ringoさん
VIEW
auかんたん決済で不正アクセス検証 考えられる原因はauIDへのフィッシング?
auかんたん決済を利用され、iTunesに課金されてしまった模様。
私の彼氏12~7月の間でauのかんたん決済で不正アクセスされてAppleで約30万の課金されてた🤦♀️
auにもAppleにも問い合わせしたけど不正アクセスは認められたけど
全額返金は出来ないそうで、できる対応としては不正アクセスした人のアカウント停止と1部返金のみだって
皆さん気をつけてください
拡散希望 https://t.co/3NPgPSVp5g
@43_K なんか、かんたん決済って本人じゃなくても成りすましでauのところにパスワード忘れたっていって生年月日とか言えば、パスワードとかも全部教えてくれたりして第三者がログインできるんだって🤦♀️
まあ、こんなことにならないようにするためにはかんたん決済出来ないようにするのが1番
語彙力なくごめん
@dym52554 リプを見てもらえれば有難いんですけど、
メールの設定をしてなくて利用明細メールが来てなかったのと
未成年だった為親の口座から引き落としになっていてかんたん決済でWiFi固定電話電気代など払っていたため気づかなかったんだと思います
かんたん決済とは
スマホなどの決済をauの請求書にまとめることができます。いわゆる「キャリア決済」です。今回、iPhoneのゲーム内課金の決済を、乗っ取られたauIDのキャリア決済を使って行われた模様です。
@mhid_y AppleIDの支払い方法のauかんたん決済への設定はやってあるかな?
↓みたいな感じ https://t.co/ge19tXTT93
auかんたん決済が乗っ取りか知らんけど、今までずっと課金されてたんだよね
だから対処法調べてたらこのサイトに行き着いたんだけど...
これやれば毎月1日に課金するよう設定されてるのが解除されるって事だよね
これで翌月以降課金されてなかったらokなんだが https://t.co/4inA1kYhjf
iOSにはこういうキャリア決済を登録する画面があります
キャリア決済登録画面に、「他人の電話番号」を設定し、登録時にSMSに送られてくる二段階認証のコードを入力すると、かんたん決済はのっとれます。ではどうやってそのコードを取得するのでしょうか。それは後述します。
iPhoneにしてからauかんたん決済使おうとして、キャリア決済にして完了押したら、このカードはitunes storeではご利用出来ません
って出たぞ?(・・;)
なんでだ?(´・ω・`)
限度額設定してる訳じゃないのにw
どなたかわかる方います?(>人<;) https://t.co/wg3keHJVXT
【iPhone / iPad】Apple IDのお支払い方法をauかんたん決済(キャリア決済)に変更したい
【参考】他人の端末にかんたん決済を登録させないようにするには
Apple IDへの決済設定制限というものがあります。ここで他の携帯電話番号へのキャリア決済制限がONにすると、第三者へのAppleアカウントへの紐づけを防ぐことがデキます。なお、デフォルトではOFFになっています。
https://id.auone.jp/payment/accesscontrol/dcb_a.html
デフォルトはOFF
「ご利用のモバイルアカウントに、請求に関する問題がある可能性があります」と表示されたり「PINコードの送信を一時的に制限しております」という内容のSMSが届く場合の対処法を画像付きで解説しています。
【iPhone / iPad】Apple IDのお支払い方法をauかんたん決済(キャリア決済)に変更したい
フィッシングーメルにて二段階認証を乗っ取られるロジックは存在
フィッシングメールのフォームに電話番号を入力し、二段階認証の支持をうけコードをフォームに入力してしまうと、乗っ取られます。多くの人が不正アクセスで被害を受けているのは、この理由です。
誘導先は、このような展開の偽サイトです。騙されてログインし、指示通りに暗証番号の入力と2段階認証を行うと、au IDに相手を侵入させてしまいます。暗証番号を渡しているので、キャリア決済の使い込みなどやりたい放題なので、くれぐれも騙されないようお気を付けください。 t.co/Plu5Wgljdb
KDDI(au)の偽のログインページに誘導する「お客様のauかんたん決済に異常ログインの可能性があります。ウェブページで検証お願いします。」というSMSが届いたそうです。指示に従うと、キャリア決済を使い込まれるおそれがあるのでご注意ください。 t.co/P3TCd6jBqa
今回の誘導先は、本体側からキャリ決済を狙う偽サイトらしく、ログイン情報とキャリア決済の本人確認に使う暗証番号を入力させ、ユーザーにログインを許可させることで2段階認証を突破しようとします。ブラウザもセキュリティソフトもまだブロックしてくれないので、騙されないようご注意ください。 https://t.co/3fXv3sOwfx
上記のフィッシング画面で電話番号を入力。2段階認証の支持の画面を出した段階で、犯人はその電話番号をiTunesアカウントに登録します。そのさいにその登録用のコードがSMS宛に送信され、それをフォームに入力してしまうと二段階認証を突破されます(上記の画像はアカウントフィッシングのもの)
ロック画面にSMSの内容を表示している人も危険
ロック画面にSMSの内容を表示している場合、端末の電話番号を悪意のある知り合いなどに知られ、その番号宛に二段階認証を送信されると、受信したコードがロック画面で表示されてしまいます。このコードを取得するだけでかんたん決済はのっとることができます。端末にSMSの内容は表示されないようにするのがよいでしょう。
@Fang_weasel auのかんたん決済の脆弱性じゃない?
条件3つあるけどかなりゆるい。
・攻撃者が被害者の携帯の通知画面を見ることができる。
・被害者がSMSの通知をロック画面から見れる設定にしてる。
・攻撃者が被害者の電話番号を知ってる。
これ満たすだけで他人のかんたん決済悪用できる。
コメントを投稿する