今朝、朝食を食べていたところ、スマホのSMSにヨドバシのクレジットカード(VISA)の認証コードが届きまして、77,660円という身に覚えのない決済だったことから、速攻カードを無効化してもらいました。
通常の窓口は朝9:30からしか開いていないのですが、「紛失・盗難」窓口に連絡したところ、「それはカードを止めるべき事案です」と言われ、その場でカード停止、再発行依頼をしました。
そんなに怪しいサイトで使っているクレカではないので情報が流出したとは考えにくい。昼過ぎに通常の窓口に連絡して、「どこから決済がかけられたか調べられないか?」と尋ねたところ調べてくれて、ネット通販の「セカンドストリート」とのことでした。私はセカストで買い物をしたことがない(リアル、ネットとも)ので、カード会社曰く、「最近増えている総番号アタックと思われる」とのことでした。
詳細を自分で調べたところ、SMSが飛んでくるまでには「16桁のカード番号」「有効期限」「CVC」をマッチングさせなければなりませんが、仮に「16桁のカード番号」だけ流出していたとすると、残りの「有効期限」と「CVC」だけマッチングさせれば良く、5万回ほどアタックをかければ番号をヒットさせることが可能なようです。「氏名」はSMSを飛ばすためのマッチングには含めないようです。
しかし同じパソコンから5万回もアタックをかければクレジットカード会社からの不正利用検知が働いてしまうので、そうならないように無数の「botに感染したパソコン」をリモート操作して行うのだとか。
こうなってくるともはや交通事故と同じで一定確率で避けようがないので、今回のように「SMS認証」とか「利用のリアルタイム通知をONにする」とかして気を張っているしかないですね。
コメント