現在地 HOME > 掲示板
> Ψ空耳の丘Ψ33 > 906.html
★阿修羅♪
|
現在地 HOME > 掲示板
> Ψ空耳の丘Ψ33 > 906.html
★阿修羅♪
|
|
| Tweet |
クレジットカード決済のセキュリティの問題点
http://www.gm2000.co.jp/netfuan/anzen.html
http://www.mohachi.net/card.htm
これが彼らの24時間――コンピュータ犯罪者日記(1)
2人のコンピュータ犯罪者の日記を紹介する。これは,クレジットカード詐欺と戦うオンライン
販売業者のためのサイトが,わざわざ謝礼を払って犯罪者に記録を依頼したもの。
【米国記事】 2001年4月4日 00:46 PM 更新
コンピュータ犯罪者は,寝室から一歩も外に出ることなく,6桁の“年俸”を稼ぎ出すという。
コンピュータを“無料”で手に入れて,際限なく利用できるメール受信箱を使ってカモをおび
き寄せる。クレジットカードの番号は,偽のアダルトサイトから探り出す(“phish”)方法もあ
れば,「画像を送りました」と言って,AOLのユーザー名とパスワードを聞き出す巧妙なメー
ルを使った方法もある。
コンピュータ犯罪者は毎日,どんな生活をしているのだろう? ここでは,2人のコンピュータ
犯罪者の日記を紹介する。彼らは,どのような方法でシステムを操り,どのような手口でうま
い汁を吸っているのか。 セキュリティの専門家によると,日常的に発生しているコンピュータ
攻撃の大部分は,ちょっと知恵のあるティーンエイジャー「スクリプトキディ」と呼ばれる若者
たちによって考え出されている。
こうした若者たちの多くは,Webページのコンテンツを数回書き換えるといった程度の悪さを
するだけだ。こうした悪さは,仮想世界における,一時的な無害の落書きのようなもの。中
には、「こうした好奇心旺盛なコンピュータキッズは犯罪者とは呼べない」との意見もある
ほどだ。
しかし,コンピュータのアンダーグラウンド,つまり“詐欺師”と呼ばれるような犯罪者たちを
見落としてはならない。彼らにとっては,匿名のメールアドレス,クレジットカード番号,無知
なインターネットユーザーは,いずれも犯罪行為の原料だ。中には,各種の詐欺行為を働く
だけで,1日に数千ドルを稼いでいるという輩もいる。
コンピュータセキュリティの専門家にとっては,こうした犯罪者の人物像や,彼らが何を企ん
でいるのかを理解することが重要な仕事となる。
AdCops.com社長のDan Clements氏は,この“汝の敵を知れ”という信条を実践している。
Clements氏は,クレジットカードを使った詐欺行為と戦うインターネット販売業者を支援すべ
く、2年前にAdCops.comを始動した。 「頼れる存在はほかには何もなかった」とClements氏。
同氏は、販売業者が悲惨な体験談を交換し合ったり,自社サイトでの盗難事件について
率直に話し合ったりできるようなコミュニティの形成を目指した。
その後,インターネットでは,詐欺行為やクレジットカード番号の盗難事件が蔓延している。
Clements氏のサイトにも非常に多くの体験談が集まり,同氏は結局,このサイトを仮想資料
館「Fraud Museum」に変更している。 この資料館には,AOLのパスワード窃盗の手口や,
インターネットアカウントを盗むための偽のWebページなどがリストされている。
また,メール受信箱には,クレジットカード番号を詐欺師に漏らしてしまった被害者からの
何百件ものメールが溢れている。
このサイトの役割を強化し,販売業者が汝の敵を知るための手助けとなるべく,Clements氏
は最近,2人のコンピュータ犯罪者に謝礼を支払い,日常生活の記録を付けてもらった。
「詐欺行為に関する最新の情報を得るために,われわれは彼らに謝礼金を支払っている。
これを読まないことには,コンピュータ犯罪を完全に理解できたとは言えない。ショッキング
な内容だ」とClements氏は語っている。
以下に,彼らの日誌の一部を抜粋する。
(カッコ内は編集者の注釈。コンピュータ犯罪者には自らの成功を誇張するきらいがある
点をお忘れなく。)
犯罪者 その1
11:00 a.m.
チェッ! こんな早くに目が覚めた。カードで手に入れた(盗んだクレジットカードで購入した)
ラップトップがベッドに乗っている。これで,ベッドから起き上がらずとも稼げるということか...。
そういえば昨夜,Efnet(インターネットのチャットルーム)の誰だかが,俺の生活を日記に
付けて、それを.doc形式にしてメールで送れば,WesternUnion経由で250ドルを支払う、って
言ってきてたな。FBIの捜査官ってほど頭の良さそうな奴じゃなかった。まぁ,たとえそうだっ
たとしても,俺のことを追跡はできないだろうから構わないけど……。
11:01 a.m.
さっそくwww.westernion.comをチェックしてみたら,彼の話は嘘じゃなかったらしい。250ドル
はもう送金されていた。問い合わせ番号は教えてもらってある。IDなしでも俺が金を引き出
せるよう現金で支払ってあった。照合用の質問は「あなたの母親の旧姓は?」で,返答は
「tumadre(おまえの母ちゃん)」だった。俺は,Western Unionの担当者に「tu madre」と言う
だけでいい。そうすれば,お金を貰えるはずだ。WesternUnionの店舗を順繰りに回って,
ガソリンスタンドの併設店舗に行くようにしよう。それなら監視カメラもないからな。レーマー
(潜在的な犠牲者)のメールアカウントから搾取した収穫をチェックしよう。 ちくしょう!
Yahoo!の受信箱が無効になってる。もう1つ受信箱を作らなきゃならなくなった。Yahoo!の
メールアカウント10件を30秒で作成できるスクリプトを入手したから,それほど手間はかか
らなかったけど。受信箱を10個作ったから,これで1週間は大丈夫。うまくいけば,2週間は
使えるかも。
11:03 a.m.
追跡不可能な「NetZero」アカウントを使って,新しいYahoo!アカウントの1つを開く。心配だ
から,Yahoo!アカウントには,www.anonymizer.comを使ってアクセスする。誰か,俺のIP
(インターネットアドレス)を突き止めようとしているだろうか。FBIをねじ込めなければ。奴ら
はのろくさいから,そこまでは俺を追跡できまい。それに,刑事訴訟法第67条により,奴ら
には召喚状が必要だし,俺に接近するには徹底的な追跡が必要だ。それまでには,俺も
新しい番号を持っているだろう。くそっ,俺は2〜3カ月に1回は電話回線をくまなく調べてい
る。心配でたまらないときは,「Anonymizer」を飛ばして,「Wingate」を使う。そうすればFBI
は,俺ではなくて,レーマーの誰かの自宅にあるコンピュータを追跡することになるだろう。
大笑いさ! 基本的には,Wingateを使えば,奴らは俺を絶対に追跡できない! もっと
Wingateを使うようにしよう。;( ちくしょう、俺もFBIみたいに無精になってきたな。ハハハ!
これが彼らの24時間――コンピュータ犯罪者日記(2)
【米国記事】 2001年4月4日 00:46 PM 更新
11:08 a.m
ああ。.ruサイトのMaLad0ckの奴が,俺にフィッシュ(盗んだメールとアカウント情報と潜在
的な犠牲者の一揃い)を50個譲ると約束してきた。彼には100ドル支払う。ただし,現金で
は払わない。 追跡されやすいからだ。彼だって,信用はできない。彼には1年前ほどに
efnetで知り合ったが,FBIの可能性だってある。彼にはPaypalサイトで支払おう。先に彼
にデータを送ってもらわないと……。ロシア人は信用するな,だ。:)
11:18 a.m.
よしよし。無料ホスト(名前は削除)に置いておいた「画像を送りました」の詐欺ページは
打ち切り(サービス違反で停止させられる)になっていない。これで手間が省ける。ああ,
すばらしい。彼ら(名前は削除)は「スパムしてくれ」と懇願しているようなものだ。まった
く大笑いだ。あそこの管理者は,時には俺の詐欺ページを数週間もそのまま放置してお
いてくれる。
ほとんどの無料サイトは,朝,真っ先にabuse@theirsite.comをチェックして,誰がスパミング
しているかを確認する。こうした奴らは,それをしていないのだ。ついでながら(名前は削除)
サイトはそうしている。どの無料サイトのチェックが甘いかを,ここで漏らすつもりはない。
それは期待しないほうがいい。俺は,西海岸の無料サーバを使うのが好きだ。西海岸は東
海岸よりも3時間遅れているから,管理者は東部時間の12時正午までは,サイトをチェック
しない。 おかげで,俺は時間を稼いで,9時〜5時勤務のレーマーたちが自分のメールを
チェックするように仕向けて,俺の罠にはめられるというわけだ。
11:38 a.m.
くそ! AOLの会員ディレクトリからメールアドレスをひったくるのを忘れてた。ちくしょう,
朝食も食べなければ。もうすぐ正午だ。ブランチってことか? もう,これで3日間,外に出
ていない。まったく,やることが多すぎる。携帯電話で何かデリバリーを注文しよう。でも,
料金なんて支払わない。ハハハ! フリーキング(電話回線を不正に利用する)すれば大
丈夫だから。
11:40 a.m.
よし,もうすぐピザが届くはずだ。ネットワークでコンピュータを設定して,スパムできるよ
う,AOLメンバーのメールアドレスを集めよう。AOLには感謝,感謝だ。そう,少なくとも,
AOLのメンバーには感謝してる。何しろ,俺は彼らの愚かさのおかげで儲けてるのだから。
0:41 p.m.
よし。1万2000人のAOLメンバーをゲットできた。フィッシング(スパミング)の時間だ!
「画像を送りまし た。ここをクリックしてください」とかいうメッセージでも送り付けよう。
もちろん,クリックすれば,俺の無料サイトの詐欺ページにつながる。そこで,ログイン名
とパスワードを入力するように言うだけでいい。
3:30 p.m.
Yahoo!のアカウントをチェック。フィッシュがさらに22名,増えている。今日は,AOL会員
の出足は鈍いみたいだ。ちくしょう,普段なら,50人くらいいてもいいはずなのに。AOLは
最近、警戒を強めている。何しろAOLは昨年,詐欺やら何やらで,相当の損害を被って
いる。今は,メンバーがログオンするや否や,オンラインの詐欺行為に関する警告が至る
所に表示されるようになっている。AOLをやっつけなければ。俺は今年も6桁の年俸を
目指している。彼らは常に一歩遅れている。ほんと言うと,5歩ぐらいかな。;) ハハハ!
3:54 p.m.
クレジットカード情報をダンプするよう,Yahoo!のメールアカウントを設定する。
4:30 p.m.
無料ホストに偽のアダルトサイトをでっち上げる。フロントエンドは完璧なアダルトサイトで,
バックエンドにはクレジットカード情報を提示させるためのページを用意する。これで,メン
バーを何人かゲットできるはず。彼らにとっては,これまでに参加した中で最も高価なサイ
トになるだろう。rofl(床を転げ回るほどおかしい) アダルトコンテンツを買うと,こういう
目に遭うんだよ。
4:50 p.m.
新しいホットなアダルトサイトに関して,AOLのメンバーにメールを送る。本当は,俺の無
料ホストにある偽サイトだ。これで,クレジットカード番号を聞き出し,買い物ができるとい
うわけだ。悪いねえ!
5:30 p.m.
彼女に会いに行く。外で夕食を済ませて,彼女の部屋に行く。日記を付けるのはもうたく
さん。
7:50 p.m.
帰宅。Yahoo!のメールアカウントを確認。15人分のクレジットカード情報が入っていた。
彼女のところに居る間に……。;) 明日は良い日になりそうだ。このカードを使って,ラップ
トップを5台ほど,買うとしよう。
8:30 p.m.
クリック生成プログラムでアダルトバナーをクリックして,クリック/売上率を稼ぐ。この偽
のクリックで,月に2000ドル程度を稼いでいる。 それほどの額ではないが,合計すれば,
かなりになる。 実は,古いマシンには,週7日間・1日24時間体制で,こればっかりやら
せている。お見事!
8:50 p.m.
2つのアダルトサイトに登録して100ドル稼ぐ。これは,あまりたくさんやると疑われるから,
ほどほどにしておくべき。でも,こう考えればいい。1日に100ドルということは,30日では?
つまり,月に3000ドルだ。これでも,犯罪は儲からないなんて言う人がいるんだね?
9:13 p.m.
Amazonのバナーをクリックして,アフィリエイトの報酬を稼ぐ。書籍はどこかに送信。インタ
ーネットでは,広告代理店への委託業務は20ドル17セントになる。微々たる額だが,退屈
でテレビを見るしかないうようなときには,これをする。怠けさえしなければ,これで月に
1000ドルは稼げる。
9:23 p.m.
カードは始末したほうがいい。ただし,使い切ったほうが安全だ。たくさんの人が使うほう
が、その分,FBIも私1人には絞り込みにくくなるからだ。30個のクレジットカード番号とCCV2
(追加のセキュリティのためにクレジットカードの裏に記された番号)で100ドル程度になる。
それほどの値段ではないが,破棄するよりはましだ。
10:30 p.m.
Efnetにアクセスする。手間をかけなくても,ラッピー(ラップトップ)を送ってくれる良い
サイトを見つけなければ。dIrkSTIR(仮名)によれば,(名前は削除)サイトは捕まって,
もう商品を発送できないらしい。別の販売業者を探そう。シェル(リモートコンピュータへ
のアクセス)をいくつか取引するか,フィッシュすれば,未開拓のサイトも見つかるだろう。
11:00 p.m.
今日はこれで終わりだ。日記を書いただけで250ドル貰えたから,どこか飲みにいこう!
ハハハ!
犯罪者 その2
1日目 11:00 p.m.
コンピュータを起動して,新しいクレジットカード番号がないか,メールアカウントを
チェックする。
11:04 p.m.
手持ちのクレジットカード番号は全て使ってしまっていたことに気付く。新しいのは,
もうない。:( 新しい番号をゲットしなければ。
11:05 p.m.
仲間うちで共有している,追跡不可能なISPアカウントを使って,無料のメール
アカウント,email@LA.comを新たに開く。
これが彼らの24時間――コンピュータ犯罪者日記(3)
【米国記事】 2001年4月4日 00:46 PM 更新
11:15 p.m.
無料ホストにAOLの請求の詐欺ページを開く。
11:20 p.m.
ハンドル名収集プログラムを使って,AOLの会員ディレクトリからメール
アドレスを集める作業を開始。
11:45 p.m.
偽のAOL請求決済メールを送るために,「Bulk I-Mailing Program」をロード。
00:00 a.m.
メールをすべて送信。クレジットカード番号が集まるまでは,友人と話をしな
がら,ひたすら待つ。
00:30 a.m.
おお! 新しいクレジットカード番号が30も来た。次に,800番電話を使って,利用限度額
の高い優秀なクレジットカードをふるい分ける。:)
01:20 a.m.
利用限度額が5000ドルのクレジットカードを2つ発見。さあ,楽しもう!
01:25 a.m.
Amazon.comをザッと見て,買いたい物がないかを探す。PlayStation 2にする。
01:35 a.m.
友人に電話して,荷物の引渡し場所を彼の家にしてもまだ大丈夫かを確認。
01:45 a.m.
友人との話を終えて,PlayStation 2を2台とゲームをいろいろ注文。
02:00 a.m.
友人宅にゲームを届けてもらうよう,注文書に入力。
02:05 a.m.
メールアカウントをチェックして,注文が受理されたかを確認する。
02:15 a.m.
IRCルームに戻って,クレジットカード番号とPaypalアカウントを交換する相手を探す。
02:30 a.m.
証明済みのPaypalアカウント2つを利用するための取引が成立。
02:35 a.m.
www.ebay.comのオークションで,新品のラップトップを2台買うことにする。
02:45 a.m.
Paypalアカウントにログオンして,支払いを送信。
02:50 a.m.
落札したラップトップのオーナーにメールを送り,Paypalアカウントから支払いを済ませた
と告げ,翌日配達便で指定の住所に配送するよう頼む。郵送料として,
25〜50ドルを追加する。
03:00 a.m.
寝る時間。 2日目
09:00 p.m.
オンラインに戻り,メールアカウントをチェックして,PlayStationとラップトップが
こちらに向かっていることを確認する。
9:05 p.m.
どちらも,出荷済みであることを確認。すべて,計画通どおりだ。
9:10 p.m.
http://www.usps.com/tracking.cgiにアクセスして,荷物が友人宅にいつ
届くかを確認。
9:15 p.m.
万事,順調だ。24時間足らずで,ラップトップ2台とPlayStationを2台とゲームを10種類
ほど注文した。儲けの総額は4000ドル程度。1日の成果としては,まずまずだ。
題名には必ず「阿修羅さんへ」と記述してください。