今流行りのフィッシング詐欺にあって
今流行りのフィッシング詐欺にあってから約1週間。
ETHや細かな通貨と一緒に保有しているビットコインを全部持っていかれたわけですが。お陰様で2,3日で気持ちの切り替えは出来まして、今は全然前を向いています。
額は少なくはなかったけども、むしろこのタイミングで良かったなと思えるくらいには心は整っていて。
励ましのメッセージくれた友達にはほんとう感謝です。こういう時はストレートな言葉が響きます。
色々と原因が分かってきて対策も見えてきたので、備忘録として。
そしてシェアする事で未然に防げる人がいるかもという事で綴ってみます。
今回のケースはブロックチェーン技術の特性上お金が戻ってくる事はまず無く、犯人も捕まらないので泣き寝入りにはなるのですが。
個人のウォレットに関しては全く被害は無いので
図らずもWeb2の弱点とWeb3の利点が浮き彫りになった案件だなぁと切ないながらも考察しています。
暫くは程よい距離で関りますが、仮想通貨やNFTは今後も触れていき、引き続き未来にワクワクしていきたいなと思っています。
でも改めて思うのは、応援しているプロジェクトの通貨とNFTが無事だったから。それは本当に良かった。
肝の部分はしっかり対策して気を付けていたけども、初歩的な所で足元をすくわれたというのが今回のケースです。
メールやSMSのスパムにアクセスした訳でも無く、思わぬ落とし穴にハマってしまったという。
ちょっと長いので、項目だけ選んで読んでもらっても良いかなと思うので、どうぞお付き合いください。
[はじめに]
国内の取引所だとBitflyer, Bitbank, DMMコイン, coincheck, 色々試した結果GMOコインの使い勝手が良かった為(仮想通貨の送金手数料が無料,最小購入単位が小さいなど)
そちらで毎月一定額のビットコイン(以後BTCと表記)を購入、臨時収入が入ると追加購入といった感じ。BTCに関しては約2年ぐらいコツコツ買い増ししてと。
NFT購入のETH等もこちらで用意してウォレットに送り、一部は新規プロジェクトが出た時様に保管。ASTARを取り扱ってからは特にこまめに利用し、月に数回取引をしていた。
[今回のフィッシング詐欺にあった経緯]
普段はBookmarkから入るが、定期的なアクセス履歴の整理後でフォルダから探さなければならなかったのでGoogle検索でGMOコインにアクセスする。※トップページで且つ一番上にきていたURLにアクセス。
これが偽サイトだった。そっくりで全く分からずで。
ここでIDとパスワードを打ち、当然ログインはできず。そこで気付き、正しいサイトにアクセスをする。
登録のGoogleアカウント(Gmail)もハックされていた様で、わずか30分後には全ての資金がADA(カルダノ)というコインに換金されて全額送金されていた。
〇ポイントはここ。
フィッシングサイトでパスワード盗まれた事に気付き、パスワードの変更手続きを行っていたのだが、その際に普段アクセスするデバイス(私の場合はPC)でのログイン時2段階認証は省略していた。
変更前に一応こちらもONにしたら、なぜか登録していないGoogle Authenticatorアプリでの2段階認証となる。
私は電話番号メールで登録していたので当然Googleアプリでの2段階認証は出来ない。
GMOに問い合わせ行い、回答は翌日の夕方。その時にSMS認証に戻るが時すでに遅し。
最初の段階でパスワード変更ができていたら直前で防ぐ事が出来たのに、と。ここが中々に悔やまれる所。
そしてここが一番の問題であるが、犯人がアクセスしていたデバイスでの2段階認証はなんとメールになっていて。新しいデバイスでの2段階認証はメールなるらしい。
GMOコイン側の不備で且つ重大な欠陥はここだと思う。このセキュリティーの甘さはちょっと無いよなぁと。SMS認証にしてたからここは完全に盲点で、メールもハックされていたら防ぎようが無い。
犯人側の狡猾な所は、GMOでの取引では1取引毎にメールで確認が入る。今回の送金先アドレスの登録に際してもそうで。そのやり取りのメールが来た瞬間に削除していたのだ。こちらが気付かない様にゴミ箱の中身も削除されていた。
取引の履歴の3通だけがゴミ箱に残っており、それを見るのは今でもちょっと切ない。
クレジットカードの不正利用防止の対策の様に、急に全額売却の取引が行われ、新しく登録したアドレスに全て送金するという不可解な取引は
認証する前に本人に確認の連絡を入れる等しても良いと思う。
[対応]
GMO側への連絡手段はチャットかメールしかなく、電話は一切取り次いではくれない。チャットもひたすら事務的で、会社としては対応できないので警察に行ってもらう
しか無いと。労い言葉も一切なく、そこが悲しかったなと思う。
警察が家まできて状況を説明するが、メモも申し訳程度に取るだけで対応の仕様がないとの事。一応被害があったという記録だけは残して、捜査はしないそうだ。
でもまぁ私に寄り添って話を聞いてくれたので幾分か救われた。
仮想通貨関連の詐欺は北朝鮮あたりが多い様で、勿論ブロックチェーンだから国内にいても無理だろうが尚更追うのは不可能であると。
[原因]
検索から偽サイトのURLを踏んでしまった事、そしてIDパスワードを打ち込み盗まれる。なぜかGoogleアカウントもハックされており、メールを自由に閲覧されていた事。
これは恐らく色々なサービスの登録を同じアカウントで行っていた為、どこかしらでパスワードを盗まれた可能性があるという事だろう。
取引の時だけの2段階認証にしており、ログイン時は省略していた事。それに伴いGMO側の2段階認証の種類をちゃんと確認していなかった事。
[対策]
・BookmarkしたURLから必ず入る事。つまり検索からのアクセスは絶対にしない事。銀行や証券のサイトに関しても徹底する。
・パスワードは定期的に変える事。
・ファイナンス関連のメールアドレスは専用の物をつくる。
・Googleのメールを使う事が多いと思うので、ファイナンス関連のアカウントでスプレットシート等を開かない
・2段階認証は毎回行うこと。メールではなくSMSかアプリで。
・これらを行っていても資産は1ヵ所に置かず分散させる事。
[おわりに]
今はほんと引きずっていなくて、冷静に振り返る事が出来ています。先ずはともかく奥さんのお陰。
まぁ寄り添って、明るく励ましてくれて。お陰で気晴らしの新しい事をすぐ始められました。
それからメッセージくれた友人に心から感謝してます。こういう時何て声掛けていいか難しい所だけど、驚いたり、関心もってくれるだけで救われる。「しょうがないことだよ。」「がんばれ!」 ストレートな言葉がほんと響きました。ありがたい。
今後予定されている臨時の収益も全てBTCの購入予定であったから、強がりでなく今のタイミングで見直す事が出来て良かったと思えています。
それと何より、月の収支の大部分を未来への投資に回していて、今を大事にしていなかったなと気付かされました。前よりは幾分か良くなったけど、それでもまだまだ今にお金と時間を掛けるべきだなと。
この投稿を目にして、被害を未然に防げたよ!なんて人が出てきたら嬉しいし救われます。少しでも参考になればこれ幸い。
この出来事が起きて2,3日は金額の補填の為にお酒もう止めよう、なんて言ってましたが。
というのも私タバコを止めてもう少しで5年。お陰でもう100万円以上は浮いている訳で。お酒止めたら更に健康になって、今回の損失もペイ出来るなと考えていた訳で。
でもまぁクラフトビールは趣味でもあるので、惰性で飲むのは止めて程よく付き合おうと思っております。
という事で、今を生きて美味しいお酒を飲み、じいちゃんになっても健康でビールが飲める様に金銭面健康面を健全に日々を過ごしていきたいと思います。
壮大な締めになったけども、友人の皆さん、飲みに行きましょう☆よろしくです(^^)