【注意喚起】PayPayキャンペーンを装ったフィッシング詐欺が横行中! その狡猾な手口とは?

今や、代表的なキャッシュレス決済の手段として定着しているPayPay。サービス開始から6年が経過し、ユーザー数は6000万人を突破している。

現金支払いによる財布からお金を取り出したり、お釣りを戻したりする煩わしさからの解放、そしてキャンペーンやポイントとの組み合わせなどで、現金を使用するよりお得に活用できることは、もはや言うまでもない。

だからこそ、そこにつけ込む悪質な詐欺も後を絶たない。ということで、今回紹介するのは、「PayPayキャンペーンを装ったフィッシング詐欺」だ。

ここ1ヶ月で猛威を振るっている、このフィッシング詐欺。果たして、どんな手段で騙し取ろうとするのか? その一部始終をご覧いただこう!

・キャンペーンを謳う偽メール

いつも私が発信するフィッシング詐欺の注意喚起記事は、パソコンの画面のものがほとんど。だがスマホからの被害が多いということもあり、前回の「楽天銀行を装うフィッシング詐欺」同様、今回もスマホ画面で解説していく。

それでは、入口の偽メールから見ていこう。このフィッシング詐欺は、今月に入ってから特に件数が増えていて、私のメールボックスにも1日2〜3通程度、受信している。

偽メールは数種類あると思われるが、最近の件名は「10月限定!最大10,000円相当のPayPayポイントをゲットするチャンス!」という件名のものが出回っている。

メール本文に目を通すと、「10月限定の特別キャンペーンで、最大10,000円相当のPayPay ポイントが当たるチャンス!日常のお買い物や支払いで簡単に参加できます」と書かれている。

続けて、キャンペーン期間も「2024年10月1日(火)~10月31日(木)」とあり、タイムリーさを演出している。おそらく11月になったら「11月限定!」という件名で、期間も11月にすることで使い回しするのだろう。

(広告の後にも続きます)

・マジでそれっぽい偽サイト

次に、個人情報を抜き取るフィッシングサイトに潜入してみよう。メール本文の「今すぐ詳細を見る」というリンクをクリックしてみると……

ログイン画面が表示された。

そしてURLの部分に目を向けると……

「ebringbreathe.twiisconnect.com」と、明らかにPayPayのURLじゃないことがわかる。そしてここで、「アメリカンエキスプレスを装うフィッシング詐欺」などで使用した潜入方法を試してみる。

それは、全てのフォームに「1」のみを記入して潜入する、通称「1攻め」だ。

しかし、これはあっさりと跳ね返されてしまった。そこで適当に「08080808080」と番号を入力し、パスワードも「1」を8桁打ち込んでみる。

すると……

5000円相当のポイントが当選したらしい。

そして、本人確認のためのクレジットカード情報を入力するページに飛ばされる。

なぜ本人確認でクレジットカードの情報を入力しなくてはいけないのか、冷静に考えたら一発でおかしいとわかる。ただし当選に浮かれて思考停止になっているケースも否定できないことから、うっかり入力してしまう可能性はゼロではないと思う。

こんなフォームは「1攻め」で十分じゃい! と、さっそく仕掛けてみる。

しかし、ここもクレジットカード番号とセキュリティーコードの部分で弾かれてしまった。

そこでまた、それっぽい適当な番号を打ち込んでみる。

「次へ」のボタンを押してみると……

「ポイントを順次お配りしております。少々お待ちください。」という文章が画面中央に表示され、しばらくこの画面のままになる。おそらく、この時点で情報が抜かれていると思われる。

その後、画面が切り替わり、なぜかPayPayのXアカウントに飛ばされた。