Amazonさん、二段階認証を突破されて不正アクセスが多発!なお未だに手口が不明! [663344715]
■ このスレッドは過去ログ倉庫に格納されています
「Amazonを不正利用された」──SNS上で報告相次ぐ 「二段階認証を突破された」などの声も
「Amazon.co.jpを不正利用された」──X(元Twitter)では9月上旬からそんな投稿が相次いでいる。「Amazonギフトカードを大量購入された」「二段階認証を設定していたのに、それを突破された」などの報告が上がっている。
Xでは「(アカウントに)二段階認証を設定していたにもかかわらず不正アクセスされ、Amazonギフトカードを大量に購入された」と被害を訴える声が多く見られる。特に話題になっているユーザーの投稿によると「注文履歴を非表示にされ、不正利用に気が付かないままクレジットカードの請求が来た」と語っている。
このユーザーがAmazonのサポートに問い合わせしたところ「同様の案件が多発している」「現状では手口が分からないのでどうやって侵入してるのか調査中」などと返事があったという。その後、被害額は全て返金してもらったとしている。
https://news.biglobe.ne.jp/it/0914/imn_230914_2262109371.html 返金するハメになってるならマジメに塞ぐだろうし静観ですわ こないだ普段の環境じゃないとこからログインあったよーと楽天からメールきてパスワード変えたわ
さすがに最近の犯罪は俺たちの想像越えてくるからな
今までなら放置プレーだったけど >>5
同じパスワードを使いまわしてないか?
ほかで漏れたメルアドとパスを総アタックしてる可能性ある マジか。最近使って無いけどまだアカウント残ってるぞ >>5
🍎でパスワード打ったらお前のパス、流出歴あるぞみたいな表示出るサービスあるから調べとけ >>7
フィッシングメールでログインIDとパスをだけじゃなくてSMS認証まで求めてくるやつあるの?
物騒だな >>14
あほ、ヤメロや
嫌儲はアホンダなんだから >>5
フィッシング詐欺に引っかかってるようにしか見えなくて草 >>13
ワイも不正アクセスメールが来たときはリンクではなくブクマからサイトに入るようにしてるな amazonってこれだけ利用者多くて当然不正アクセスも多いのになんで頑なにアクセス履歴表示のページ作らないわけ? >>5
楽天のログイン履歴見た?IPとかでるよね
ヤホーも 注文履歴を非表示とかあるんだ
Amazonのアプリから確認する方法はないんか >>7
これだろうな
詐欺サイトがかんでることに気づかず、
二段階認証を詐欺師に教えてるのではないかと思った >>18
仮にそうだとしてもブックマークから楽天に入って変えてるからセーフ もし手元のスマホやPCが乗っ取られてるパターンだったら
どうしようもないな(´・ω・`) アプリから非表示にした注文履歴を確認する項目追加しろよ 俺なんて生まれて今日まで九州民なのに横浜銀行から利用制限のメールが来るぜ >>20
そりゃアマゾンだからとしか
アメリカ有数のブラック企業だぞ
創設者はサイコパスのハゲ
そういう企業 どうせフィッシングサイトにID/PWとOTPも入力しちゃってる 家族がAmazonを装った偽メールに騙されてパスワード全部変える羽目になってたな 非表示にした注文はPC版Amazonで確認、再表示
Amazonの「非表示にした注文」はAmazonアプリやモバイル版Amazon公式サイトでは確認することはできず、PC版Amazon公式サイトでのみ閲覧、注文履歴の再表示が可能です。
は?何この不正アクセス推進機能は アカウントサービスのセキュリティのページ
なんだかよくわらがなくて他に遅れをとってるね 尼っていつもと違う住所に送る場合は
クレカ番号の入力求められなかったっけ?
それも突破されてるの?? いくら不正アクセスや非表示注文って逝っても注文完了メールは来るだろ? ワイもline乗っ取られたわ。垢削除されて復活したけど、こっちがインしてるのにどっかから操作して楽器屋の垢フォローの通知きたわ、こっわ 昔から使い続けてるアドレスが迷惑フィシングメールだらけで3/4くらいを締めてるからいい加減換えようかと思ってる モバイルアプリ利用者ではなくPCブラウザ利用者が被害に遭ってるという情報は本当か?
それだとウィルスか何かか >>36
頭悪くて落ち度があるのは被害者側と思うわ
Amazonもクレカ会社も可哀想 前使ってたメアドがスパムだらけで訳分からなくなって捨てたわ 最近増えてたAmazonからのフィッシングメールに引っかかっただけじゃないの? とりあえずクレカ使うサイトのパスワードは保存しない、使ったら即キャッシュ消す サイトごとに乱数英数字10桁をkeepassで管理して複数クラウドにアクセスキーファイルとDB本体を分散して保存してスマホとpc両方からアクセスできるシステムにしてるわ
年月が経つほどアカウント増えてくからな
世の中の人間はパスワード管理ソフト使わなかったら共通パスワードじゃないとやってられんだろ? こないだ盛大に爆死したピクトスクエアはtwitter連携してなかったからセーフだったな 社長が中国人な時点でこんなもんやろと。
令和最新版とかこいつの手配で増殖してそうやん。 クレカはまあ返金されるだろうけどデビットは補償の条件かなり厳しいから使ってない人はデビット機能無効にしておいたほうがいいよ アカウント更新、プライム更新の詐欺メールに対しご丁寧に情報を提供してる人以外で
被害にあった人いるのかな そうそう、>>24の視点を持ってない人が多いから安心する人いるけどちゃんとここまで見ないとな >>45
Cookie抜かれてセッション乗っ取られてる感じ? >>40
そんなんすぐ変えなあかんわ
ワイいつぞやのディスクユニオンから漏れたときからフィッシングメールくるようになったのですぐ変えたわ( ´ ▽ ` )ノ 脇甘い奴は一度はフィッシングかかるなって思える程度に今のネットは罠だらけ >>56
これ
キャッシュカードに勝手にデビット機能を付けんなと思う 「二段階認証設定のお願い」の偽物メールに引っ掛かって間違った二段階認証が設定されてしまったから、としか言えない
尼は迷惑メールを放置したツケが回ってきたな なんかセッションが切れてないので
そこをつかれてるとか言われてないか 多分エロサイトとか見た時にマルウェアに感染してる奴
流石にエロサイトはシークレットモード使えって 迷惑メールとか全くこないわ。普通にいろんなサイトに登録してるのに。
gmailが優秀なんか? マメなやつほど一々送られてくる偽メールを律儀にチェックしてフィッシングに引っかかる
事前に来るってわかってるメール以外見ないズボラスタイルでいいんだよ フィッシングメールもだいぶ巧妙になってきたからな
あれは騙されるやつおるぞ 最近Yモバイルやらアップルやらから迷惑メール届きまくってるからフィッシングじゃないかな >>68
俺もそうだわ
Nexusmodに登録した捨てアドぐらいにしか来ない >>68
たし🦀gmailは来ないね
amazonには登録していないyahooのメールに来るから笑える 非表示にした注文なんて項目注文履歴になくね?1回は非表示にしないと出てこないのか? >>64
固定IPなんてパソコンの一部のプロバイダだけだから
スマホ主流の今じゃ意味ない >>70
ちょっと前まで日本語が変だったりしたのも最近修正されてきてるし
URLは正しいのにHTMLで飛ぶサイトは別に偽装されてたりかなり巧妙だよな
年寄りは見抜くの無理じゃねって思う 日米両方の注文履歴とメッセージセンター確認したけど異常はなくて良かった
アメリカからは自公政権で円安になってから全く購入してなかった どーせ大量にやってくるフィッシングメールに引っかかったやつ >>52
そらそうだな
じゃあほとんど意味なくねえか面倒なの >>75
ブラウザから見たけど注文履歴には表示なかった
アカウントサービスからなら見れたわ 大手の宅配便会社の名前でsmsに、不在でしたのでお荷物は持ち帰りました、つきましては…みたいなメールが2度ほど来たことある
そんなに通販利用しないから、おかしいとすぐ気づいたけど頻繁に使ってたら騙されてたかも 非表示にした注文を確認したら昔買ったヌード写真集ばっかだった😂 クレジットカードなんて気軽に登録しないのが一番
必要な時だけ入れて使ったらすぐ消すようにしてる
出来ないサイトは基本使わない >>84
なるほどそういう用途か…
じゃあ注文履歴から見られないのは当たり前か >>84
トイズハートR18
トイズハートおなつゆ
トイズハートおなつゆ
トイズハートおなつゆ
トイズハートR18
トイズハートおなつゆ
トイズハートおなつゆ
トイズハートおなつゆ
トイズハートおなつゆ
トイズハートR18 俺も数百円だけど引かれてる事あって指摘したらすぐ返金処理されてたな
怖いからもうちょい小まめにチェックするか・・・ >>86
家族共有アカウントからエロ本購入がバレたくないとかそんな理由なんだろうな
設定開けば見れるからあんまり意味なさそうだけど 例えばPCの拡張機能やアプリで
「ユーザがブラウザから正規の方法でamazonにログインしたら、裏で非同期でAMAギフ買っちゃおう」みたいなことしてんじゃないの? >>83
宅配会社はsms使って連絡してこないんじゃないの? >>64
固定IPは固定IPで岡くんの悲劇みたいな別のリスクあるし >>45
どうだろうな
Webブラウザならhttps通信だから安全そうだけど
アプリから注文した場合は分からん
完全にブラックボックスだし 銀行アプリとかがなんでSMS使わないかっていうと
SMSは突破できるからだよ Amazonを使うならクレカ使わずギフトカード使うべき サードパーティのクッキーはオフにしよう
デフォルトでオンになってるクロームが悪い >>101
買う時に入力面倒とか言ってられんか
消すかあ >>99
もちろん
不正アクセスされてクレカ情報流すECサイトって後を絶たない >>100
俺の使ってる銀行もノートンのアプリが立ち上がって、チェックマーク押せとか言われるな コンビニで現金払いにしときなさい
おじさんからの提案だぞ😉 >>95
そうかもね、でも番号は宅配便会社も知ってる(会員サービス登録やドライバーさんへの電話で)ので、来ても不思議ではないかと思った 日本のじゃなくてamazon.com の方から不正アクセスの知らせが来たわ フィッシングでクッキー抜かれとるんやろ。
きみら何でもかんでも怪しいサイト踏むから。 >>14
その流出歴を調べるサイト自体がフィッシングサイトだった事例があって嫌儲でもスレ立ってたな 意味わからん
不正サイト開いたらログインしなくてもアウトってこと? Amazonの偽メールかなり来るから、騙されてパスワード入れたりスパイウェア仕込まれたりしたんだろ
偽メールは送信者がAmazonだけだったりするし、リンク先がフィッシングサイト >>5
それホントに楽天から?
メールのリンクから楽天に飛んだりしてないよね? >>112
アマゾンアプリってホント糞だよな。
泥端末買ったら勝手にインストールされてて尼リンク踏むと自動でアプリに飛ぶようになってたけど、あまりのクソさに速攻でアンインストールしたし。 フィッシングでひっかかったけど気づかなかった糞バカと
他のサービスでパスワード、メルアドつかいまわしてウルトラバカと
そのうえクレカ登録してたアホがかかってるだけ
バカだからわるくないのに二段階認証とっぱされた
わたしわるくないのにwwwwww 最近Google検索で上位にメルカリとかフリマサイトの商品コピーしただけのフィッシングサイトばかり表示されるけど
ゴミすぎん? >>111
これな
ぼっさんトラップから何を学習したのか
ケンモメンは旧速の頃から何も学んでない パスワードをわざと一字間違えて打ち込んでみて
拒否されたら本物のサイト 認証アプリ使ってれば突破しようがないだろ
フィッシング除いて >>121
googleって商品名で検索すると価格比較情報が出てくる場合があるんだけど、
その比較情報の最安値サイトが詐欺サイトだったのは大笑いしたわ。
ほんと、ゴミみたいなクオリティになってる。 Amazonはユーザーの利便を考慮した
「このブラウザでは二段階認証を行わない」設定に
してる奴が多いからじゃないの? 謎リンク踏みまくってるけどウイルスとかフィッシング詐欺とかPCでもスマホでも引っ掛かったことないから信じられん
サイトに行っただけで盗まれるとかあり得ん結局自分で入力してるアホがやられてるだけやろ クレカを保存してセキュリティコードなしで買い物できるサイトはまじで気をつけないとな
専用メルアド、専用パスワード、もちろんパスワード管理ソフトは使用しない
アマゾンはネット完結で換金性の高い電子マネー買えるからマジでやばい
あんなの辞めるべきだわ
物理カードの販売のみにしろよ
うけとりもコンビニでできるし
犯罪者応援サイトかよ よっぽど簡単なパスワードでもないと突破は難しいだろ
フィッシングに釣られたとしか思えんが クレカ情報消せるの?期限切れたのとかいっぱい残ってるわ 漫画サイトにアマゾンのリンクに飛ぶやつあるよね
ログインしてる状態で
あれなんなんだろう フィッシングにつられてやつと
他サイトの流出でメアドまで同じパスワード設定してたバカへの攻撃と両方だと思うわ スマホそのものが故障した時にいかに二段階認証が不合理か思い知らされた ヤフオクで買った自転車の5桁のワイヤーロックを
総当たりで始めて20分ぐらいで突破出来た。 つーか、重要な連絡をメールで済まそうとするクソ企業はそろそろ潰れるべきだと思うわ >>117
偽メール → フィッシングサイト中継 → 本物ページへ推移 → パスワード変更させる
これだなw
既にログイン可能状態でも泳がせてる状態にさせてて時期がきたら一斉にやられる クレカ情報消せたわ
でも毎度入力はめんどくさいな
あまは本人認証通さずに決済されるし >>137
それはただのアフィでは
ログインしてる状態は自分がログオフしてないから 定期的にAmazon用のメール変えてるわ
パスワードよりフィッシングメール対策した方が確実じゃね? そもそもギフト券はクレジットカード番号入れないと買えないでしょ
それも漏れてるってことか マルウェア経由でセッション抜かれるパターンも疑われているのか
このパターンだと被害者のPCからバックグラウンドでギフトカードを注文してコードを他人に送信するようなスクリプトでも組まれているんだろうか? >>14
authyならクラウドでバックアップできるしリカバリーコードくらい保存しとくだろ >>1
注文履歴非表示にされたとしても仮に決済されたら自分の登録メールにすぐ通知くるだろ 何もしてないのに壊れた!
何もしてないのに盗まれた! この前、クレカ会社から不正利用の警告きたけど、あれももしかしたらAmazonだったのか?
パスワード変えるくらいはしといた方がいいな おまえ達のCookieはクッキーモンスターが食べちゃったw SIMスワップ攻撃とか言われていたけどあれって結構敷居も高く難しいから
単純にどこかで漏れたメアドとパスで、
メアド宛にフィッシングメール送って、SMS認証の数字も遅らせる
でパスがAmazonと共通ならそのまま乗っ取り完了という
昔からある単純な手口 多分Amazon Payで漏れてるか?トークン置換攻撃されとるんだろ AmazonはSMS認証とAuthenticatorによる認証の二つの二段階認証があるよな
どっちがええんやろ 2段階認証もスマホ依存がすぎて逆に怖くなるな
SMSもアプリもスマホ壊れたらお手上げや これはアマゾンのシステムそのものがハッキングされてる雰囲気だな
多発してんなら古典的フィッシングではないと思う google,amazon,楽天のパスワードだけそれぞれ特殊で
他は使い回ししてるから漏れてもノーダメ
二段階も設定してる こういうのって犯人は外国人なんか?
なんかAmazonのメールとか言って日本語が微妙に変なのあるよな
最近はマジで見分けつかなくなってきたけど >>165
AuthenticatorはGoogleにバックアップして複数端末で同期できるで
これはこれで今はまだE2E暗号化未対応だからGoogleを何処迄信用するかだが >>161
ほんとうちフィッシングメールの山
ディ○クユ○オンとpe○texのメアドが漏れたんで >>121
機械生成した検索スパムに汚染されてるんよ
日本Googleは対策をまともにやってくれないから標的にされてる >>165
SMSは電話番号だから壊れても契約が残ってれば新しい電話でいけるだろ
アプリは壊れたら困りそうだよな アマギフで買えるんだし2、3万入れとけば
クレジットじゃなくてもそこそこ面倒もなく使えるやろ
消してアマギフ入れとく方が無難
もしくはアプリで管理出来る系のカード使うのもあり
アプリで使用ロック掛けられるはずだから
使う時だけ解除するってのが出来る amazonは迷惑メールが多すぎて本物の注文完了メールが来ても身に覚えがなければ迷惑メールと誤認して捨てられる可能性が高い
そこを突いてきたってことかな?
注文履歴を非表示にする合せ技を使うあたり怪しい 本物と思い込ませてログインとワンタイム入力させるだけで突破できるよね
そう考えるとザルな認証システムだな どうせ気付かずフィッシングに引っかかってる奴が騒いでるだけだろうが
例外もあるかもしれんし念のため決済情報削除しておいたわ クレカ情報登録してる馬鹿が被害にあってるだけだろw 二段階認証てスマホに認証番号届くやつだろ?
それ突破するのってスマホ共有者だけやろ
犯人は身内だよ ネットでクレカ決済が安全だった時代なんてないのにね
2000年前後のウィルス全盛期を見てると、よくそんなのやるなあって思う フィッシングメールよく来るし、アレ引っかかってるやついるだろうな >>178
そうじゃねえのとは思うんだけど
現在蔓延してるアマのフィッシングは
OTPも入力させるようなやつなんかね?
それなら「手口は不明」とはならん気がするんだがな 最近あらゆるとこで不正アクセスやらマルウェアやら増えてるよな
愛用してたChromeのプラグインがおかしくなったと思ったら買い取られてマルウェア化してたとかで肝が冷えた 二段階設定できるやつは全部設定するようにしてるが
一つの認証アプリで出来るようにしてくれ
SMSとかもうやめて欲しい マイナポイント貰える期限迫ってる系の釣りメール多いね最近 被害者より嫌儲の方が信用できないからクレカ情報消したわ 慌てて注文履歴見てきたわ
二段階認証なんてしてないんだけどみんなしてんのかな アプリのワンタイムパスワードで管理できるのなら確実そうな感じするけどそれでもあかんのかな?? パスとメアド使い回し多いから何か1つでも気づかずフィッシングされてたらログイン自体は簡単なんだろーね 何か購入したら、アクションセンターみたいなとこにメール入ってるよな 二段階認証突破できるスーパーハッカーのやることがアマギフ購入かよ 尼だけは違うパスにしている
他所でメアドパス漏れてまず狙うならここだろし >>185
ネット生活25年超やけどこないだ初めて不正アクセスの通知来てチェックしたら、もう使ってないゲームアカウントにインドネシアから不正アクセスされてたわ
お手軽用のパスワードだからどこかのサーバから盗まれて出回ってるんやろな
とりあえず通販アカウントはパスワード変更したけど、どうも狙われるのは金目のものだけじゃなく不正アクセスした先から個人情報も盗まれるみたい
その結果なのか先週ついに俺の本名が本文に書かれた不正攻撃メールが来て戦慄したわもう区別つかん 偽Amazonメールが急激に増えている
1時間に何通も
今日の朝9時からピタリと止まった >>180
できるだけクレカ登録しないようにしてるけど、登録してでないと利用できない融通きかないサイトもあるんだよ
たしかJR九州だったかな、カード削除もできなくて退会するしか手段なかったような >>182
まだ安全な方じゃない?
曲がりなりにもカード会社の保証あるし どうせ社社員がリスト売って金にしてんだろ
バックオフィス中国に置くからそういう目にあう 前から思ってるんだけど、もうメールインフラって崩壊してるやろ
悪貨は良子を駆逐するってやつ >>182
paypalもそういう意図で生まれてるもんな 一応パスワード変えたから被害に遭ったら端末が乗っ取られてるかAmazonのせいかの2択になったな
人柱になってやんよ 被害者「被害にあいました」
野次馬「どうせ変なリンク踏んだんだろ?」
被害者「それはないです」
野次馬「どうせ変なリンク踏んだんだろ?」
被害者「だからそれはないですってば」
野次馬「どうせ変なリンク踏んだんだろ?」
https://twitter.com/fireroadster/status/1701860461388640763?t=CBybdF_P6_aR-TD6MIxHWA&s=19
https://twitter.com/5chan_nel (5ch newer account) >>45
これ
Chrome拡張ならログイン情報の読み取りとかなんでもできるから不正アクセスもできる 最近迷惑メール来すぎ
iphoneのメッセージ機能しょぼすぎて拒否出来んのよな >>7
1.2か月前からgmailに偽の注文メールよく届くようになったからそれ踏んだ人なんだろうなあ Chrome拡張は更新されたことがわからない(自動的に更新される)という問題がある
ホワイトだった開発者が突然ダークに変わって(買収されたとかもある)悪意のあるコードをまぎれこませることが可能
Chrome拡張は更新を切ってる(やり方は内緒)w カード情報残してなきゃ大丈夫だろ
俺も過去乗っ取られたけど
それで助かってる >>213
PCなどからwebブラウザで開く
↓
アカウントサービス
↓
お買い物設定
↓
非表示にした注文の表示
↓
注文の詳細から注文を表示する >>213
アカウント
お買い物設定
非表示にした注文の表示
言語設定の変更
通貨設定を変更する
マイリスト
プロフィール もう電話番号認証でしょう
ヤフーはID入れると認証番号がくるようになった >>220>>221
サンクス!一応カード情報消した方がいいのか?どうせ買い物するけどその度にカード情報消すって意味ある? >>213
購入履歴のページのプルダウンでデフォで過去3ヶ月になってるところをひらくとしたに非表示した注文ってのがある >>223
カードでやめてコンビニ、電子マネー決済にしたらええやんけ
もしくは電子マネー決済でアマギフをチャージしてアマギフ払い 三井住友カードだったか一時停止できるやつあったろ
使いたい時だけ有効にして決済終わったらカード使わせない停止状態にしとくとかできて便利だなと思った
Amazon専用に作ってもいいよな >>223
そのつどクレカ機能OF/OFFにしたほうが手間かからなくね 前にアマゾンって購入履歴がランダムで赤の他人に見れる状態になったときもアナウンスしなかったよね? この手のフィッシングメール多過ぎてクロネコから来てたメールうっかり消して荷物受け取り損ねたわ >>231,232
フィッシングじゃないと>>230
AmazonPay連携、Chrome拡張、他にもAudibleとかPrimeゲーミング、ビデオ、Kindle、セッション保持長いから容疑者が多い >>233
配送関連の詐欺メールもあるんだよな
糞迷惑だわ あ~アプリ連携系の経由もあるのか
Twitterよく乗っ取られて変なツイートしてるやついたなw >>7
今問題になってるのはそんな低レベルなアホ向けの問題だけじゃない 本当のアホは自分をアホだと自覚できないんだよねwww >>5
基本的には画期的なやり口ではなく従来のやり方の効率化や大量作業化によって被害者が増えてるんじゃないかと思ってたが違うのだろうか 今、クレカ登録から全部消したわ
あとパスワード変えたわ
ほんとAmazonってクソだわ 非表示確認してるとグーグルマップのパスワード自動入力でセラーセントラルのパスワードが候補に出てきてちょっと焦った
AmazonPayで登録して忘れてるアカウントがあるとは
過去には欲しい物リストから情報漏れてたりしたしほんと防御難しい
ただそもそもの問題はワンクリックでお買い物が出来るという利便性と引き換えに全ての情報と権限をAmazonに預けているユーザーにある >>242
お前みたいなのがヌカれてるのが問題になってる たぶんフィッシングSMSとかメールクリックだよ
引っ掛かったやつがアマゾンに責任押し付けてる どうでもいいわ
アドブロに反応する糞サイト消えろや エンジニアかシス管みたいな人が抜かれてるなら警戒するけどそうじゃないんでしょ? とりま悪い拡張機能をスキャンする機能がついてるからchrome使ってる奴はスキャンするといいかも
https://i.imgur.com/5FAFGrY.png >>252
そういうレベルだろ
拡張って具体的にそのアプリ出してみろよ >>256
不明でお前みたいなフィッシング系に釣られない奴が抜かれてるから問題になっているんだと…
なぜ決めつける >>254
なんでそう思う?
理由も言わず思い込めばそうなるという態度がアホ
日本が戦争に負けたときの精神論でしかない
「戦えば勝てる」「なんとかなる」
最後は原爆を落とされて破滅 つーか登録してるクレカ登録解除すればいいだけか
松弁やEPARKアプリはクレカ登録なんてせずいつもクレカ番号入れてるわ 不正利用ならカード請求もないしなんで慌ててるやつ居るの? 全然知らんやつが注文した高額商品の発送案内メールが来るのは何が目的なんだ?? >>228
クレカオン・オフとかあるの?どこでやる? >>262
今どきはどこもログインしてセキュリティから利用停止にできる
上限とか色々設定できるよ
わからないならアマゾンからクレカの情報消しとけば良い
以前なら>>256このレベルだったが
今回の被害にあった複数の報告みてると違う段階に来てるから気をつけた方がいい 何らかの形でCookieが抜かれてすでに確立済みのセッションを利用されたんかね
それだとログインはもちろん2段階認証も本人自身で突破済みだし >>264
確かにもうクレカ消した方が良さそうだね
めんどいけど電子マネー決済メインにするよありがとう! 今のところChrome拡張やブラウザの脆弱性を突かれてセッションを抜かれたという可能性が高いから被害者のブラウザの情報を詳細に集めないと原因の特定無理
>>256みたいにいきなり答え教えろとか意味不明すぎる こういうのの被害者って情報盛ったり後出ししたり結局自業自得だろってのがほとんどだからなー >>269
ほんこれ
単にリスト攻撃とフィッシングなのにな
そのなかの意識高い系のアホが悪くないってさわいでるだけ 馬鹿な人「何もしていないのにやられた!」
これじゃない保証が無いからなんとも
最近詐欺メール増えてたし、googleも詐欺サイト山ほど表示してるから
意識高いやつは俺はそんなのに引っかからねえよ、じゃなくて俺もうっかりやられるかも、位に思ってるよね とりあえずEC系サイトでは当面は「ログイン状態を維持する」とか
「この端末では一定期間2段階認証を求めない」的なチェックマークは
外した状態でログインするように心掛けた方がいいんかな
めんどいけど フィッシングでもないのか怖いな
情報が欲しいところだが
待っている間に被害を受けたら嫌だしクレカ情報を削除しておくか >>274
クレカ情報消せるサイトはまず消しとくべきだな
クレカしかたなく登録してるサイトではそれ系は全部つかわないほうがいい パスを使いまわしてはいないが定期的な変更とかはしとらんな どうせフィッシング踏んだんでしょ
↓
踏んでも大丈夫な時のための二段階認証なのにそこを突破された
↓
SNS上で報告相次ぐ
↓
Amazon「同様の案件が多発している、現状では手口が分からないのでどうやって侵入してるのか調査中」
共通点
・不正利用分の購入履歴が非表示
・Amazonギフトカードを大量に購入
ワンタイムパスワードを入力しなければログインはできないはずなのだが何らかの手段を使って二段階認証を突破されるケースが相次いでいる
「原因わからん」と言ってる以上、取り敢えずカード情報消すしかない 絶対になにかフィッシング踏んでるか二段階認証設定してなくてパスワード使いまわしだわ >>278
昔8桁だったがパスは30桁以上に変えた
覚えられなくて不便だが仕方ない ソフト名は内緒だがオープンソースでパス管理のいいソフトがある フィッシングサイト踏んで2段階入れてログインしたらアカウント乗っ取られてパスワード変えられてとかのオチだろ、それしか考えられん クロム拡張ってなると多少話が違ってきそうだけど
クロムにパス保存するような馬鹿じゃないことを願うわ いつもコンビニ払いしかしてない俺には関係ない話だな 今片っ端からクレカ情報消してるんだけど、ヤホーって代替手段登録しないと、ただクレカ消すってできんの(´・ω・`)?? >>285
LastPassは暗号化したDBが流失しててクラックされている
【悲報】パスワード管理アプリ「LastPass」から盗まれたデータが仮想通貨の盗難に悪用されている可能性 @poverty
https://greta.5ch.net/test/read.cgi/poverty/1694001650/
暗号化してあっても最近はPassGAN使えば現実的な時間で突破できるからキッついで 二段階認証ぬけるのってSIMスワップとかぐらいしか思いつかないな
それも電話屋に行く奴いるから金持ち相手にしか使えないし謎すぎ >>220
>>221
スマホアプリだとこれ非対応なのもやられる原因なんだよな TwitchいきなりBANされて問い合わせたらハッキングどうのこうの言われてBAN解除されたけど、
ログインする時にワンパス付きのメールがくる設定を抜ける手口あんの?
自分がログインしようとした時以外にはメール来てない SMS認証が被害者に来ないまま犯人が購入できたというのも、犯人が内部なら何でもできるわな。 >>293
一番簡単なのがセッションハイジャック
具体的にはマルウェアや拡張からブラウザ等のCookieを抜いて攻撃者が乗っ取る
これだと二段階認証する必要が無い
IPアドレス変ったらセッションID無効化するとかするとか対策はあるが
IPアドレスが頻繁に変る携帯端末で使い物にならんから難しい 2021年から単独の支那人社長なんだよね。日本Amazonは、支那人の、支那人による、支那人のための犯罪実行場。 サポートが中国人だったり
登録したメールアドレスにフィッシング来るようになったりするけどもしかして… いい加減ならヤフショ並みに鍵をじゃんじゃん売ってくれればいいんだが、そういう所は堅いんだよねw >>289
主要パスワードは全部多種文字混じりの18桁にしたわ >>113
🍎の端末設定メニューはフィッシングサイトだった? Amazonの2段階認証はSMSメールだろ
携帯パクられてないと無理やない? Amazonショッピングアプリとかログインしたらそのままだし
Amazon Fireタブレットはキングソフト(WPS Office for Amazon)入ってるし パスワード流用は絶対にしてはいけない
被害にあった俺からのアドバイスだ いうて何が注文したらメールくるやん
そいうのも解除してんのか? どうやって2段階認証突破すんのよ?
フィッシングに引っかかって入力してるだけだろ 二段階認証つってもメールに届くようなのはpw使いまわしとか余裕であるだろ >>243
残念ながらその低レベルの問題なのよ
海外のホワイトハッカー見ても全く騒がれてないのが何よりの証拠
突破されてたらもっとザワつく Amazonからクレカ抜いた!
ヤフーとかヨドバシとか他のとこもやめた方がいい? 電子書籍買うくらいしか使ってないけどももう使うのやめとくか気持ち悪いし・・・ >>316
セキュリティ優先するならクレカの登録消したほうがいい
利便性とセキュリティはトレードオフ
俺はAmazonもヨドバシも注文のたびにクレカ入力してるよ アマプラの登録時の電話番号が未使用になると変更できない。認証はそちらに飛ぶから。アマプラ解約して作り直すしかない。 >>319
注文の度に入力か、めんどいけど電子マネーないとこはそれしかないかな😢 >>320
>>310じゃないけどネトフリで垢ハックされた事はある。フロリダ州のジョンって奴に id.appie.comからのメールをドメインごと受信拒否しろ
今までのAmazon詐欺メールで一番くそだるい 悪いことは言わんから二段階認証はハードウェアキーにしておけ。
ネット経由であればハードウェアキーはどうやっても突破不可だから。
もちろんお前が協力してしまえば余裕で突破できるけどな。
ソフトウェアキーはその端末突破されたら終わりだから、絶対に突破されない
端末持ってるとかでない限りはやめておけ。
お前たちはなんでも携帯にやらせすぎだ。携帯一個落とせばお前らの全ては
簡単に丸裸になる。 2段階認証付きのフィッシングサイトあるぞ
騙されてクレデンシャルとか入れたらその瞬間に本家サービス側に不正ログインしてくる 仮になんもしてないのに抜かれてとするともっと被害出てるはずやから
気づかないうちにリンク踏んで自分で漏らしてるやろ 不正アクセスされてtないのに偽注文メールが来てログインさせようとしてくるあと詐欺被害が弁償される偽メールも来て3段構え 今使っているChrome拡張で尼と連携しているのはAmazonSeller FilterとKeepa
Keepaは問題ないがAmazonSeller Filterはストアから削除されてるじゃん
何か怪しいので拡張から削除しといた >>324
ありがとう
そういう意見すごい参考になる >>217
中華スマホにキーロガー的なものが最初から仕込まれてるとか
中国製スマートウォッチなんかのアプリ入れるとキーロガー的なものがスマホに入るとか
或いは、中華製のスマホやパソの周辺機器のドライバーにキーロガー的なものが仕込まれてインストールされる仕組み担ってるとか
日本が生意気なもんだから、中国さんが圧力掛けてやってんのかもな >>255のいうスキャン機能を使ってみたけどuBlock OriginとKeepaをインストールしたChromeで問題は検出されなかった 非表示にした注文が怪しいらしいので確認したら5年前にエネマグラ買ってた
それ以外に不審な点はなかった >>39
lineやべーよな
もう垢消してアンインスコしたわ >>243
世の中には低レベルのアホの方が多いんだよ Amazonそっくりサイトから登録確認のショートメールが来てたんだけどそれじゃないかな。 >>39
おまえがメアド&パスワードのペアを使い回ししてる馬鹿だからだろw 買い物するたびにクレカ情報入れたり消したりした方がいいの?🥺 Amazonを装った詐欺メールをクリックした馬鹿ってオチだろ 何人か言ってるけど被害が少ないからフィッシングとかに引っかかったんだろうね >>328
最近はハードウェアキー打ち切ってソフトウェアキー(アプリ)に移行しますってサービスが多過ぎなんだよなぁ
サービス提供側からしたらコスト削減になるしユーザー側も利便性上がるのは分かるんだが、セキュリティ的にはヤバいやろそれっていう 内部犯かなぁ
手口が分らないじゃなくて、分ってても公表できない
じゃないのかね🤣 まぁ、エミュ噛ましてこの辺の情報を使えば古アクセスできそうだな
やらんけど😂 >>352
yubikeyじゃね?
結局使うのはTOTPだからAuthenticator(RFC6238)と変らんが
セットアップキーが抜かれにくいメリットはある 最近はリアルタイムで詐欺サイトやってるんだってね
ワンタイムパスもそれで入手してるってニュースで見た 俺はフィッシングが一番怪しいと思ってる
まともな判断ができるであろうエリートの人の被害がないっぽいからな
フィッシングにあった直後に買われていないせいで、引っかかったことすら忘れてるんだと思う まず間違いなのは最初のパスワードは漏らしてる。大概フィッシングに気がついてない。2段階目はわからんけど1段階目を突破されないパスにしとくべき。 2段階認証にしてるから突破されたと騒いでるけどその前に1段階目を抜かれてるのが間抜け。 一つ目ぬかれるやつはそもそもメルアドも同じパスワードにしてそうだしな とりあえずアマだけでもパスワードをちょっと変えたわ あんまり2段階認証突破されたamazonが悪い!1段階目は漏らしてない!って大きな声で言うと恥ずかしいことになるかもしれんぞこれ。 >>362
数日前のスレで嫌儲にも被害者が何人かいたけど、全員IDとパスは使い回ししてたんだよな ○○○△△△っていう基準のIDやらパスワードを決めて
サイトごとに頭と尻に追加する
Amazonならa○○○△△△z
楽天ならr○○○△△△t
みたいな感じ
これなら忘れない いくら多段階の認証にしようがパスワードを複雑にしようが、今回のには効果がうすいんじゃないかな?
だって、よく分かっていない人は自らOTPも含めて犯人のサイトに入力しちゃうんだから・・・・
で、被害がでるまでに期間が開いてると、フィッシングサイトに引っかかった事実すら忘れちゃうんだろう マケプレと配送の雑さがクソ過ぎて日用品しか買ってないわ IDパス使い回しAmazonヘビーユーザーの者だけど震える 自分も被害にあったけど上で書かれてるCookie流失あたりが怪しいと思ってる
PCブラウザでログインしっぱなしだったし IDパスワード使い回しとか言われても古いものいちいち変えてられんわ サイトから直接入れって散々言われているのに、フィッシングが義メールから詐欺サイトに飛んで
自分で二段階まで入力しているアホがイルだけだろ
アホは放置でいいよもう
詐欺は犯罪だが、こんなのにひっかかるウルトラクルクルパーはもはや被害者ではなく共犯者 とりあえずアマゾンからクレカ情報削除してパスワード18桁で変更しといた cookieなんて抜かれようがないんだよなあ
隣に盗んだ奴座ってるぞってくらいありえない セッション情報を取ったところで、注文するには別にパスワードが要るからね
2段階で盗み出すなんて割りの合わないことをしてるとは思い難い 調査してんだろ
パソコンの大先生達は結果出るまで待っとけよ >>376
他人のクレカを登録されて不正利用されたとかいうめんどくさい事例もあったぞw X見てる感じ、被害者の中にはフィッシングサイトに引っかかってないと言い張って怒ってそうなのがいるからね
調査は難航するだろう >>378
絶対に引っ掛かってないって言い切れる人なんているんかね おれさまのかんがえたさいじゃくのてぐち(あたまのいいひとにはきかない)
検索エンジンやSNSからリアルタイム型フィッシングサイトに誘導
↓
自らログイン情報+2段階認証情報を犯人に与え、犯人はログインして潜伏
↓
フィッシングから月日が経ってから犯人が不正注文
↓
被害者
「俺はSEだからフィッシングサイトになんか引っかからねえ!怪しいメールを開いて押すやつとかバカな事するわけがねえ!」
「2段階認証突破されました!SMS着てません!フィッシングサイトにやられたとか決めつけるのホント頭悪い!」
「変なもんクリックしとらん仕事用の端末なのにヤラレタで!変なメールとか開かへんしゼッテー落ち度ねえわ!!!」 2段階認証ってもその都度コード変わる認証アプリにしとけよ どうせフィッシングサイトに引っ掛かった奴じゃないの? >>388
ありがとうございます。クレジットやd払い消去してこれからはコンビニ払いにすることにした。これで防御は完璧ですか? >>389
俺もそうした
事態が明らかになって対処法が判明するまで あとパスワードの再設定も
大小英数字と記号で16桁以上、パスワード生成器使って作って入れ替えること mateで誤タップすると勝手にアマゾン起動するのほんとイライラする
これ絶対個人情報抜かれてるだろ
広告フリーなtalkに移住するわ >>378
これね、極めて優秀なフィッシングは本人も気がついてないくらいらだからな。絶対釣られてる。 フィッシングではないとか言い張ってるけど思い込みだろ
0じゃないし漏れてる可能性は高い 被害報告を聞く限り今回のはフィッシングではないと思う。 >>395
1段階目を突破されてんだからパスワードは漏れてる。フィッシングなり簡単な総当たりなり使い回しなりで。
つまりそもそものセキュリティ意識がなかったってこと。
2段階認証があるから1段階目をおろそかにしていいなんてことはない。
そのPCにbotが入ってるかもしれんな、はたまた。 メアドもパスも通ったフリして手に入れてからOTPのフォームで二段階認証もゲット
その3つもって制限時間内に本サイトに流すだけじゃん
あらかじめ漏れてるとか関係なさ過ぎて草 被害者がここに現れてない時点でほんの一部が引っかかって騒いでいるんだろうなとも思う Xみてると、何々なようですとかのリポストばかりで本当に頻発してるのか? 偽サイトに誘導されてパスワードとか入力した情弱なアホが
全部アマゾンが悪いニダ!謝罪と賠償を要求するニダ!と騒いでいるだけだろ そもそも何で注文を非表示にするなんてコマンドが必要なんよ? >>403
被害者が、今回被害に遭う迄は自分も他の被害者に対してそう思ってたと言ってるね。 二段階認証突破されてるなら流出とかじゃなくてスパイウェアとかだろ >>5
これわりとまじで引っかかりそうになる
メーラーが最近弾いてくれるからいいけど 三重県鈴鹿市の北川由季さん
大阪府枚方市の森幸恵さん
静岡県伊東市の中丸由美子さん
神奈川県横浜市の川野俊博さん
他は実在するのか さっきSMSにAmazonを騙るメールが来てたよ
お支払い情報についての確認とかいうアホメール
速攻で削除して終了 このAmazonの件が、
内部犯行でもフィッシングでもないとしたら、
これはもうダメかも分からんね
というレベルになるかも フィッシングの線が濃厚だけど、引っかかった人は認めないだろうからな
普段ならアマゾンが泥をかぶって保証して終わるんだろうが、今回はニュースになっちゃって他の客が不安に思うだろうからね
Amazonもどこに着地させるのがいいか難しいだろうな 今ブラウザからアマゾンのページ表示するだけでも文字認証求められるんだけど
この事件が原因かな
さっさとアナウンスしろよ >>4
一応きちんと返金してるのは好感だ
サイト体制も万全にするため金かける
被害も返金で対応する
まあ当然のことだな
それができてない悪徳会社もある
ま、さすが最大手 どうせフィッシングとバカにしてるけど
お前らだってフィッシングにかかる可能性あるんだけど? 今ってグーグル検索して一番上に来るサイトが偽物とかだからね
しかも広告だと分かりづらい変更したから被害者増えすぎた >>378
こういう犯罪ってどんどん進化して巧妙になっていくからなかなか難しい問題だね
孫を装ったオレオレ詐欺に引っかかった老人が目の前にいる孫本人があれは詐欺だったと言っても自分は騙さたんじゃないと言う事例とかあることだし… 銀行でもネットバンキングがどんどん普及してきてるから怖いわ
このAmazonの事例と同じようなことが起きたらどうなっちゃうのかしら?
安易に補償すれぼいいってもんじゃないしなぁ 2段階認証が突破されるならオンラインバンクはもう安全性を担保できなくなる
社会システムが混乱する フィッシングサイトに引っかかったとして、SMS認証は突破されるか? >>426
フィッシングサイト側が本物のAmazonにログイン試行すれば被害者にSMS飛ぶじゃん
被害者はフィッシングとは思ってないからSMSで送られてきたトークンをフィッシングサイト入力するじゃん
そのトークンを使ってフィッシングサイト側はログイン完了
その瞬間にギフト券買いまくり 検索結果からホームページに行くときは金が絡む系のやつはURLを見て不審なところがないかチェックしてから行ってる フィッシングのメルアドに天安門って書いて送り返したらどうなる? みんな2段階認証って言葉使ってるけど
本当はアプリが問い合わせるだけの事を指してるのでは? ・パスワードはサイトごとに変える
・パスワードはランダム英数記号を自動生成する
・パスワードは自分の頭の中に記憶しない
・パスワードはブラウザに記憶させる
・パスワードは手入力は絶対にせずにブラウザに入力させる
とりあえずこれやっておけばフィッシングサイトにアクセスしてもドメインが違うため1段目のパスワード入力ができないから安心 二段階が突破されるとか本当なら致命的すぎるし考えられない
ユーザーが自分でフィッシングにハマってるだけでは? >>423
フィッシングに引っかかった奴らも
「自分は騙されない!」と言ってる
お前らと同じじゃん >>414
繰り返しアクセスしてるとそうなるね
ip変えれば大丈夫よ >>432
パソコンごと盗まれたらブラウザ記憶のパスワードは全部盗られる
盗んだパソコンのPIN変更して再起動できるソフトも市販されてるし
パスワードマネージャに記録してクラウド保存、マスターパスワードのみ自分で記録しとく方が良い 商品名や型番等でググって、出てきたAmazonの商品ページから買う癖をつけてると危ないよな
明日は我が身と思って気をつけないと・・・・ >>434
各種サイトにPC でしかログインしなくて
メールはスマホでしか見てない >>427
今回は、そもそも被害者にSMS送られてないんだが。送られないまま犯人に購入されてるんだよ。 >>436
マイクロソフトアカウントに別のPCから盗まれましたと報告したらロックしてくれないの? アクセス履歴表示作れば確認できるのに
注文履歴は有るけどギフト券買われたらわからないよな これだけデカいECサイトなのにアクセス履歴を導入しないってどういうつもりなんだろうな
最終ログイン日時すらない >>436
Chrome限定の話ですまないがオンデバイス暗号化という方法もある
これなら暗号化しているからディスクの中身を見られても問題ないしChrome標準機能のため多くの人に使ってもらえる
この暗号化はデータはローカルにあり外部に秘密鍵がある 被害者って中国のマケプレ使った人が多いんじゃないの? >>445
これか
ttps://twitter.com/fireroadster/status/1701861812898288119
確かにここでフィッシング引っかかってそう
https://twitter.com/5chan_nel (5ch newer account) >>446
もしくは不正なブラウザ拡張とかかもね
今までは普通の拡張だったのに買収されて悪意のある機能が追加されたりとか >>449
うーん分からんねw
Amazonが不正検知したならアカウントはロックする気がするけどユーザー側の操作(パスワードリセットとSMS)で解除できるんだ?
そんな不正検知になんの意味があるんだ… 丸ごと乗っ取ってるんだからログインなんかしないだろ パス変えても意味ないぞ >>449
これ普通に「あなたのアカウント乗っ取られたので(嘘)パスワードとか入力して」云々ていう典型的なやつに騙されて入力しちゃってるだけじゃないの? >>445
それは最初にSMSが送られてきたのではなくて、自分がAmazonに入ろうとしたら既にロックがかかってたって話でしょ。Amazonが既に不正を検知して自動キャンセルしてたから、それに付随するロックでしょ。 まだスレ残ってたか
クレカ登録したままだけど、まだ乗っ取りはねえな
一応パスワードは変えたけど クレカや金発生するサイトはブラウザ記憶やめとけよ
紙に書いとけ クレカ登録してるけど、末尾4桁しか表示されてないからな
買うときは手動入力。
二段階認証突破されてもアマギフの残高で買い物されるくらいだろう~
フィッシングサイトに誘導されてる連中は論外。 フィッシングじゃなくてセッションハイジャックって見かけるけどどうなんだろうな
対策がクレカ削除しかない >>459
被害が継続してないところを見るとそこまで高度なことしてないんじゃないかな。 嘘だろ履歴見たら知らない間にエロ漫画や美少女フィギュアが大量に購入されてるんだが アマゾン騙った詐欺メールたまに来るからそれじゃないの? >>128
リプライの中にウイルス説あるのが一番気になったところ 結局今のところアマゾン登録クレカ情報は全て削除が唯一の防護策か ■ このスレッドは過去ログ倉庫に格納されています