Skypeアカウントがハッキングされ、合わせて5,000ドルが友達から巻き上げられた話

あるユーザーのSkypeアカウントがハッキングされ、そのユーザーの友人たちが5,000ドルを騙し取られました。助けを求めても、Skypeのサポートも、銀行も、警察もまったく頼りになりません。

skype-fraud-story

注: この記事の著者セルゲイ・ドーリャSergey Dolya)氏は、ロシアの人気ブロガーです。今回紹介するのは、同氏の友人が巻き込まれた話です。被害に遭ったカティア・トゥルツェワ(Katya Turtseva)さんは、国際的なIT企業で重要な役職に就いている人物でした。つまり、今回の詐欺事件の被害者には多少なりともセキュリティの知識があったということです。

先日、私の友人のSkypeアカウントがハッキングされました。詐欺師たちは、彼女の連絡先リストに登録されている人たちからお金を騙し取ることにしました。そしてなんと、たった1時間で100,000ルーブル(約1,500ドル)以上を盗んだのです!

この詐欺師たちにとって都合の良いことに、連絡先リストには大勢の人が登録されていました。その数およそ300人。彼らは、この人たちから15,000ルーブル(約250ドル)という少なめの金額を「明日まで」借りることにしました。実は、ロシアの大手決済システムYandex Moneyで一度に送金できる上限額が15,000ルーブルなのです。

手口は単純で、カティアさんになりすました犯罪者が、「オンラインショップで買いたいものがあるけど、Yandex Moneyアカウントにお金がない」と友人に持ちかけます。このやり方は信憑性がありました。多くの友人がカティアさん本人と会話していると信じ込み、電話もせずにお金を送ることにしたのです。中には2回送金した人までいるくらいです。

詐欺師(F)と被害者の友人(V)の会話は、こんな具合でした:

F: じゃあ、はっきり言うわ。助けてほしいの。
V: どうしたの?言ってみて。あと、写真を送ってよ。
F: お金を貸してくれない?明日返すから。
V: いくら?口座にある額で足りれば送るけど。
F: 15,000ルーブル。
V: いいよ。どこに送ればいい?
F: ありがとう。
V: 送金方法は?
F: カード払いなんだけど、私の口座は空っぽなの。払ってくれる?
V: もちろん。
F: http.yandex…. (支払いページへのリンク)
V: 送金先の銀行口座を教えて。
F: ねえ!聞いてるの?
V: 子供のおむつを取り替えてたの。
F: あらら。ここにお願い。(詐欺師の口座の番号)
V: 明細書の写真を撮っておくわ。バーニャを寝かさないと。泣いてるの。
F: わかった、オンラインでいるね。
V: OK。
F: ねえ、レナ、ちょっと考えたんだけど。あと15,000ルーブルないかしら?なくてもいいのよ。もう十分助けてもらったし。でも貸してくれたら、明日30,000ルーブル返すし、私の自腹で手数料を払うわ。

skype01

すべてが明らかになったとき、解決の手立てはほとんどありませんでした。

Skypeのサポートサービスとのやり取りには数日かかりました。担当者は24時間以上かけてようやく、何が起きたか理解してくれました。カティアさんのアカウントがハッキングされたとわかると、パスワードリセットフォームへのリンクを送ってきました。登録したメールアドレスは犯罪者に変更されてしまったとカティアさんが説明済みだというのに、完全に無視しているのです。

次に、サポートサービスは確認フォームに入力するように言いました(2回もです)。この詐欺が始まってから3日目のことです。そして、詐欺師たちはこのときもまだ、カティアさんの連絡先リストを利用して、しつこくお金の無心を続けていました。サポートサービスは状況を徹底的に調べ上げるまで、アカウントのブロックに応じてくれなかったのです。

最終的に、カティアさんは確認フォームの質問に正しく答えることができたのですが、ただ1つ、Skypeアカウントの作成日だけはわかりませんでした。状況があまりに複雑過ぎると判断したサポートサービスは、なんと別のアカウントを作成するように勧めてきたのです!そのころには、詐欺師たちは約5,000ドルを盗んでいました。

その一方で、カティアさんの友人の1人は払い戻しを受けようとしていました。彼女はカードの利用停止手続きをして、支払いを取り消すよう銀行に求めました。銀行は彼女の訴えを正式に認め、これまで取引したことがない店舗であることを確認し、最寄りの警察署に申し立てを行うように勧めました。銀行が調査を始めるには、その申立書のコピーが必要なのだそうです。

しかし、警察に行ったものの、また銀行に逆戻りになりました。膨大な数の書類を揃える上に、調査を開始したという銀行の証明書が必要だというのです。この時点で警察と銀行を何度も行き来しました。地方の警察署だったので、こういった詐欺事件を扱った経験がまったくなかったのです。カティアさんの友人は警察署で、モスクワの本庁に掛け合った方がいい、と言われました。

友人はその後、もう一度銀行に電話しました。カードは利用停止になり、送金も凍結されていましたが、それも店側からの請求があるまでです。実際に調査が始まれば、店側は自分の取引銀行に返金を求めるでしょう。この問題をうまく解決できる見込みは、限りなく低そうです。

詐欺師に直接連絡を取ろうとした人もいます。詐欺師たちは、この件に関して警察は何もできないと踏んでいました。彼らはSkypeのセキュリティポリシーが絡んだときのロシアの法制度の穴を、はっきりと認識していたのです。

— 君たち、質問に答えてくれないか。チャットでいいから。
— うるさいぞ、邪魔するな。
— そう言うなよ。知りたいんだ。カティアが言うには、もう100,000ルーブル集めたそうじゃないか。
— 警察に行ったそうだな。まあ、どうにもならないだろうが…。俺の素性はわかるまい。
— 僕とチャットしても君の素性はわからないと思うよ。
— 本当にうるさいやつだ。
skype03

こういったケースでの対策は、アカウントの守りを固める以外にないようです。そのためのヒントをいくつか紹介しましょう。

  • 最も効果的で当たり前のことながら、無視されがちなルールは、信頼性の高いパスワードを利用することです。誰もがわかっているはずなのに、まだ軽率な人を多く見かけます。
  • 同じパスワードを他のアカウントで使い回さないでください。1つのWebサービスから情報が漏えいしただけで、すべてのアカウントを失ってしまうかもしれません。
  • 2段階認証を利用してアカウントを保護しましょう。SMSかメールで短いコードが送られてくるので、これを2つめのパスワードとして使います。
  • 怪しいリンクはクリックしないでください。Web上にはデータを盗もうとするページがたくさんあります。いわゆる「フィッシング」です。また、知らない人からのメールやメッセージには返信しないようにしましょう。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?