詳細検索

検索対象

まとめダネ!
auかんたん決済で不…

auかんたん決済で不正アクセス検証 考えられる原因は?

どうやったらこの被害者のような状況になるのか検証してみました。

更新日:

auかんたん決済で不正アクセス検証 考えられる原因はauIDへのフィッシング?

auかんたん決済を利用され、iTunesに課金されてしまった模様。

私の彼氏12~7月の間でauのかんたん決済で不正アクセスされてAppleで約30万の課金されてた🤦‍♀️
auにもAppleにも問い合わせしたけど不正アクセスは認められたけど
全額返金は出来ないそうで、できる対応としては不正アクセスした人のアカウント停止と1部返金のみだって
皆さん気をつけてください
拡散希望 https://t.co/3NPgPSVp5g

2019.07.11 16:13:35

@43_K なんか、かんたん決済って本人じゃなくても成りすましでauのところにパスワード忘れたっていって生年月日とか言えば、パスワードとかも全部教えてくれたりして第三者がログインできるんだって🤦‍♀️
まあ、こんなことにならないようにするためにはかんたん決済出来ないようにするのが1番
語彙力なくごめん

2019.07.11 16:32:54

こっわ。
auのかんたん決済使わないようにしないとな‥‥ t.co/Y4C7yD9I2G

2019.07.13 16:28:14

@dym52554 リプを見てもらえれば有難いんですけど、
メールの設定をしてなくて利用明細メールが来てなかったのと
未成年だった為親の口座から引き落としになっていてかんたん決済でWiFi固定電話電気代など払っていたため気づかなかったんだと思います

2019.07.13 15:52:49

かんたん決済とは

スマホなどの決済をauの請求書にまとめることができます。いわゆる「キャリア決済」です。今回、iPhoneのゲーム内課金の決済を、乗っ取られたauIDのキャリア決済を使って行われた模様です。

@mhid_y AppleIDの支払い方法のauかんたん決済への設定はやってあるかな?

↓みたいな感じ https://t.co/ge19tXTT93

2019.05.31 11:49:47

auかんたん決済が乗っ取りか知らんけど、今までずっと課金されてたんだよね
だから対処法調べてたらこのサイトに行き着いたんだけど...
これやれば毎月1日に課金するよう設定されてるのが解除されるって事だよね
これで翌月以降課金されてなかったらokなんだが https://t.co/4inA1kYhjf

2019.05.27 11:11:11

iOSにはこういうキャリア決済を登録する画面があります

キャリア決済登録画面に、「他人の電話番号」を設定し、登録時にSMSに送られてくる二段階認証のコードを入力すると、かんたん決済はのっとれます。ではどうやってそのコードを取得するのでしょうか。それは後述します。

iPhoneにしてからauかんたん決済使おうとして、キャリア決済にして完了押したら、このカードはitunes storeではご利用出来ません

って出たぞ?(・・;)

なんでだ?(´・ω・`)
限度額設定してる訳じゃないのにw

どなたかわかる方います?(>人<;) https://t.co/wg3keHJVXT

2018.12.09 06:03:19

【参考】他人の端末にかんたん決済を登録させないようにするには

Apple IDへの決済設定制限というものがあります。ここで他の携帯電話番号へのキャリア決済制限がONにすると、第三者へのAppleアカウントへの紐づけを防ぐことがデキます。なお、デフォルトではOFFになっています。

https://id.auone.jp/payment/accesscontrol/dcb_a.html

デフォルトはOFF

auかんたん決済で不…

フィッシングーメルにて二段階認証を乗っ取られるロジックは存在

フィッシングメールのフォームに電話番号を入力し、二段階認証の支持をうけコードをフォームに入力してしまうと、乗っ取られます。多くの人が不正アクセスで被害を受けているのは、この理由です。

auを装ったフィッシング詐欺のメール届いたんではっておきますね。 https://t.co/eG1pHdWZUw

2019.06.13 14:59:09

誘導先は、このような展開の偽サイトです。騙されてログインし、指示通りに暗証番号の入力と2段階認証を行うと、au IDに相手を侵入させてしまいます。暗証番号を渡しているので、キャリア決済の使い込みなどやりたい放題なので、くれぐれも騙されないようお気を付けください。 t.co/Plu5Wgljdb

2019.06.13 16:36:55

KDDI(au)の偽のログインページに誘導する「お客様のauかんたん決済に異常ログインの可能性があります。ウェブページで検証お願いします。」というSMSが届いたそうです。指示に従うと、キャリア決済を使い込まれるおそれがあるのでご注意ください。 t.co/P3TCd6jBqa

2018.10.27 19:00:52

今回の誘導先は、本体側からキャリ決済を狙う偽サイトらしく、ログイン情報とキャリア決済の本人確認に使う暗証番号を入力させ、ユーザーにログインを許可させることで2段階認証を突破しようとします。ブラウザもセキュリティソフトもまだブロックしてくれないので、騙されないようご注意ください。 https://t.co/3fXv3sOwfx

2018.10.27 19:00:52

上記のフィッシング画面で電話番号を入力。2段階認証の支持の画面を出した段階で、犯人はその電話番号をiTunesアカウントに登録します。そのさいにその登録用のコードがSMS宛に送信され、それをフォームに入力してしまうと二段階認証を突破されます(上記の画像はアカウントフィッシングのもの)

ロック画面にSMSの内容を表示している人も危険

ロック画面にSMSの内容を表示している場合、端末の電話番号を悪意のある知り合いなどに知られ、その番号宛に二段階認証を送信されると、受信したコードがロック画面で表示されてしまいます。このコードを取得するだけでかんたん決済はのっとることができます。端末にSMSの内容は表示されないようにするのがよいでしょう。

@Fang_weasel auのかんたん決済の脆弱性じゃない?
条件3つあるけどかなりゆるい。
・攻撃者が被害者の携帯の通知画面を見ることができる。
・被害者がSMSの通知をロック画面から見れる設定にしてる。
・攻撃者が被害者の電話番号を知ってる。
これ満たすだけで他人のかんたん決済悪用できる。

2019.07.14 00:02:35

1