今や、代表的なキャッシュレス決済の手段として定着しているPayPay。サービス開始から6年が経過し、ユーザー数は6000万人を突破している。
現金支払いによる財布からお金を取り出したり、お釣りを戻したりする煩わしさからの解放、そしてキャンペーンやポイントとの組み合わせなどで、現金を使用するよりお得に活用できることは、もはや言うまでもない。
だからこそ、そこにつけ込む悪質な詐欺も後を絶たない。ということで、今回紹介するのは、「PayPayキャンペーンを装ったフィッシング詐欺」だ。
ここ1ヶ月で猛威を振るっている、このフィッシング詐欺。果たして、どんな手段で騙し取ろうとするのか? その一部始終をご覧いただこう!
・キャンペーンを謳う偽メール
いつも私が発信するフィッシング詐欺の注意喚起記事は、パソコンの画面のものがほとんど。だがスマホからの被害が多いということもあり、前回の「楽天銀行を装うフィッシング詐欺」同様、今回もスマホ画面で解説していく。
それでは、入口の偽メールから見ていこう。このフィッシング詐欺は、今月に入ってから特に件数が増えていて、私のメールボックスにも1日2〜3通程度、受信している。
偽メールは数種類あると思われるが、最近の件名は「10月限定!最大10,000円相当のPayPayポイントをゲットするチャンス!」という件名のものが出回っている。
メール本文に目を通すと、「10月限定の特別キャンペーンで、最大10,000円相当のPayPay ポイントが当たるチャンス!日常のお買い物や支払いで簡単に参加できます」と書かれている。
続けて、キャンペーン期間も「2024年10月1日(火)~10月31日(木)」とあり、タイムリーさを演出している。おそらく11月になったら「11月限定!」という件名で、期間も11月にすることで使い回しするのだろう。
(広告の後にも続きます)
・マジでそれっぽい偽サイト
次に、個人情報を抜き取るフィッシングサイトに潜入してみよう。メール本文の「今すぐ詳細を見る」というリンクをクリックしてみると……
ログイン画面が表示された。
そしてURLの部分に目を向けると……
「ebringbreathe.twiisconnect.com」と、明らかにPayPayのURLじゃないことがわかる。そしてここで、「アメリカンエキスプレスを装うフィッシング詐欺」などで使用した潜入方法を試してみる。
それは、全てのフォームに「1」のみを記入して潜入する、通称「1攻め」だ。
しかし、これはあっさりと跳ね返されてしまった。そこで適当に「08080808080」と番号を入力し、パスワードも「1」を8桁打ち込んでみる。
すると……
5000円相当のポイントが当選したらしい。
そして、本人確認のためのクレジットカード情報を入力するページに飛ばされる。
なぜ本人確認でクレジットカードの情報を入力しなくてはいけないのか、冷静に考えたら一発でおかしいとわかる。ただし当選に浮かれて思考停止になっているケースも否定できないことから、うっかり入力してしまう可能性はゼロではないと思う。
こんなフォームは「1攻め」で十分じゃい! と、さっそく仕掛けてみる。
しかし、ここもクレジットカード番号とセキュリティーコードの部分で弾かれてしまった。
そこでまた、それっぽい適当な番号を打ち込んでみる。
「次へ」のボタンを押してみると……
「ポイントを順次お配りしております。少々お待ちください。」という文章が画面中央に表示され、しばらくこの画面のままになる。おそらく、この時点で情報が抜かれていると思われる。
その後、画面が切り替わり、なぜかPayPayのXアカウントに飛ばされた。