[au PAY] 不正利用の被害相次ぐ(2022年6月) [警戒]
(2022年6月8日)
電子決済サービス「au PAY」の他人名義のアカウントで買い物をしたとして、京都府警サイバー犯罪対策課と南署は8日、詐欺の疑いで、大阪市の中国籍の男(24)を逮捕した。
今年春から「au PAY」を巡るフィッシング詐欺が全国で急増しており、警察や防犯団体が警戒を呼び掛けている。
フィッシング対策協議会(東京都中央区)によると、全国のフィッシング詐欺の報告件数は、今年2月までは月5万件前後だったが、3月以降は月9万件前後に増えた。
中でも「au」「au PAY」に関する事例が、4、5月は全体の20%強を占め、3月の5.6%から急増。
京都府警への相談も今年3-5月で計177件に上る。
被害の多くは、スマートフォンに「auからの重要なお知らせ」「残高不足のお知らせ」などのメールが届いた後、偽サイトに誘導され、IDとパスワードを入力してしまい、電子決済サービスを悪用されるケースという。
逮捕容疑は、4月14日、京都府八幡市のコンビニで、他人の名義で登録された「au PAY」の決済用QRコードを読み取らせ、加熱式たばこ10箱(計5,800円)をだまし取った疑い。
関連:他人名義の「au PAY」で決済 詐欺疑いで中国籍の男逮捕、京都府警 (京都新聞)
関連:「au PAY」被害相次ぐ 不正利用疑いで容疑者逮捕 組織的犯行か (狗HK)
指示役と実行役
不正に入手した情報で指示役がログイン、決済コードを表示し、そのスクリーンショットを実行役に送ったのでしょう。
決済コードは5分という期限が設けられていますが、実行役が店付近にいれば、余裕で間に合います。
アプリに位置情報を許可しなければ、指示役の位置は掴めません。
2022年6月8日時点、アプリ最新(v9.25.3)、iOS最新(v15.5)で支払いコードのスクリーンショットは普通に取れますし、スクリーンショットを阻止したところで、コード表示は何とでもなります。
二段階認証も、被害者が認証コードを指示役に送ってしまえば、意味がありません。
二段階認証は知らぬ間の不正利用を防ぐためのものなので、利用者が直面している場面では無意味です。
フィッシング詐欺
au/KDDIを騙(かた)った偽メール(フィッシングメール)を送り付け、ログイン情報を入力させる手口です。
関連:ご注意ください!身に覚えのない決済について (au/KDDI)
関連:KDDI利用料金の「未払い金」やau PAY等当社グループサービスを装う偽メールにご注意ください (au/KDDI)
偽メールの例
様々な種類のフィッシングメールが確認されています。
以下は、「au PAY」「au PAY マーケット」などの差異はありますが、他はほぼ同内容であることが多いようです。
-----
お支払い方法変更のご案内[au PAY]
【au PAY】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理解賜りたくお願い申しあげます。
-----
「au PAYカード」「auかんたん決済」「重要なお知らせ 」「本人確認」「個人情報確認」「緊急の連絡」など、多種に渡ります。
また、「auじぶん銀行」を騙るものもあります。
関連:auじぶん銀行を名乗る不審なSMSにご注意ください (auじぶん銀行)
偽メールの先
偽メールと知った上で、リンク先に飛んでみました。
Chromeでは、以下のように警告が出ます。
それでも飛ぶと、以下のようなau風のログイン画面となります。
色もデザインも正規風にしており、見た目では判別できません。
この「ニセ画面」に入力してしまうと、情報が犯罪者に渡り、不正利用されてしまいます。
上述のように、二段階認証も意味がありません。
偽メールの見分け方
以前は「いかにも中華風」な文面が多かったのですが、最近は粗(アラ)のないメールが多いようです。
送信元のメールアドレス(From)は容易に偽装できるので、信用できません。
メール内のリンクも、見た目は容易に偽装できるので、信用できません。
例えば、以下をクリックしてみましょう。
関連:au PAY
「au PAY」とあるのに「ヤフー」に飛びますね。
表示と内容が一致していないことが分かるはずです。
メール内のリンクを、スマホの場合は長タップして確認、パソコンの場合はメーラー下部の表示を確認し、正規かを判断しましょう。
タイミング的に、新規契約/更新/機種変更などと重なると、正規のものであると思いがちです。
相手は常時頻繁に送り付けているので、タイミングが重なることはあるでしょう。
「高額請求」で脅(オド)し、「利用停止」で恐怖を植え付け、「期限が迫っている」と焦(アセ)らせる…
・24時間以内に手続きしないと利用停止されてしまう!
・何この高額請求!24時間以内に確認しないと不正利用されてしまう!
即タップ!即クリック!即入力ッ!
こうして、カネが奪われるのです。
自己責任
詐欺を警戒して恐れるか、向こう側に渡るも末端の出し子でスグにパクられるか、暗躍し見事に組織をまとめ安全な海外で楽にカセぐか…キメるのはキサマ次第!
「うそをついてはいけません。」
「ひとをだましてはいけません。」
誤振込の4,630万円をスムーズにフトコロに入れたり、公僕の国税局職員がナチュラルに給付金詐欺を働くような時代です。
ネットにあふれる詐欺広告、YouTubeで普通に流れる詐欺動画、検討/調査スベキだがヤルとは言っていない政治、さらにソレをイジッた動画でカセぐ輩/芸人の類(タグイ)…
令和新時代、この惨状を見れば、分かることです。
関連:[au PAY] 3Dセキュア非対応につき、通販での決済不可が増加中 [プリペイド]
関連:[危険] 客のカード情報をメモして不正利用! [高級ステーキ店]
関連:[auかんたん決済] なりすましでau携帯決済、不正接続容疑で男逮捕