銀行は全然気にしてないよね :)

銀行や証券口座からお金を移すのには時間がかかるんだよね。その間に気づいた人は、移動を不正だと報告して口座を凍結できるはずだよ。

「本当に気にかける」というのは、銀行が合理的な対策をとっても口座が空にされてしまった人に対して返金するポリシーを持っているってこと。これによって、銀行は10万ドルの詐欺を100ドルの詐欺より1000倍気にするようになる。100人に影響を与える詐欺を1人に影響を与える詐欺よりも1000倍気にするってわけ。関係ないけど、スパイスを加えるために、10ヶ月前のスレッドを紹介するね。みんなが「Google AuthenticatorでCoinbaseアカウントを守らないとバカだ」って同意してるよ。

もちろん、その裏側には、同じ理由でロックされたスマホで銀行取引を強いられるってことがあるよね。自分のミスに責任を持つことと、自分で決められないように扱われることの間には、あんまり中間がない気がする。

普段は知らない番号からの電話には出ないんだけど、数日前にAmazonを名乗る詐欺師から電話がかかってきたんだ。600ポンドのiPhoneを注文したって言われて、本当に注文したのかって。かなり疑わしかったけど、Amazonの本物の人間だと証明させるために、最後に本当に注文したものを言わせようとしたんだ。結局20分くらい電話を続けて、最終的には向こうが私に罵声を浴びせてきた。その間、同じ部屋で他の人にも同じセリフを言ってるのが聞こえてきた。なんでそんなに長く電話を続けたのか全くわからない…。

最近、私には一つのルールがある。予期しない知らない番号はボイスメールに行かせるんだ。メッセージには「メッセージと番号を残してください。重要なことなら折り返します。」って言ってる。出るのは、配達の電話とか医者からの電話を期待している時だけで、その場合は配達のことか医者のことしか聞かないからね。これでフィルタリングできるといいな。

私には1-2秒のルールがある。電話に出て「もしもし」と言って、1-2秒以内に返事がなかったら切るんだ。詐欺師は電話のキューから働いているから、電話が詐欺師に繋がるまで少し時間がかかる。最初はスクリプトを読む必要があるから、遅れが出るんだよね。詐欺師もおそらく英語が母国語じゃないし、退屈してるだろうから、名前を読んで言う準備をするのに時間がかかる。普通の会話にはないメンタルスタートアップ時間があるんだ。もし誰かが電話をかけてきて「もしもし」にすぐに反応できないなら、それは詐欺師だよ。

この部分がよくわからなかった。攻撃者がGoogleアカウントにアクセスできるのは、Googleが私のコードをクラウドで同期してたからなの？それってどういう意味？

これらの話の中で一番の赤信号は、カスタマーサポートから連絡が来ることだね。緊急時に連絡が取れないのに、助けようとしてるように見えるのが怖い。

知らない番号からの電話には出ないように設定してるし（アドレス帳にない番号）、親にも同じことをして、メールで受け取ったことを信じないようにできるだけ指示してる。でも、それでも母は年に1回か2回は本物だと思ってパニックになって詐欺メールについて連絡してくるんだよね。

電話を使わなきゃいけないなら、最低でも通知を無効にして、絶対に出ないことだね。まず、緊急性がなくなる。次に、相手は連絡を取る手段を提供しなきゃいけないから、それが確認のためのもう一つの連絡先になる。絶対にクラウドパスワードマネージャーを使っちゃダメ、それは本当にバカだよ。Google、Apple、Microsoftみたいなマスターアカウントにこれらをまとめるのも最悪。全ての貯金口座、当座預金、投資を一つの銀行に預けるようなもんだ。これらのことはAIのせいでさらに悪化するだろうね。知ってる人と話してるのに、100% AIじゃないのに、他のAIを使った詐欺師に騙されて何かを頼まれることになる。過去に提案した人々の行動が、5年後には足りなくなるかもしれない。こういうことは昔から可能だったし、実際に起こってたけど、今はスケールでできるようになって、誰に何が通じるかをテストする高度な手法があるから、以前は高級時計の写真を公開してた人を狙ってたのが、今はもっと広範囲に及ぶようになったんだ。

時々、電話がかかってきた時に、期待している電話か知っている人以外にはほとんど出ないことで、どれだけの詐欺を避けてきたのか考えることがある。答えは、ほぼ確実に0より大きいよね。

「誰かから電話がかかってきても、期待している電話じゃない限り出ない」友達のお母さんが詐欺にあった。彼女はテクサポに連絡して、折り返し電話をくれるって言われたんだ。そしたら、その次の時間に詐欺師が偶然電話してきた…

最近、私にお金を払ってサービスを提供してくれる組織は、だいたい中央の番号に電話をかけるように指示するメールを送ってくるだけだよ。電話をかけると、15番目の順番になることもあるし、彼らが電話をかけてくるのは、ほとんどの場合最も都合の悪いタイミング（トイレの中、移動中、会話中、つまり生活で忙しい時！）。最良の場合でも、音質がバケツの中に座ってるみたいな感じで、早口でメッセージを残されて、中央の番号にかけ直す必要があるっていう、理解不能な感じ。私のためにプロアクティブな電話がかかってくると、逆にその電話の信憑性に疑いを持っちゃうよ！

自分の暗号資産はCoinbaseと、まだ復旧してない壊れたハードドライブに分けてる。

犯罪者はただ銃を突きつけて鍵を要求することもできる。確かにそうだけど、ここはHacker Newsであって、Mugger Newsじゃないからね。

確かに。でも、電話の方が、銃を持って誰かの家に行くよりずっと簡単にスケールするよね。

誰かが新しいキーを作って、それがたまたまあなたのものになる可能性はゼロじゃないし、そうなったらお金が消えちゃう。ほんのわずかな可能性だけど、銀行口座で同じことが起こるよりは、特に「救済措置なし」の部分では、ずっと高いよ。

仮想通貨では、マルチシグアカウントを使って自分のセキュリティ設定を定義できるよ。例えば、銀行みたいな信頼できる機関を使った2-of-2の設定は、従来の銀行システムに比べてセキュリティがかなり向上する。さらに進めて、例えば3-of-5の設定を考えてみて。セキュリティボックスに2つの鍵、ノートパソコンに1つの鍵、スマホに1つの鍵、ハードウェアトークンに1つの鍵を置く感じ。ハードウェアトークンは、間違ったPINを入力すると鍵を消去するように設定できるから、かなり安全だよ。

https://xkcd.com/538/

SMSやプッシュ通知で送られたコードを、電話で要求してくる人に絶対に教えちゃダメ。残念ながら、一部のコールセンターでは、確認のためにそれを使うことがあるんだよね（つまり、こちらから電話して、メールや電話に送られたコードを読み返すっていう）。

Googleサポートは、Nestサーモスタットのエネルギーセービングを無効にする時に、そのコードを求めてきたよ。（これをサポートを通じてやらなきゃいけないのはクレイジーだよ。電力会社が節約の代わりにサーモスタットをコントロールできる設定なんだから）彼らの評価としては、私が「それは教えられない」と言ったら、ただ次に進んだだけだった。なんで聞いてきたのかはよくわからないけど。

Googleビジネスサポートが、ビジネスリスティングの問題を解決するために電話してきたよ。すごく忙しくて騒がしいコールセンターからで、重いアクセントの人だった。まるで、私たちが詐欺にあうのを望んでるみたいだね。

大手企業からのサポートグループは、あなたに電話をかけてくることはないよ。絶対に。 > SMSやプッシュ通知で送られたコードを、電話やメールで要求してきた人に絶対に渡さないこと。絶対に。メッセージにはそう書いてあることが多いんだ。先週も、チェース銀行が着信の電話でこれらのコードを求めてきた。マジでイライラする。詐欺警告について電話してくる時に、そうやって要求してくるんだよ、逆じゃないのに。

でも、数週間前に、Kagi検索で結果が出ない番号から電話がかかってきたんだ。自分の銀行のオンラインバンキングサポートを名乗ってて、SMSで送られたコードを読んでくれって言われた。断ったら、オンラインバンキングのログイン情報をブロックされて、サポートエージェントとやり取りを拒否したから、自動でアカウントをアップグレードできないって厳しい内容の手紙が送られてきた。結局、新しいログインをアプリで作って、その手紙に書いてあった電話番号にかけて、SMSコードを読んだら、驚いたことにそれだけで新しいログイン情報が有効になったんだ。（ちなみに、これは世界でトップ100に入る大手銀行の一つ）なんか、企業が詐欺に引っかかるように教育してるみたい。追記：この具体的なケースはドイツ銀行だったけど、チェースも同じように電話してOTPコードを求める悪習があるよ。

私の電話はデフォルトで「おやすみモード」になってる。直接かけられるのは、家族だけの5つの番号だけ。保存してない番号からの電話には絶対出ない。もし本当に連絡が必要なら、留守番電話にメッセージを残してくれればいい。電話に出ると、頭が一瞬フリーズしちゃうから。道を聞いてきて時計を盗む人たちと同じトリックみたい。セキュリティが主な理由じゃないけど、詐欺師やハッカーから直接連絡が来ないって知ってるのは安心だよ。

そういえば、以前は銀行の詐欺部門から「生年月日と住所を確認できますか？」っていう正当な電話がかかってきたことがあったよ。信じられないよね。たぶんHSBCだったと思う。これが数十年前の話だから、今は改善されてるかも。もう彼らとは取引してないけど。

誰かが、TLSの三者間ハンドシェイクやU2Fチャレンジみたいな、音声をトランスポート層として使えるものを発明したことある？そうすれば、人々は「正しい馬バッテリーステープル」とかを安全に読み返すように騙されるかもしれない。攻撃者が最初に本物のサイトの所有者しか提供できないものを提供しない限り、使えるシーケンスを生成する能力がないからね。U2Fのフィッシング耐性とSMSの6桁コードの使いやすさを兼ね備えたものを想像してるんだけど。これがU2Fかも。

こういう絶対的な表現で言うのは危険だよね。> 大企業のサポートグループから電話がかかってくることは絶対にない。っていうのは、結局、実際には大企業のサポートグループから電話がかかってくることもあるから。多くの人が指摘してるように。そうなると、他の絶対的な表現も「人々は絶対にそう言うけど、これは例外だと思う」になっちゃう。大企業でも、実際に人間のサポートエージェントが全くいないって冗談を言われてるところも、いつか本当に電話してくるかもしれない。364日間はスキャムかもしれないけどね。安全策としては、電話の内容について公式のサポートチャンネルに自分から連絡することだよ（必要ならGoogleで調べるときは、広告や偽サイトじゃない本物のものを見つけるように気をつけて）。いつも一番便利とは限らないけど、一度のミスで、いつかもっと不便な状況に陥ることになるからね。

最近Tracfoneのサポートに電話したとき、2FAのテキストが送られてきたんだ。担当者に「このコードは誰とも共有しないでって書いてあるけど、君に教えてもいい？」って言ったら、笑って「いいよ」って返された。ちゃんとした手続きだったから、Tracfoneにサービス変更のために電話してたんだよね。こういうシステムはほんとに設計が悪いよ。

その詳細を省いたなんて信じられない。どうやってGoogleのドメインからメールを送ったように見せたんだろう？彼がセキュリティの仕事をしているって言ってるのに、特に不思議だよね。

ユニコードドメイン名がいいアイデアだなんて思ったことはないよ。今見ると、ユニコードを使ってるのは詐欺師や犯罪者だけみたいだね。ICANN、ありがとう！

公式の番号をチェックする時も気をつけてね、少なくとも技術に詳しくない友達には教えてあげて。偽の番号が公式っぽいウェブサイトの検索結果に出てくることがあるから、本当に危険な状況だよ。

公式の電話番号 いいアイデアだけど、攻撃者がSS7にアクセスできる場合は別だね。

ウェブサービスが求めるレベルのパラノイアには、もう時間もエネルギーもないんだ。少しずつ減らしてる。一番最初にやったのは、会社が給料明細を送るためだけに使ってるサイトの利用規約に同意しないこと。詳細を再確認しないと何だったかは分からないけど、たぶん第三者（下請け業者）とデータを共有するようなことだった。最近の出来事だから、うちの組織でどうなるか見てみるけど、給料明細を受け取るためだけに利用規約に同意させられるのは驚きだな。他に報告用の管理アカウントが2つあるから、もう適当なサービスプロバイダーには関わりたくないよ。前の職場では、欠勤管理システムがダッシュボードにインセンティブ広告を送ってきて、他の人をプラットフォームに引き込もうとしてたし、ここかそこかで買い物すると変な割引システムがあったりして、かなり気持ち悪かった。

どうやってGmailみたいなサービスにフラグを立てられずにメールアドレスを偽装できるの？一般的な名前のことじゃなくて、実際のメールアドレスのことを言ってるんだけど。

わからないな。Googleなら午後のうちにこれを解決できるよ。メール配信をコントロールしてるし、メール配信の独占企業だからね。なんでこんなメールを配信するのか？するべきじゃないよ。でも、Googleが広告にお金をかけてる送信者からスパムを配信してるから、メールトラフィックがウェブ広告のトラフィックに洗浄されちゃうんだ。だから、できないんだよね。それに、Superhumanが$0以上の料金を取るから、そっちも無理。メールを修正できる人はいないよ。フィッシングとGoogle広告の関係が見えないなら… これが「ただ法律を通す」ことが難しい理由なんだ。法律が問題を解決しないわけじゃない。もしGoogleがメールの独占企業である現状を許すなら、解決できるはずだよ。A16Zの「ただ法律を通せ」っていうナンセンスも同じで、誰かがジョン・スチュワートが嫌いだからって、すごく洞察的なことを言ってると思い込んで、僕の受信箱ゼロを邪魔して、個人的なメールを全く受け取らないっていう。

僕は、相手に「電話番号」を教える機会すら与えないよ。いつも、会社名とその支店を確認してから、公式ウェブサイト（例えば、https://amazon.com など）に行って、そこで電話番号を調べるんだ。ちょっと不便だけど、セキュリティは格段に向上するよ。

正当な番号からの電話がかかってきたとしても、何の意味もない。リアルかどうか確かめるには、正当な番号にかけ直さないといけない。これを思い出すな。知らない番号から電話がかかってきて、スパムのことで怒鳴られたことがある。警察に通報されるとかの脅しもあって、全くその番号とは関係がなかったから混乱した。僕の番号が偽装されたんじゃないかと思ってる。これに対する防御策があるかどうかはわからない。今は、知らない番号は無視するのがデフォルトになってる。

受信箱と2FAコードにアクセスできれば、パスワードなんて関係ないよ。パスワードをリセットすればいいだけだから。

攻撃者は私のパスワードを持っていて、必要だったのは回復方法だけだったと思う。それが、電話越しに伝えたコードだった。どうやってパスワードを手に入れたのか全く分からない。私はパスワードを共有したり、同じパスワードを使ったりしないから。でも、しばらくGoogleのパスワードを変えてなかったんだ。

そうだね、その部分は合わないよね。もし攻撃者がメールを送ったなら、なんで攻撃者に渡す必要があるコードが含まれてたんだろう？

「Coinbaseをリセット」なんて、銀行や暗号通貨、ドメインにGmailを使うなんて頭おかしいよ。Gmailアカウントにアクセスできなくなった。パスワードは知ってるけど、2段階認証がもう使えないんだよね。

詐欺の電話に出る危険性は分かってるから、説明しないでほしいけど、「銀行のセキュリティ」とかが詐欺を警告するために電話してこないなんて思ってるの？それとも、その番号を認識できるって？もしかしたらそうかもしれないけど、俺には全然分からないよ。