昨日はメルマガとnoteの日でした。ブロゴスのみ間違えて火曜に配信してしまいました。ww
1 ExcelのためにMacからWindowsに乗り換えるべき?
2 オリジナル商品のEC販売戦略について
3 シニア向けマンツーマントレーニングの可能性はある?
4 FXサイトのマネタイズについて相談
5 「逃げ恥」が新聞4紙へ広告出稿の意味とは
6 今後、行政書士に将来性はあるか
です。まぐまぐ!またはBLOGOS、スマホで読む方はnoteでお買い上げいただけます。関係ないですがついでにInstagramもフォローしていただけると喜びます。コメントは日本語でいいですよ〜
さて、Amazonのマーケットプレイスに大量の詐欺が発生してから1週間。だいぶん減りましたがいまだに残っています。
緊急警報】Amazonで世界規模の大中華詐欺が勃発中!! 被害者にならないために
いまだに続くAmazonマーケットプレイス中華詐欺は、もしかして米企業に対するテロではないかと思うなり
本日現在、デジタルものからこういう地味なものに移ってきていて、主婦が買ってしまいそう。
他とあまりに安い価格は100%詐欺
せどりさんが乗っ取られています。
↓この自己紹介がテンプレートなので、これで見分けられます。
実際にマーケットプレイスのアカウントを乗っ取られて1000本のクレームメールが来ているIさんが現状を語ってくれました。海外にいて対応が遅れたそうな。
・4月24日18:11 Amazonから言語を英語に変えたとの通知。
・4月25日10:34 メルアドとパスワードを変更される → ログインできなくなる ただし通販法表示のアドレスは昔のまま
・4月30日、アマゾンにログインできないことから、アマゾン用のメールアドレスに大量のメールが来ていること見て、事態を知る。私のマーケットプレイスでの取引実績としては、2013年を最後に過去十数件程度で、ほとんどが書籍。本名、住所もさらされる。電話番号は不幸中の幸いにより、現在は使っていない番号
・4月30日の昼頃、アマゾンに電話したところ、「12時間以内に回答をする。ログインできるようにする」と返答(担当者不明)
5/3になり、やっとログインできるようになった。なんと24日の一日で4万点も出品されてたそうです。やってるの人間じゃないからね。売れたのは1006点。売れたのは4月25日だけなので、4月25日10:34にパスワードを変更してログインできなくしたのはAmazonかもです。
そしてログインしたらそこには驚くべき記載が。
Amazonは売れてから2週間後に振り込みのはずなのに、1日後に振り込まれている。月24日までのトランザクションを確認したところ、注文は入っていないようです。つまり、4月25日1日に集中したのに26日には振り込まれているわけです。2週間ルールはどうなっているのか。
24日まで売り上げ0。25日一日で1006点。26日には0
恐ろしいのは・・・
Amazonから2577589円がIさんに請求されることになっております。
-5月3日4:21にアマゾンから来たメールに以下の通知
「Amazon.co.jpは、購入者からの保証申請を承認しました。担当部署での調査により、出品者様側に責任があるとの結論に達したため、出品者様のアカウントから返金金額を差し引かせていただきました。ご了承ください」
つまり「使い回しのパスワードで2段階認証も設定しないで放置していた出店者に責任があるので、損害分は請求するよ」に見えますが、どうなんでしょうか。IさんはAmazonに質問して回答待ちだそうです・・・・
他に乗っ取られた出店者にも多額の請求が来たら、これは社会問題になりますわ。Amazonが2週間ルールを破って振り込みしたのが悪いっていうしかない。ココなぜなのか、誰か解明してください。
全く怖いです。
二週間ルールについては締め日が定期的に決まっているのでこのセラーさんはたまたま乗っ取られた次の日が締め日だったのかと思われ。 https://t.co/ggQeOlag5D
— ソンク@運呼運呼! (@LThorndike_2) 2017年5月4日
だそうです。
追記 5/4にAmazonから回答。「カスタマーサービスから連絡があり、250万円の請求については支払う必要はないと、電話口では言われました。ただ、また例によって担当部署が違うようなので、そちらから改めてメールで返答をするとのこと。」
払わなくて良いそうです。良かった!
これが弱小のモールならこんなわけにはいかんわ
目次
どうやって侵入するのか、実は簡単なのだ
やり方は実は簡単です。いろいろなサービスからIDとパスが流出したと報道がされていますが、そのリストがアンダーグラウンドで売買されています。もちろんパスワードは不可逆性のはずだが、やり方によっては時間を掛けて高性能のコンピュータをぶん回せば元に戻せるものもある。それを平文にしたうえで売買されるわけです。これがLINEの乗っ取りにも使われたのです。
1 総当たりでID(メルアド)とパスワードで当て込む
2 ログインできたもののうち、使えるものから使う
みたいな感じ。つまりログインできたものからマーケットプレイスに出店しているアカウントを乗っ取ったのです。ここで分かると思いますが
以下の条件のあなたのAmazonアカウントも不正ログインされた可能性大
ということです。Amazonのアカウントは「購入」「出品」「アソシエイト(アフィリエイト)」と紐付いているので、ログインできればすべてにアクセスできます。
ではどういう方が不正ログインされているのか。
使い回しのパスワードなら100%やられている
仮にいままで流出したサービスと同じメルアドとパスワードでAmazonで買い物をしていたら、あなたのアカウントは間違いなく不正アクセスされているものと思われます。今回はたまたまマーケットプレイスに出店しているアカウントが乗っ取られましたが、そうでない人もすべて総当たりで不正アクセスされたはずです。
わたしは2月にこのエントリーを書きましたが
@Isseki3 今更ですが、おそらく乗っ取り始まったの3月頭からだと思います。2月22日に二段階認証設定したんですが、3月9日から誰かがログインしようとした模様。酷い日は1日5回以上アクセスありました。今思えばこれはマケプレ詐欺のためだったんですね。二段階認証しといて良かったー。 pic.twitter.com/LaFFYurKMS
— 川上城三郎(かおるや) (@sumahokaoruya) 2017年5月4日
このときにすかさず2段階認証していれば、使い回しのパスワードでも不正アクセスはされなかった望みがあります。で、不正ログインされたということは
あなたの名前、住所、電話そして注目履歴が全部抜かれた
ということになります。これはAmazonの問題と言うよりパスワードを使い回していて2段階認証もしていなかったのが悪いのです。同じIDとパスを使っている他のサービスもすべて同時に不正ログインされていると考えるのが順当です。人間がやるわけじゃないので一瞬で物凄い数を総当たりできます。とりあえず今はAmazonのマーケットプレイスですが、コレが終わったら次々来ますよ。
どんな被害が考えられるか
まず、Amazonの場合、登録してある住所以外に送ろうとすると、カードナンバーの再入力が求められますので、ものを買って他に送って転売ができません。ここが楽天と違います。しかし
メールタイプのamazonギフト券を購入
メルカリやヤフオク!で出品
最短4日で売り上げが振り込まれる
ということは可能です。LINEの乗っ取りのときもAmazonのギフト券を買って番号教えてだったでしょう?
メールアドレスを変更してもクレジット情報の再入力はなく、メールアドレスの変更通知は届きますが、注文確認メールは届かないので勝手に注文されても分かりません。メルアドの変更通知を見逃すとなにをされているかわかりません。
次に、あなたの個人情報が抜かれていればリスト化されて売買されます。名前、住所、電話、メルアド、パスワード、すべてセットですのでいろいろ使い手があるので結構高く売れます。数年間は詐欺の勧誘には注意した方がいいと思いますよ。
パスワードを使い回す人はほかでもやるわけで、次はリテラシー低い女子満載のメルカリあたりを狙うんじゃないでしょうか。メルカリは登録も簡単で2段階認証もないから(楽天もそうだがリテラシー低いユーザーが多いと理解できずにログインできないのクレームが多すぎるからだと思う)、他人のアカウントに侵入して振込口座を変更して2万点くらい激安商品を出品して逃げる。
楽天市場も出店者のメルアドとパスワードが使い回しなら、次のターゲットでやられるかもしれない。
Amazonでアフィリエイトやってるかた
使い回しのパスワードで2段階認証しないでAmazonのアソシエイトでアフィリエイトやってたかた。いますぐログインして自分の口座が書き換えられていないかチェックしましょう。これがハッカーにとっていちばん簡単にできる換金方法。しらないうちにずっと他人のために頑張ってブログ書いてる羽目になります。
ちなみに前出のIさんはアソシエイトの口座はまだ書き換えられていなかったそうな。マーケットプレイス用の口座は空欄になっていて、Amazonが消したのか、察知された犯人が口座凍結されないように消したのかは不明です。
先月末分、アソシエイトの口座情報が(ここ数ヶ月成果部分しか開いてない)抜けていて振込失敗になりました。-【警報】コレは始まりにすぎない。Amazonの出店者のアカウント乗っとりは他人事ではなく、次はあなたかも。 https://t.co/JfiFCHshbR @Isseki3から
— 鈴木章史 (@SuzukiAkifumi) 2017年5月4日
口座情報が消されていた?
クーロンが書き換えに失敗したか、Amazonが侵入に気づいて口座を消した可能性も・・・
アソシエイトはお金ではなくてギフト券と引き替えにしてメールで受け取るのに変更されると見破れないね
アカウント作って放置していると危ない
いずれにせよ。こういう攻撃は一度にはやらないのです。LINEの時も不正ログインができるか確認した後で、半年後くらいから本格的にはじまったそうです。一度にやるとむこうも手間暇が大変だから、時々クーロン(巡回プログラム)が回ってきてパスワードを変更していないか確認し、してない人たちを狙うわけですよ。
また、この攻撃方法が世界中の犯罪者に知れ渡りました。裏社会ではメルアドとパスワードの組み合わせが買えるらしいので、一斉に同じ事をし出すでしょう。
ショッピングサイトやモールの出店者アカウントに侵入
↓
アカウントの振り込み先を変更
↓
適当な安い商品を何万点も出品
↓
口座に振り込ませてあとは逃げる
です。Amazonならまだ技術力もあるし人間もいるので対応は遅まきながらもしましたが、これを零細のモールや単独のショップでやられたら、まともな対応ができると思えず、莫大な損害は自分で負わないとなりません。メルアドも変えられているので売れたことにも気づかない。届かない客が騒ぎ出した頃には破産ということもありえますよ。無料のショップサービスでネットショップだしたけど売れないから放置とかありえない。パスワードの使い回しは厳禁だし、使わないのは削除する。Yahoo!に2段階認証しないでYahoo!ショッピングとかヤフオク!に口座開設してるのは危ない。
やられてから、わたしは知りませんと言っても通用しないよ。管理する責任があるんだから騙された人たちから「金返せ」とガンガンにクレームが来ますし、場合によっては訴えられます。
Amazonから抜かれた個人情報使って中華詐欺ストアが開設されるのも近いでしょうが、こちらはまだクレームが殺到しても自分がやったわけじゃないから賠償責任はない。しかし、ずっと放置していたオークションに侵入されて同じ事をされれば、あなたのアカウントで行われたわけだからも管理責任はあり、賠償には応じないといけないでしょう。
これから多発しますよ、同様の犯罪・・・・と予告しておきますからいいですね!
5月になってKindleの月替わりセールに手塚治虫のこの名作が登場。思わず反射買い
