Walmart.comのオンラインアカウントが不正利用された。
以前、iTunesのアカウントがハッキングされた件を報告しました。
iTunesアカウントを、乗っ取られました。(不正購入被害のお話) – 2011年12月25日
「iTunesアカウント、乗っ取られ」後日記。(不正購入被害『解決』のお話) – 2011年12月27日
今日は、Walmart.comのオンラインアカウントがハッキングされました。
今朝、午前6時31分の時刻で、Walmart.comから「アカウント情報(Eメールアドレス、パスワード、名前)が変更されました、Eメールアドレスが変更されている場合には、セキュリティーのため、新旧両方のEメールアドレスにこの通知メールが送られています。もし変更した覚えが無い場合には、すぐに1-800-966-6546に電話してください。」と言う内容のEメールが送られてきました。
たまたま今日は運良く午前6時42分に目覚め、ベッドの中でiPhoneでEメールをチェックしてこのEメールを知り、「これはやばい」と思い、すぐにベッドから出ました。
1.まず、PCでWalmart.comにログインしてみました。
http://www.walmart.comのログイン画面にアクセスしてみると、最後に買い物したのは2週間前の4月20日なので、自分の名前が表示されたままになっています。しかし、ログイン画面へ行くと、知らないEメールアドレス「[email protected]」が表示されます。明らかに適当に作ったyahoo.comのEメールアカウントです。
多分、ハッカーが私のEメールアカウントをこのEメールアドレスに変更したのだと思います。
自分が設定したはずのパスワードでもログインできません。
Eメールアドレスを登録したはずのEメールアドレスに戻して、パスワードを入力しても、ログインできません。
どうやら、ハッカーがEメールアドレスとパスワードを変更したのは、間違い無いようです。
2.次に、このWalmart.comに登録してあったクレジットカードのオンラインページにアクセスすると、使用可能金額が少し($100くらい)減っているように思えます。まだ購入履歴詳細にはトランズアクションは反映されていません。このカード会社は、オンラインに購入詳細記録が反映されるまで2日くらいかかります。
3.これは偽Eメールではなく(時々ありますね、「あなたのアカウント情報が変えられました/アカウントがブロックされました。身に覚えが無い場合には、ここをクリックして情報を入力してください。」というようなフィッシングEメールが。)、確かにハッカーがWalmart.comの筆者のアカウントを乗っ取ったと確信し、Eメールに書いてある電話番号に午前6時55分ころ電話しました。
録音アナウンスが済んで、カスタマーサービスに接続する番号を押すと、「オフィスアワーは、セントラルタイムの午前8時から・・・までです。またあとで電話してください。」ということで、あと5分待たないといけない(筆者の住んでいる地域はマウンテインタイム。)
午前7時を過ぎてもう一度電話して、カスタマーサービスに電話。「個人情報を変えたというEメールを受信したが、自分はしていない。オンライン・アカウントがハックされたようだ。」と手短に事情を説明すると、電話番号を聞かれ(多分、クレジットカードの登録電話番号)、住所・氏名(これも、多分、クレジットカード情報)を確認され、調べてもらうと、4つの「購入トランズアクション」が行われている、ということ。カスタマーサービス担当者はすぐにそのトランズアクションをキャンセルしてくれました。「ひとつは、$98の商品の購入だ」ということでした。
割と本人確認が簡単だったのには、拍子抜けしました。逆にこういうときに本人確認で手間と時間をかけていると、注文が通ってしまって、カード決済を戻すのに手間がかかるから、キャンセル手順を重視するんでしょうかね。間違って本人の正当な注文もキャンセルしたら、もう一度注文すれば良いだけだから・・・
オンラインサイトって、複数のクレジットカードが登録できるじゃあないですか?
筆者は被害を少なくするために、なるべく登録は必要最小限枚数だけにしているのですが、walmart.comには何枚登録していたか忘れたので、カスタマーサービスに聞くと、「1枚だけだ、カード末尾4桁番号はxxxx。」と教えてくれました。
これで、発生したとしてもカード被害や手間は最小限であることが確認されて、良かったです。逆に言うと、カード情報は変更されていなかったので、ハッカーの目的は筆者のカードを支払いに使うことだったと考えられます。
このあとアカウントはすぐに凍結され、調査班に回され、1ヵ月後に必要があればまたカスタマーサービスに電話すれば、アカウントをリセットして同じアカウントで使用できるそうです。
またはそれを待たずに、まったく別のEメールアドレスで新しいアカウントを作成しても良いそうです。
以前にBestBuy.comのアカウントも不正利用されていた。
実は報告していませんが、1年ほど前(あとで調べた結果、2012年6月11日と判明)だったと思いますが、BestBuy.comのアカウントも不正利用されていました。
このときは身に覚えの無い注文確認Eメールを2件続けて筆者はiPhoneのEメールアプリで受信し、すぐ(注文から10分以内)にPCでBestBuy.comにアクセスし、注文をキャンセルしました。そして、アカウントのパスワードを変更しました。
不正に注文されたのは、EメールでPIN番号だけ送信する、オンラインゲーム(ソニーのプレステ・ネットワーク)アカウント用のリフィルカード(プリペイドカード)、額面$50分が2回でした。
Eメールを受信してすぐに気が付いたので、リフィルカードのPIN番号がハッカーに配信される前に注文をキャンセルすることができました。
あとでカード会社の明細を見ると、一度注文を課金されましたが、すぐに返金(リファンド)されていたと思います。
思うに、もともと「ログイン情報(Eメールアドレス)/パスワード」が盗まれたサイトは、別のサイトだと思います。
ハッカーはこれらの不正入手した情報をいろんなサイトで試して、自分に都合の良い品物を購入しようとしているのでしょう。
以前にたった一度切りの注文のために作ったサイトはいくつもありますが、いちいち自分でも覚えていられませんね。筆者も当時はそういうサイトはほとんど同じEメールアドレス/パスワードの組合せでアカウントを作っていたことは、事実です。ただ、そういうサイトは販売している商品が特殊商品なので、多分、ハッカーには魅力は無いと思います。また、そういうサイトに登録しているクレジットカード情報は、カードの有効期限年月日情報は古すぎて、もう使えないでしょう。
iTunes、Amazon.com、Walmart.com、BestBuy.com、Target.comというよな何でも買えるサイト、あるいは、音楽/アプリやプリペイドカードのPIN番号などのようにオンラインで商品が配信されてしまうようなサイトは、要注意ですね。
iTunes/BestBuy.comの不正利用被害の後、頻繁に商品を買うようなサイトのパスワードは変更していたつもりでしたが、Walmart.comはそれほど頻繁には利用しないので、変えていなかったのは失敗でした。
こういう不正利用被害が起こったからと言って、それでオンラインショッピングをすべて止めてしまうのはネット時代の「便利さ」を放棄することなので、どうかと思います。
それよりも、不審なことが起こったら、すぐに対処することが大事です。
アメリカのクレジットカード会社は、大体過去6ヶ月以内の不審な不正利用は、理由があればちゃんと返金(チャージバック)してくれるシステムになっていますから、早めに気が付けば被害は最小限に食いとどめられます。しかし、カード番号を変更すると面倒だし、新しいカードが来るまでの1-2週間は使えないし、前のオンラインアカウントにはアクセス出来なくなって過去の購買詳細がオンラインで検索できなくなることがあります。迅速に対処すれば、カード番号を変えずに終わることもあります。
はじめまして。
2013年00時00分にWalmart.comより下記のメールが届きましたが、全く身に覚えがありません。
どのように対処したものか大変困っております。対処方法をご指南いただけますようお願いします。
Thanks for ordering from Walmart.com. We’re currently processing your order.
Items in your order selected for shipping
• You’ll receive another email, with tracking information, when your order ships.
• If you’re paying by credit card or Bill Me Later®, your account will not be charged until your order ships. If you see a pending charge on your account prior to your items shipping, this is an authorization hold to ensure the funds are available. All other forms of payment are charged at the time the order is placed.
Shipping Information
Ship to Home
Nathan Gonzalez
1089 N Bell Avenue
San Paolo, WA 68025-3157
USA
Walmart.com Order Number: 3467052-361964
Ship to Home – Standard
Items Qty Arrival Date Price
Toshiba UN65EH9030 42″ 1080p 60Hz Class LED (3.7″ ultra-slim) 3D HDTV 1 Arrives by Tue., May 21
Eligible for Free Standard Shipping to Home. $898.00
Subtotal: $898.00
Shipping: Free
Tax: $62.86
See our Returns Policy or
contact Customer Service Walmart.com Total: $960.86
Order Summary
Order Date: 05/15/2013
Subtotal: $898.00
Shipping: Free
Tax: $62.86
Order Total: $960.86
Credit card: $960.86
Billing Information
Payment Method:
Credit card
If you have any questions, please refer to help.walmart.com or reply to this email and let us know how we can help.
Thanks,
Your Walmart.com Customer Service Team
http://www.walmart.com
管理人 返信:
2013年5月17日 9:35 AM
無視して結構です。
Walmartに限らず、このような迷惑Eメール/詐欺Eメールは、BestBuyからもAmazon.comからも来ることがあります。
Verizonから来たこともあります。
区別する方法は、Eメール本文内のリンク(クリックする部分)の上にマウスを移動し(クリックしてはいけません。URLの上にマウスを移動して、そこの本当のURLアドレスを表示するだけです。)、リンク先のURL(アドレス)を確認します。そのアドレスが、(たとえば)Walmartから来たEメールなら、Walmart.comのアドレスでなければなりません。それ以外のアドレスのときは、詐欺メールです。
詐欺メール送信者の目的は、
1.「自分でオーダーした覚えがないのに、どうしてこんなEメールが来るのだろう?」と不思議に思わせる。
2.不思議に思った人が、Eメール本文内のリンクをクリックする。
3.そうすると、偽の(たとえば)Walmart.comのログイン画面が表示される。
4.そこで、(偽の画面とは知らずに)ログイン名とパスワードを入力してしまう。
5.詐欺メール発信者は、そのログイン名とパスワードを保存しておき、あとで、本当のWalmart.comにあなたに成りすましてログインする。
6.注文して、Walmart.comに登録してあるあなたのクレジットカードに課金する。(通常は、オンラインで配信されるトップアップカードやプリペイドカードを購入する。)
と言うことなのです。
最初に書いたように、注意してリンクのURLや、間違ってクリックしてしまったらそのページの(ブラウザーのトップに表示される)URLアドレスを注意深くチェックしていれば、そういう、間違って個人情報(ログインIDやパスワード)を自分からハッカーに教えてしまうことは、防げます。
ただしハッカーは、あなたがA(例:Walmart.com)でログインIDとパスワードを設定していると、同じログインIDとパスワードで別のサイトB(例:BestBuy.comやTarget.com)に登録している可能性が高いことを、知っています。
だから、Walmart.comで漏れたパスワードが、他のオンラインショップで悪用されることもあります。
また、時々ニュースになりますが、あなたがこのような詐欺Eメールに引っかからなくとも、登録した正規オンラインショッピングサイトのログイン情報/パスワードが大量にサーバーから盗まれることがあります。その中にあなたのログインID/パスワードが入っていると、ハッカーは同じく、「それ以外のサイトでもおそらく同じログインIDとパスワードを使っているだろう」と予想して、個人情報を盗まれたサイト以外で悪用されることがあります。私の場合は、そういう例だと思っています。
管理人様
早速、ご回答いただきまして ありがとうございます。
大変不安な一夜を過ごしましたので、管理人様からのメールに救われました。
管理人様からのアドバイスにありましたように問い合わせ先がhttp://kofinyame.com/Wallmart.html?go=help
となっておりましたので、リンクはせずに様子見とさせていただいておりました。
一応、用心のためにネットでの決済に使用していたクレジットカードは使用停止&再発行の手続きを行いましたので、これで安心することができます。
今後共何かありましたら、ご相談させていただきたいと思いますので、宜しくお願いいたします。
管理人 返信:
2013年5月18日 12:51 AM
最初にも書いたように、このような詐欺Eメールは他からも来ます。一度来たということは、あなたのEメールアドレスはそういう詐欺をする人たち(世界中にいます。)の手に渡っているので、内容を変えて何度でも来るでしょう。Spamメールと同じです。
そのたびにカードを変えていると、手間です。
カード会社によっては、カードを変えると前のログインIDではログインできなくなり、新しいログインIDを作らないといけない場合もあります。
また、新しいカードが来るまでは1週間ぐらいそのカードが使えませんし。
したがって、同じようなEメールが来たら、オンラインでカードの使用明細をすぐに、または2、3日以内に調べ、実際に自分に身の覚えの無い課金が無い限りは、何もしなくとも大丈夫です。
カード会社は数ヶ月~長いところでは6ヶ月までは過去にさかのぼって、自分が課金していない「おかしな」課金はキャンセルしてくれます。もちろん、そんなに待たずに、1週間から1ヶ月以内に対応するのが望ましいですが。
今回はもうすでにカードの再発行をしてしまったようですが、それはそれで良い経験にはなると思いますので、悪いとはいいません。私も、実際にカードを使われ、2-3年に1回はカードの再発行はしなくてはいけない状況です。
ただ、こんな詐欺Eメールはこれからもどんどん来ますから、Eメールぐらいでは慌てず、詐欺Eメールと、実際のカード悪用とを識別する知恵(経験)を積んでください。