やられてしまいました。危ういところで気づいて実害はなかったのですが、
電話でターミナルウィンドウを開いてコマンドを打つように言われたり、
遠隔操作のソフトを入れたりして途中までまんまと騙されてしまいました。
それで、伺いたいのですが、
ターミナルからMac内のファイルなどの情報が盗まれるようなことがあるか、
ターミナルウィンドウの過去ログをみることができるのか、
ご存知の方がいらっしゃいましたらご教示いただけるとありがたいです。
iMac 21.5", macOS 10.15
その文字列はブラフだと思います。
逆に言えば、何かを事前に仕込まれていいます。クリーンインストールと銀行口座のID やパスワードの変更を。
ID とパスワードを入れたままログインするなというのは、裏で抜き取りを試行するためと推測されます。
抜き取られていたら大問題ですので銀行と相談を。
横から失礼いたします。
Gin_tonicさん、おはようございます。
たぶんご存知のことかもしれませんが、ターミナルで打ち込まれたコマンドの履歴(コマンドを実行した結果ではなく)でしたら、ターミナルを立ち上げてキーボードの↑キーを押すごとに1件1件古いものへ遡って呼び出すことができます。履歴を呼び出した状態で↓キーを押せば、1つ新しい履歴にも戻れます。ただし、履歴を表示した状態でenterキーを押すと実行されてしまうので、不適切なコマンドを実行することのないよう注意は必要です。
どんなコマンドを打たされたのか、打ち込まれたのか、差し支えなければこちらでご相談になってみてはいかがでしょうか。
なお、私はターミナルに詳しくないので、お役には立てそうにありません。ごめんなさい。
度々失礼いたします。
Gin_tonic さんによる書き込み:
それから MojaveからCatalinaにアップしているので、それでもターミナルのコマンド履歴がまだ見れるのでしょうか…明日Macにアクセスしたときに確認してみます。
ここだけ返信させていただきます。
macOSをアップグレードすると消えるのかどうかは、ごめんなさい、わかりません。でも、消えないのではないかと予想します。
あと、ターミナルの履歴はユーザー毎だと思うので、ターミナルを操作していた時のユーザーで履歴を確認できるのではと思います。
おやすみなさい。
それって、Appleになりすました人から電話があって、ターミナルにコマンドや遠隔操作アプリをインストールする様に指示してきたって事ですか?
遠隔操作アプリのインストールやターミナルへのコマンド入力の指示など、可能な範囲で時系列で詳しく書かれた方が意見が出やすいかと思います。
返信ありがとうございます。
恥ずかしながらプログラミング知識がないのと、緊張のあまり 何を打ちこんだのか、あまり覚えていないのです。
さきほど調べるとひとつだけnetstat だったというのだけは分かりました。
電話の主は私が在住している国の大手の電話会社のセキュリティ担当者を名乗り、あなたのPCがハッキングされているので、PCを開いて操作するように、と言われました。それでターミナルを開いて、コマンドを打つように言われ、言われて打ったコマンド netstat の結果を見ても、何のこっちゃ?となったのです。それで遠隔操作して確認しますから〜など言われ
AnyDeskとTeamViewerをインストール、ターミナルでコマンド(ここは全く覚えていません)でハッカーのアクセス7件あり、というメッセージが出てきて、それからネットバンキングを使っているか、それはまずいです、不正アクセスがないか、PCから銀行にアクセスして確認してください、云々…言われるがままログインして確認し、今度はログアウトして銀行のユーザーIDとパスワードを入れたままログインはするなと言われ、、、ここで怪しいと思い始め、いろいろ問いただすと、ターミナルにまたガチャガチャ入れられ、今度は不正アクセス3件と出てきて、ほら、あなたのPCは危ないんです、今国中で同様の問題が多発していて、国から依頼を受けた私たちが皆さんが被害に遭わないように奮闘しているんです、これは国のトップシークレットだから銀行の窓口に尋ねてもわからないことです、、、などなど。そこでルーターの線を引っこ抜いて、本当に電話会社の人なのか、問答しながら近所の交番まで駆け込んだら電話は切れ、おまわりさんに事情を話すと、詐欺ですね、とポリスリポートし、午前中が潰れてしまいました。
帰宅してまずネットに接続する前にTeamViewerはアンインストールしたものの、なぜか AnyDeskは見当たらず、、、ファイアウォールで許可していたTeamViewerを消去し、他に見られていた銀行のログインIDやパスワードを変更し、他にすることは、ターミナルで見せられていた情報は何だったんだ、と思い、こちらに書き込みしてお尋ねしている次第です。
長々とすみません。。。
返信ありがとうございます。
矢印で履歴が見れるのですか、知りませんでした。情報ありがとうございます。
そういえば、帰宅してネットに繋ぐ前になんとかせねばと思ってMacを見ると、ターミナルウィンドウの履歴がなくなっており、インストールしたと思っていたAnyDeskもどこにも見当たりませんでした。それからTeamViewerを削除し、それから MojaveからCatalinaにアップしているので、それでもターミナルのコマンド履歴がまだ見れるのでしょうか…明日Macにアクセスしたときに確認してみます。
遠隔操作されている間は メインの管理者ではなく、家族がゲーム用に使っているアカウントでMacに入っていたの不幸中の幸いでした。何やらデスクトップがコピーされたらしいのわかったのですが、あとで確認すると ゲーム画面のスクリーンショットばかりのフォルダでした。
ただ、Macの管理者=本名、電話番号はすでに相手に渡っており、今後も似たような電話を受けそうなので気が重いです。(早速午後同じ電話会社を名乗って同じ切り出しの電話がまたかかって来てましたが)
遅い時間にもかかわらず返信ありがとうございました。
ログインしていたサブユーザーでログインし、確認すると、以下のコマンドが打たれていました。
(OSをアップグレードしても残るんですね!)
-----------
netstat
tree ¥
d;2D
f
fdfd
fddffffffffd
d
df
dffd
dfd
fd
ddf
dff
fd ** 7 HACKERS ARE FOUND**
EMAIL IS SAFE 3 HACKERS STILL IN YOUR BANK
-----------
一行目は自分で打ち込んだもので、同じネットワークの接続中のデバイスを確認するためのコマンド、
以下は詐欺師が適当に打ち込んでディレクトリを見せられ、
最後の2行はハッカーがどうの、銀行に侵入中、というような、
向こうが打ちこんだメッセージを単に見せられていただけ、という解釈でよいでしょうか。
↑こんな単純な手に引っかかった自分が恥ずかしい(-_-"")
打ち込んで表示さて出てきた内容(ディレクトリ?)は自分のものなのか、
それとも詐欺師側のPCの内容だったのでしょうか。
>AnyDeskはTeamViewerと同種のソフトのようですので、AnyDeskがうまくインストールできなかったか動かなかったかして、TeamViewerをインストールさせられたのかもしれませんね。
なるほど、それでAnyDeskを削除しようとしても 見当たらなかったわけですね、納得です。(確かにインストールを許可したはずなのに、という疑問は残りますが、たしかに相手はAnyDeskのアクセスコードを何回も尋ねた後で、TeamViewerをインストールするように言ってきました)
ログインIDとパスコードは変更済みで、今のところ怪しいSMSや不正アクセスを報告するメールも受信していないので、大丈夫かと思います。この先怪しい電話を受けても簡単に騙されないよう、人生経験を積みました。いいことなんだか悪いことなんだか…。
受けた電話はバックグラウンドが何やら騒がしく、組織的な場所からかけられた印象を受けました。
そして電話の主の切羽詰った話し方にまんまと騙されてしまいました。3人も入れ替り立ち替わり…劇場型詐欺とでもいうんでしょうか。まさか自分が引っかかるとは。
皆さんも同じ目にあいませぬよう、どうぞお気をつけください。
D300さん、三毛猫大好きさん、ni_kiさん、つまらない騒動に返信いただきありがとうございました。心強かったです。
Gin_tonicさん、こんにちは。
Gin_tonic さんによる書き込み:
一行目は自分で打ち込んだもので、同じネットワークの接続中のデバイスを確認するためのコマンド、
以下は詐欺師が適当に打ち込んでディレクトリを見せられ、
最後の2行はハッカーがどうの、銀行に侵入中、というような、
向こうが打ちこんだメッセージを単に見せられていただけ、という解釈でよいでしょうか。
↑こんな単純な手に引っかかった自分が恥ずかしい(-_-"")
打ち込んで表示さて出てきた内容(ディレクトリ?)は自分のものなのか、
それとも詐欺師側のPCの内容だったのでしょうか。
私もコマンド自体についてはni_kiさんのご見解の通りブラフなのだろうと想像します。何かを仕込まれている可能性も確かに否定できませんが、無責任な予想としては、案外TeamViewerだけだったのではとも思います。例えば、TeamViewerを介して遠隔地間でクリップボードを共有したりできたとすると、銀行のID・パスワードを盗むのに使われてそうです。
ID・パスワードを変更済みとのことですし、とりあえずは大丈夫なような気がしますけれど。
ちなみに、AnyDeskはTeamViewerと同種のソフトのようですので、AnyDeskがうまくインストールできなかったか動かなかったかして、TeamViewerをインストールさせられたのかもしれませんね。
このまま無事に済むことを願っております。
やはりブラフですよね…。
インストールを許可したのはAnyDeskとTeamViewerの2回だけで、システムログをチェックしましたが、他に怪しそうなものはありませんでした。
さらにCatalinaにアップし、ファイヤーウォールの許可もAppleのものだけにし、ステルスにチェックしたので 大丈夫かと思ったのですが…TimeCapsuleに定期的にバックアップは取っていますが、クリーンインストールを経験したことがないので、実行するには 勇気が入りそうです…。
まんまと騙されている間、電話の相手が3人目に代わり、既述のように銀行のログイン画面で入力した黒丸のPINコードを範囲指定し、音声読み上げをしようとしているのをみて(実際に実行されていましたが、読み上げが出来なかったよう)、急いでPINコードを削除したのですが、どうしたのですか、再入力してください、と促し、疑い出した私を説得させようと必死になってきたので、PINコードは盗まれていなかったと思います。(以前、パスコードの伏せ字部分の変換にタイムラグがあり、入力したパスコードが一瞬表示されてしまう問題がありましたが、改善されていて良かったです、本当に。)
PINコードは交番でポリスリポート作成中に変更し、帰宅してからログインIDを変更しました。昨日から何度も銀行の残高をチェックしていますが、今のところ大丈夫です。
また送金の実行にはデジタルトークン(SMSで送られてくるパスコードを入力する方法)を使っているので、何か不正なアクセスがあっても阻止できるかと。(現時点で請求した覚えのないパスコードがSMSで送られてくることもありません)
遠隔操作詐欺…
