誰かが私のIBANと個人情報を知っている場合、私の銀行口座からお金を盗むことはできますか?
一部のウェブサイトでは、アカウントにお金を入金するために、銀行口座に関する詳細を提供する必要があります:name、完全な住所とIBANは、口座番号を含み、正確な銀行を識別します。
熟練したクラッカーはこの情報を使用してアカウントからお金を盗むことができますか?これらの詳細を提供することはどれほど安全ですか?
この質問は、国によって異なります。米国では、口座番号は一般に誰かの口座からお金を盗むのに十分ではありません。これは幸運です。小切手を書いたり、誰かに銀行支払いをしたりするたびに、彼らはあなたの口座番号を受け取ります。
しかし、誰かの銀行口座番号を知ることはis口座残高を知るのに十分です。広く知られていない攻撃があります:
- ほとんどの銀行には販売者が呼び出すことができる電話番号があり、自動音声応答システムを介して、特定の口座に特定の金額の小切手が清算されるのに十分なお金があるかどうかを確認します。基本的に、電話をかけ、数桁を押して電話ツリーを介して販売者確認の確認オプションに進み、口座番号と金額を入力すると、電話システムは口座残高が少なくとも同じかどうかで応答しますあなたが提供した量として。
これにより、あなたの口座番号を知っている攻撃者は、バイナリ検索を使用して銀行口座の残高を知ることができます。これは広く知られていない機密保持違反です。
これが気になる場合は、銀行に電話をかけ、口座に詐欺の警告を出すよう依頼することで、これから自分の口座を保護できる可能性があります。少なくとも私の銀行では、銀行がこれを行うと、銀行口座の販売者小切手確認サービスが無効になります。
IBANは、受信者を識別するために使用されます。
チェックディジットにより、送信銀行(またはその顧客)は、データ入力時に単一のデータ文字列からルーティング宛先と口座番号の有効性を確認できます。
アカウントから別のアカウントに送金できるようにするには、誰かがあなたの身元を偽装する必要があります。私はあなたの銀行が彼らがあなたであると主張し、IBANと住所を与える誰かがお金を送金することを許可することを疑います。もしそうなら、あなたの銀行を変更してください。
口座番号、ソートコード、住所のみを知っている口座から送金することは可能です。
ジェレミー・クラークソンがこれが事実であるとは信じず、彼の銀行の詳細を新聞に発表したかなり注目度の高い事件がありました。その後、詳細は慈善団体に送金するために使用されました。
以下は主に米国の銀行業務に基づいていますが、ほとんどの国は バーゼルの慣行に従う場合、同様のリスク管理慣行を持っています。
ACHを実行するには、ルーティング番号とアカウント番号が必要です。
ただし、ACHを実行するには、内部制御と画面を渡す必要があります。銀行は詐欺を監視する必要があり、あなたがあなたの口座に対して不規則な取引をしている場合、彼らはそれを検出するべきです。米国では、うまくいけば、彼らはレイヤードコントロールを実装するという連邦規制当局の推奨事項 FIL-50-2011 に準拠していることになります。 SMSワンタイムコード)などの帯域内ワンタイムトークン。また、米国では 規制E による電子送金詐欺から保護しています。 Eを使用すると、詐欺に対する請求を行うことができます。多くの場合、銀行は詐欺的な取引を取り消すことができます。
Microsoft Researchのこのペーパーをご覧ください。 パスワードの盗用について私たちが知っていることはすべて間違っていますか? (PDF)は、銀行口座の侵害の個人に対するリスクに対処しています。
通常、銀行は、誰かが口座から引き出したり送金したりできるようにする前に、署名やオンラインパスワードなどの身分証明書を要求します。また、銀行は、特に口座の異常な活動である場合、電信送金または引き出しを行う前に口座名義人に電話またはメールを送ることがあります。