危険なPayPayを装ったフィッシングサイト
PayPayは皆様よく利用されていらっしゃいますか?
現在PayPayやPayPayカードを使った新たな詐欺が横行しておりフィッシング対策協議会 が注意喚起をしています。
その詐欺の手口をご紹介いたします。
そのうちの1つは過去最高の危険度です。
※本ページで表示しています画像の中には資料を元にスマホのスクショなどを使いイラストレーターで制作しておりますので、実際の画面とは若干異なるかもしれません。ご了承ください。
従来型の手法3つ
返金詐欺
これは以前からある詐欺ですが、ネットショップでお買い物をします。
詐欺師ネットショップオーナー
後日ネットショップオーナーより「只今欠品していますのでPayPayで返金します。」という連絡が入ります。
そして「このQRコードを読み込んで確認コード「53568」を入力してください。」などと案内されます。
しかしこのQRコードは返金のためのQRコードではなく送金用のQRコードになります。
また、確認コード「53568」はコードではなく53,568円という金額です。
これを実行してしまいますと第三者に送金されてしまいます。
「返金します」というのは100%詐欺です。
ポスト投函詐欺
「家賃がQR払いになった」という偽のチラシが投函され、それを信用して実際に支払ってしまった、という人がいます。
急増中の手口
送金リンク詐欺(過去最高の危険度)
① 偽のメールが届きます。
下の「請求金額を確認する」というボタンをクリック(タップ)しますと偽サイトへ飛びます。
② 偽サイトに本物のPayPayのログイン画面を埋め込みます。(これはYouTubeやGooglemapを埋め込むのと同様です)
③ ログインボタンを押すと送金になってしまいます。
(これは情報量が少なくあくまで推測になりますが「オーバーレイ」という処理をしているのではないかと思います。)
オーバーレイイメージ図
本物のボタンの上に透明な偽のボタンを重ねます。これはHTML版(ウェブ版)のログインですとこのようなことが可能です。
ワンタイムパスワードまで盗まれる
① 不安を煽るようなフィッシングメールが届きます。
下の「請求金額を確認する」というボタンをクリック(タップ)しますと偽サイトへ飛びます。
② ワンタイムパスワード取得の手口
- (悪者)IDやパスワードの入力画面を表示。
- (ユーザー)IDやパスワードを入力。
- (悪者)クレカのカード番号、有効期限、セキュリティコードの入力指示画面を表示。
- (ユーザー)クレカのカード番号、有効期限、セキュリティコードを入力。
(ここまでは従来型詐欺の手順) - (悪者)「本人確認のために今からワンタイムパスワードを送信します」という画面を表示。また、正規のクレカ情報を元にネットショップなどでクレカの利用を試みる。
- (ユーザー)SMSでワンタイムパスワードが届く。
- (悪者)ワンタイムパスワード入力画面を表示。
- (ユーザー)偽サイトにワンタイムパスワードを入力。
- (悪者)ワンタイムパスワードをネットショップで入力。
これでクレカが不正利用されてしまいました。
グループ請求機能の悪用
第三者によってグループ支払いのメンバーに勝手に追加され請求リンクが送られてくるという事象があります。
支払いを拒否すれば何もないのですが、頻繁に飲み会をしたり、遊びに行くなどをしてグループ支払いをしていますと「この間のことかな?」と思ってしまい支払ってしまいます。
勝手にグループに追加されないためには初期状態では危険です。
以下のPayPayのサイトで説明していますので今すぐ設定してください。
私たちが取るべき対策
おかしいと感じたメールのリンクはクリック(タップ)せず、焦らず落ち着いてアプリもしくはブラウザの「お気に入り」から入り内容を確認しましょう。
もしフィッシングメールのリンクをクリック(タップ)してしまってログイン画面が表示されてもまずは落ち着いてURLを確認しましょう。
PayPayのURLはhttps://paypay.ne.jpです。この後にログイン画面までのパス/app/loginなどが続きますので、偽サイトと見分けることができます。
PayPay右下にあります「アカウント」〜「セキュリティとプライバシー」〜「端末認証」で設定できます。
新たなPayPay詐欺が・・・
今、本ページを作成している際、PayPayの新たなすごい詐欺の情報を発見しました。
これも巧妙なフィッシングメールが始まりです。
大変恐ろしい詐欺です。Yahooニュースを是非チェックしてみてください。