力させようとしていますので、カード番号を窃取してネットで不正利用をしようとしている事になる訳ですが、そもそもカード会社がこうしたメールを送ってくる事はないと思いますし、大きな事件がありカード会員に告知する場合はもう少しスマートな方法を取るかと思います。

 

最後に、フィッシングメールという意味では、、、今回は簡単に見分けがつく攻撃だったようです。

f:id:foxcafelate:20181110072846j:plain

 ※フィッシング対策協議会の説明ページより引用

ドメインが・・・「ru」:ロシア、「su」:旧ソビエト連邦(ロシア)、「ir」:イラン です。URL部分で証明書(HTTPSを確認するだけでも十分かと思いますが、そもそもドメインを見れば普通は危険だと分かるかと思います。

 

とは言え、この手の攻撃は進化します。一番怖いのが日本語チェックがされてしまうことでしょうか。日本人、あるいは日本語に堪能な留学生がこうしたフィッシングに加担した場合は、もう少し危険度がましてしまうかも知れません。

 

 

ゴールドカード・クレジットカードのイラスト

 

更新履歴

  • 2018年11月10日AM(予約投稿)