今、銀行カードのスキミングについてのニュースが放送されていました。少し前にこのスキミングの手口などのことが話題になりましたが、その時の続き的な内容です。

スキニングでカードの時期情報を取り出しますが、暗証番号はその中に入っていないため暗証番号は別途手に入れる必要があります。前の放送ではその部分の手口が分かっていない状態でしたが、今回は分かったようです。

その手口とは音声自動案内を利用した単純な総当たりでした。ATMで総当たりを行おうと思っても 3 回で打ち切りになってしまいますが、音声自動案内では無制限に出来るようです。それでも 5 回ほど間違えると会社側が不審に思いチェックするらしいのですが、犯人は 1 日に 3 回以上は試さないようにしていたためチェックされませんでした。ちなみに犯人は 9 回で認証に成功しています。何らかの形で被害者の情報を持っていて、そこから推測したのだと考えられます。

そして、大抵の人がそうであるように、被害者の方は全てのカードが同じ暗証番号だったため、芋づる式に預金を取り出されました。その額 570 万円とか…。

ここから得られる教訓。

1. パスワードは予測不可能なものに。
2. カード毎にパスワードを変える。

2 番目は現実的じゃないですね。何枚ものカードの暗証番号を覚えられるはずがありません。1 番目だって数字しか無いパスワードじゃどんなに良いパスワードでも 9999 回で当たることを考えると弱いです。やはり暗証番号が 4 桁の数字だというのがおかしいですね。今時こんなの認証とは言えないです。

では今出来る事はと言えば、パスワードをせめて生年月日以外のものにすることですかね。

攻撃者のみなさん、音声自動案内ですよ。対策ははほとんど取られていないようですから。