アカウント名:
パスワード:
後払いOKなのに本人確認してないとしたら雑すぎる。
一応電話番号でSMS認証してるんですが、後払いサービスの限度額に対して不十分ということですね。
メールアドレスは無料かつ簡単に発行できるので信用がゼロなのは常識ですが、SMS番号もReceive-SMS-online.info、格安SIM(今はダメかも)、SMS認証代行サービスなど、本人に紐づかない形で認証する方法はいくつかあります。SMS認証代行の相場は現在1,000円前後なので、それを超える信用を付与してはいけないのに、そこを理解せずに大手のSMS認証を形だけ真似ると悪用されるという、いい例だと思います。
その辺の本人確認の甘さが解ってたから、支払いがない場合は商品受け取った人に請求することで損害を会社が被らないようにと考えてたのかもしれませんね。
paydyの中の人は、まさか他人を送り先にする手口がここまで簡単に使えるとは思いつかなかったんだろうな。
今までのレガシーな決済手段にとらわれないイノベーティブな決済手段を考えるような頭のいい人が、偽出前レベルのやりくちを考慮してないわけがないじゃないですかぁ(棒読み)
#「誰もやらなかったことに挑戦する」とほざくが大抵それは「先人が思いついたけどあえてやらなかった」ことだうんぬん
つまりこれですかな。https://www.itmedia.co.jp/business/articles/1912/18/news107.html [itmedia.co.jp]
あのネーミングだろ?ネタじゃないの?本当にやってるの?!
Amazonから送られてくるSMSと、Amazon騙る架空請求のSMSが、同じ発信者と判定されていたりするしSMSで本人認証なんて信用出来ないと思ってます。
SMS確認ってのはあくまで申込者自身かの本人確認にしか使えないのに、与信調査にできると勘違いした間抜けがいたということですね。
俺はSMS認証で問題ないと思うけど。この犯人が間抜けなだけじゃないのか?
振り込め詐欺で使われる携帯電話から犯人捕まえられるのは何割くらいでしょうね。犯人が素人ならすぐ捕まるだろうけど、組織的にやってたらなかなかしっぽ掴めんと思うよ。そのうえ主要な通販業者はpaidy使用不能にしただろうから、以後の再犯≒追加の手がかりが少ないので地道な捜査とかも難しい。ネットのアクセス元と携帯電話での手掛かりが途切れたらおしまい。
電話番号とメアドが担保で簡単になってますよ。俺はStores.jpでお店持っていて、1回だけPaidyで払ったお客さんいたけど、店側の回収の手間やリスクを数%分の手数料でやってくれるみたいな感じ。実際逃げても店側は支払いあるので、回収がどうなってるかはサイトに載ってるやり方以外わからん。
「この電話番号とメアドは今端末を操作してる人間が利用している」という確認は取れてるけど、入力された住所氏名が本当にその人間のものかという確認が取れてないんだよね……paydyの設計ミスとしかいいようがない。
そこを第三者がやってくれればいいんだけどね。中国では、Alipayなどで銀行口座を入力すると、銀行口座開設時に登録した携帯電話番号にSMSが届き承認すればそれで銀行との連携ができるそうな。つまり銀行が本人確認を代行してやってくれているってこと。日本でも同じことはできそうだし(クレカ会社も)、もっと言えば携帯電話会社が本人確認と個人情報の共有or照合をしてくれればいろんなサービスが便利になると思うけど、難しいのかなあ。
購入意思提示者以外(配送先)に請求飛ばしたのが問題なのだから、購入意思提示者の本人を確認いくらやっても無駄だと思う。商品送付先やただ入力されただけの住所は購入意思提示者を示す情報ではない。購入意思提示者に紐付いている情報から請求書を送るべきで、携帯電話キャリアに裁判所経由で照会掛けるとかが正攻法。携帯電話キャリアが電話番号に対する請求書を利用者に転送するとかでも良いが、明らかに架空請求業者大喜びなサービスになってしまうのでこれは困難かな。メールアドレスやSMSの実在確認と同じく、請求書送付先にもアカウント有効化キーを送付して、アカウントにキーが入力されたら郵送での請求書送付を有効化するってのもアリ。ただ、郵送だと簡単に盗まれてしまうから近隣住民による嘘登録は防ぎきれない。
報道内容から見ると代引きの代替を狙ったサービスだったんじゃないかな。代引きで問題だった受取拒否が発生する理由くらい想定しておけよと。
本人確認を厳密にすると「日本は規制だらけで遅れてる!」と言われてゆるくすると速攻突かれる。どうしろってんだ
「日本は規制だらけで遅れてる!」とか言ってる馬鹿は放置しろ。馬鹿でなければ犯罪者の類なんだから。
この場合は日本の法律とか省令による規制とはたぶん(*1)関係ないですからねえ。ゆるゆるで与信した抜け作が損をしても仕方ないけれど、他人に迷惑を掛けるようなら新しい規制が作られてしまう。
*1:ひょっとしたら多重債務者か否かの確認を怠っているとか、反社会的団体の構成員か否かの確認を怠っているとか、そういうつっこみの余地があるかも。
そもそも住所が有ってスマホが使えてる人間を一企業が入手できる情報だけで反社会認定するのは不可能でしょ。
画面にチェックを付けたところで本物には無意味だし逃げ得を許さないような制度設計がミソでしょ。
「海外はこんなザルシステムでも平気にやってる」という事例を見せてみろ
昔ながらのクレジットカード詐欺なら君も知ってる通り、いくらでも事例あるよ。これも後払いだし。10秒ぐらい考えてみなよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
本人確認してないんだろうか (スコア:0)
後払いOKなのに本人確認してないとしたら雑すぎる。
Re:本人確認してないんだろうか (スコア:3, 参考になる)
一応電話番号でSMS認証してるんですが、後払いサービスの限度額に対して不十分ということですね。
メールアドレスは無料かつ簡単に発行できるので信用がゼロなのは常識ですが、SMS番号もReceive-SMS-online.info、格安SIM(今はダメかも)、SMS認証代行サービスなど、本人に紐づかない形で認証する方法はいくつかあります。SMS認証代行の相場は現在1,000円前後なので、それを超える信用を付与してはいけないのに、そこを理解せずに大手のSMS認証を形だけ真似ると悪用されるという、いい例だと思います。
Re: (スコア:0)
その辺の本人確認の甘さが解ってたから、支払いがない場合は商品受け取った人に請求することで損害を会社が被らないようにと考えてたのかもしれませんね。
Re: (スコア:0)
paydyの中の人は、まさか他人を送り先にする手口がここまで簡単に使えるとは思いつかなかったんだろうな。
Re: (スコア:0)
今までのレガシーな決済手段にとらわれないイノベーティブな決済手段を考えるような頭のいい人が、
偽出前レベルのやりくちを考慮してないわけがないじゃないですかぁ(棒読み)
#「誰もやらなかったことに挑戦する」とほざくが大抵それは「先人が思いついたけどあえてやらなかった」ことだうんぬん
Re:本人確認してないんだろうか (スコア:1)
#「誰もやらなかったことに挑戦する」とほざくが大抵それは「先人が思いついたけどあえてやらなかった」ことだうんぬん
つまりこれですかな。
https://www.itmedia.co.jp/business/articles/1912/18/news107.html [itmedia.co.jp]
Re: (スコア:0)
あのネーミングだろ?ネタじゃないの?本当にやってるの?!
Re: (スコア:0)
Amazonから送られてくるSMSと、Amazon騙る架空請求のSMSが、同じ発信者と判定されていたりするし
SMSで本人認証なんて信用出来ないと思ってます。
Re: (スコア:0)
SMS確認ってのはあくまで申込者自身かの本人確認にしか使えないのに、
与信調査にできると勘違いした間抜けがいたということですね。
Re: (スコア:0)
俺はSMS認証で問題ないと思うけど。
この犯人が間抜けなだけじゃないのか?
Re: (スコア:0)
Re: (スコア:0)
振り込め詐欺で使われる携帯電話から犯人捕まえられるのは何割くらいでしょうね。
犯人が素人ならすぐ捕まるだろうけど、
組織的にやってたらなかなかしっぽ掴めんと思うよ。
そのうえ主要な通販業者はpaidy使用不能にしただろうから、
以後の再犯≒追加の手がかりが少ないので地道な捜査とかも難しい。
ネットのアクセス元と携帯電話での手掛かりが途切れたらおしまい。
Re:本人確認してないんだろうか (スコア:2, 参考になる)
電話番号とメアドが担保で簡単になってますよ。
俺はStores.jpでお店持っていて、1回だけPaidyで払ったお客さんいたけど、
店側の回収の手間やリスクを数%分の手数料でやってくれるみたいな感じ。
実際逃げても店側は支払いあるので、回収がどうなってるかはサイトに載ってるやり方以外わからん。
Re: (スコア:0)
「この電話番号とメアドは今端末を操作してる人間が利用している」という確認は取れてるけど、入力された住所氏名が本当にその人間のものかという確認が取れてないんだよね……
paydyの設計ミスとしかいいようがない。
Re:本人確認してないんだろうか (スコア:2)
そこを第三者がやってくれればいいんだけどね。
中国では、Alipayなどで銀行口座を入力すると、銀行口座開設時に登録した携帯電話番号にSMSが届き
承認すればそれで銀行との連携ができるそうな。つまり銀行が本人確認を代行してやってくれているってこと。
日本でも同じことはできそうだし(クレカ会社も)、もっと言えば携帯電話会社が本人確認と個人情報の共有or照合を
してくれればいろんなサービスが便利になると思うけど、難しいのかなあ。
Re: (スコア:0)
購入意思提示者以外(配送先)に請求飛ばしたのが問題なのだから、
購入意思提示者の本人を確認いくらやっても無駄だと思う。
商品送付先やただ入力されただけの住所は購入意思提示者を示す情報ではない。
購入意思提示者に紐付いている情報から請求書を送るべきで、
携帯電話キャリアに裁判所経由で照会掛けるとかが正攻法。
携帯電話キャリアが電話番号に対する請求書を利用者に転送するとかでも良いが、
明らかに架空請求業者大喜びなサービスになってしまうのでこれは困難かな。
メールアドレスやSMSの実在確認と同じく、
請求書送付先にもアカウント有効化キーを送付して、
アカウントにキーが入力されたら郵送での請求書送付を有効化するってのもアリ。
ただ、郵送だと簡単に盗まれてしまうから近隣住民による嘘登録は防ぎきれない。
Re:本人確認してないんだろうか (スコア:1)
報道内容から見ると代引きの代替を狙ったサービスだったんじゃないかな。
代引きで問題だった受取拒否が発生する理由くらい想定しておけよと。
Re: (スコア:0)
本人確認を厳密にすると「日本は規制だらけで遅れてる!」と言われて
ゆるくすると速攻突かれる。
どうしろってんだ
Re:本人確認してないんだろうか (スコア:1)
「日本は規制だらけで遅れてる!」とか言ってる馬鹿は放置しろ。
馬鹿でなければ犯罪者の類なんだから。
Re: (スコア:0)
この場合は日本の法律とか省令による規制とはたぶん(*1)関係ないですからねえ。
ゆるゆるで与信した抜け作が損をしても仕方ないけれど、他人に迷惑を掛けるようなら新しい規制が作られてしまう。
*1:ひょっとしたら多重債務者か否かの確認を怠っているとか、反社会的団体の構成員か否かの確認を怠っているとか、そういうつっこみの余地があるかも。
Re: (スコア:0)
*1:ひょっとしたら多重債務者か否かの確認を怠っているとか、反社会的団体の構成員か否かの確認を怠っているとか、そういうつっこみの余地があるかも。
そもそも住所が有ってスマホが使えてる人間を一企業が入手できる情報だけで反社会認定するのは不可能でしょ。
画面にチェックを付けたところで本物には無意味だし逃げ得を許さないような制度設計がミソでしょ。
Re: (スコア:0)
「海外はこんなザルシステムでも平気にやってる」という事例を見せてみろ
Re: (スコア:0)
昔ながらのクレジットカード詐欺なら君も知ってる通り、いくらでも事例あるよ。これも後払いだし。10秒ぐらい考えてみなよ。