＞ ワンタイムパスワードを送信する電話番号やメールアドレス を詐欺師が持っていないはずなので不正送金とかはできないのでは？ 2要素認証についての質問みたいですが、その認識で合ってますよ。 ただし、送金の際に2要素認証が本当にあるのか？は、まず確認するべきでしょうね。 また、2要素目の認証情報の送信先がメールアドレスなら、そのメールアドレスを受信するための情報を盗まれてしまえば、犯罪者も2要素目の情報を受信できるわけですから、2要素認証は意味がなくなります。 メールは、メール受信サーバとそこにログインするためのID・パスワードがあれば、犯罪者にでも誰にでもメールを見ることができますので。 これが電話番号を使ったSMS認証なら、そういう心配はしなくていいでしょうし、ネットバンクでよくある専用のカードキーやアプリを使ってワンタイムパスワードを発行する仕組みなら、さらに安全だと言えます。 なお、たとえ送金の際には2要素認証があったとしても、2要素認証用の情報の送り先を2要素認証なしで自由に変えることができるなら、アウトってことになります。 例えばドコモ口座の不正なんて、そういう仕様の裏をついて勝手に銀行口座の紐付けができてしまっていたから、ああいう大事件になってしまいましたので。 他にはtoreroさんがご説明されている、2要素目の認証情報をフィッシング詐欺で盗むという手口ですね。 これは2要素認証自体が破られるわけではなく、偽サイトに2要素目の認証情報を入力してしまうから破られるだけです。