JR東日本の「えきねっと」。
勝手に新幹線の切符が買われた、との被害の声がネットで上がっています。
今回のメルマガではこちらについて見ていきましょう。
何が起きている?
詐欺者により、被害者のクレジットカードが使い、新幹線の切符を購入。
クレジットカードからも引き落としされた、というお話です。
切符はおそらく金券ショップ等で現金化されていることでしょう。
手法としては(おそらく)以下。
1. フィッシングメール等をきっかけに、えきねっとのログイン情報を取得
2. えきねっとにログインし、登録済のクレジットカードで注文、発券
上記記事にある方は「カード不正利用」の扱いとなりカード会社負担となったそうですが、そのための対応時間はバカになりませんよね・・・
対処法は?
えきねっとにクレジットカードを保存していると被害に合う可能性があると考えられます。
そのため、カード情報を消しておけばこの件のリスクはほぼなくなると考えられます。
カード情報は会員ページから簡単に削除できます。
不安な方は削除しておきましょう。
頻繁に購入される方は利便性が下がりますが・・・仕方がありません。
※私も削除しました。
システムどうなってるの?
正しいID・パスワードでログインされているので、システム側としては対処が難しいものです。
しかし、決済機能も持ち、多くのユーザがいて、少額ではない金額のサービス・・・
「ログインできれば買えてしまう」というのは、設計としてあまりにお粗末だと感じます。
(古いシステムでしょうから、時代に追いつけていない、が正しいでしょうか)
・二段階認証の設定はない(できない)
・パスワードも「記号を除く半角・英数字混在(6〜12文字)」
・注文時にセキュリティコード入力などの確認もない
リスクを軽減するためのシステム対策はいくらでもあります。
うがった見方をすると、被害があってもJR東日本側は儲かります。
そのため・・・(以下、略)
私にも「えきねっと」の名前を騙るフィッシングメールがやたらと届きます。
しかも長期間に渡って、届き続けています。
それは、(詐欺者にとって)非常にコスパが高いからかもしれません。
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
