三井住友VISAカードから不正利用検知で電話をもらった話。


三井住友VISAカードのセキュリティ関係の人(Tel.06-6445-3473)から朝9時過ぎに電話がありました。

三井住友VISAカードは確かに持っており、ガソリンスタンドで使ったり、時々衣料品を買ったり、ネットと電話料金の引落しはしているものの、ネット通販には使っていないカードでした。

電話の担当者曰く、朝8時頃に米国の通販でショッピングを試みて失敗し、その数十分後に今度は楽天で4万円程度の商品の決済に失敗しているとのこと。

当然、心当たりがないし、すぐに現在のカードを無効にして欲しい旨を申し出ると、1週間程度で再発行したカードを郵送してくれると仰ってました。

またカードでのネットと電話料金の引き落としについても手続きを代行してくれるとのことで、引落しのタイミングによっては「落ちない」と連絡があるかも知れないが、新しいカード番号を通知いただければいいとのことでした。

ともあれ、クレジットカードの不正な利用は未然に防げたのですが、これが「不正利用検知システム」ってやつですね。

三井住友カードは業界最高水準の不正利用検知システムを持っており、カードが不正利用されていないかどうか365日24時間モニタリングしています。そして万が一、不審なカード取引の可能性があると判断した場合は、その取引をストップしたり、カード会員へ直接連絡してご本人の利用かを確認したりして、日々、カードが不正に使われないように見張っています。

以前、聞いたことがあるのは、例えば北海度のお店でカードを使い、その1時間後に東京で使おうとすると、1時間で遠距離の複数個所で使うことは不可能ということで不正利用検知システムに引っかかる・・・みたいなことでした。

たぶん、今回の早朝の米国と日本のECサイトの件だと、どちらのECサイトも利用経験がないサイトで認証エラーを起こしているわけですが、それはこのカードが日ごろ実店舗での買い物にしか使っていないとか、いつも特定のエリアでしか使用していないとか、利用の時間帯が違うとか、そういった蓄積されている利用パターンと差異があるからでしょうね。

勝手な想像ですが、これって、まさしくディープラーニング(深層学習)の技術なのでしょうか。

ただ、朝の米国の通販でショッピングも楽天も、カード番号と有効期限とセキュリティコードすべて知られていたら不正利用は成功していたんでしょうから、犯人はいったいどこまで知っていたのでしょう。

カード番号は当然知っているとしても、有効期限も知っていたら、セキュリティコードを求めてこない中小規模のECサイトを選んで、そこで不正利用してしまえば犯罪は成功している話で、名義のローマ字名も同様に(適当に入力しても)認証チェックには使われていないはずです。

そのことについては、以前記事にしました。
(参考)
クレジットカードのチェックで必要なのはカード番号と有効期限のみ。氏名は不要という話。

犯人はセキュリティコードが必要な楽天でも試みているのですが、セキュリティコードの3桁数字を、まさかサイトを変えて総当たりで試そうとしたのでしょうか。

なんだか未熟な(?)犯人とVISAの不正利用検知システムで助かった気がします。

(2017/08/18 追伸)
今日、ECサイトのペイパルに関連した決済の設定を見直していたあと、メールを見ると下記の受信がありました。

Title:Your case ID for this reason is PP-196-091-911-815
Your account access has been limited for the following reason(s):
18 Aug 2017: Your credit or debit card issuer advised us that your card was used without your permission.
Your case ID for this reason is PP-196-091-911-815.
View your PayPal Account
Once you have completed all the checklist items, your case will be reviewed by one of our Account Specialists. We will send you an email with the outcome of the review.
Sincerely,
PayPal

2017年8月18日:お客様のクレジットカードまたはデビットカード発行者が、不正に使用されたとのことで制限中だとのことで、ペイパル(のフィッシングサイト)へのリンクを押してチェックリストを実行すれば審査するとのこと。

いつもなら無視するのですが、あまりにもタイミングがいいのと、三井住友VISAカードから不正利用検知を受けたあとなので、万一を考えて、上記のリンクではなく、正規のペイパルの画面でログインしてみました。

結果、なにも問題はなかったのですが、よくメアドを見ると
hu5ee@londsendersearchmaileraccountsreviewsservice.aihuwee0th.com
というもので、非常に不自然なものですし、メール文のリンクURLを(HTMLメールなのでソースで)確認すると、自然にも「短縮URL」でした。

いつもならそれだけでスパムメールと判断してごみ箱直行なのですが、やはりタイミングによっては、ひょっとしたらと考えてしまうこともあるものだと思った次第です。


コメントを残す

メールアドレスが公開されることはありません。