クレジットカードがなくてもオンラインショップなどで「あと払い」ができる決済サービス「Paidy(ペイディ)」

分割手数料無料で3回に分割払いができる「3回あと払い」サービスや、Appleで利用できる「ペイディあと払いプランApple専用」が評判だ。私(耕平)が使用している「MacBook Air」は、このペイディが提供している金利ゼロの24回払いを利用して購入している。

そんな素晴らしいサービスを提供しているペイディにも、偽のフィッシング詐欺が横行しだした。これはサービスを利用しているユーザーとしても許せん! ということで、さっそく潜入。その個人情報を抜き取る一部始終と対策をお伝えしよう。

・偽装ドメインを搭載した危険な偽メール

フィッシング詐欺の入口となるペイディを騙(かた)る偽メールは、複数確認している。中でも危険なのは「ペイディご利用確認のお願い」という件名のものだ。

その理由は三井住友銀行を名乗る偽メールでも見られた、送信元のメールアドレス「info@paidy.com」に使われているドメイン「paidy.com」を偽装していること。

ちなみに本物のペイディが配信している、メールの送信元アドレスは「noreply@paidy.com」だ。

この違いこそが、現時点で偽メールを見分けるポイントの1つ。ペイディユーザーは覚えていてほしい。ただし、今後「noreply@paidy.com」を完全に偽装してくる可能性も十分にあるので、個人情報の入力を求めてくる内容のメールには細心の注意を払ってもらいたい。

・本物そっくりのサイトに注意!

いよいよ潜入を試みる。偽メールのリンクをクリックすると、お決まりのブラウザによる警告画面が表示された。

警告画面は本当に役立つ。ただし、毎回お伝えしているように表示されない場合もあるので、この機能があるからといって安心しないでいただきたい。

そのまま進んでいくと、ログイン画面が表示される。

まずは、アメリカンエキスプレスカードのフィッシング詐欺などで試している、「1」のみを打ち込んで進んでいくといった初歩的な潜入手法を試してみる。

ただ最近のフィッシング詐欺は進化しているので、この方法で潜入を試みても弾かれてしまうことがほとんどだ。今回はダメ元で「次へ」をクリックしたところ……

進めてしまった。

次に携帯番号の入力フォームが表示される。ここでも「1」のみを打ち込んでみる。

しかし、今度は弾かれてしまった。そこで次の手段、「1」を携帯番号と同じ11ケタ打ち込んでみる。

すると……

進めた!

ペイディは「セキュリティコードによる2段階認証」を採用しているので、4ケタの認証コードが求められる。まぁ、先ほどの携帯番号の入力フォームで「1」の羅列しか打ち込んでないから、認証コードが届くはずもないのだが。そしてここでも「1」のみを打ち込んでみる。

続けて「ログイン」をクリック!

さすがに弾かれた。

次の手段として、適当に「1234」と打ち込んでみる。

再度「ログイン」をクリックすると……

本物のログインページに飛ばされてしまった。

近年定番になっているパターンであり、この時点で個人情報の抜き取りが完了していると思われる。

・騙されないために

まとめよう。今回調査したフィッシング詐欺の特徴としては下記の3点。

・メールの送信元アドレスのドメインは、本物と同じ
・ログインページの登録フォームは、本物と異なる(本物は「メールアドレス+携帯番号」の入力だが、偽物は「メールアドレス → 携帯番号」)
・認証コードによる、2段階認証を採用している

本物とは若干ログイン方法が異なるものの、この程度の違いでしかない。事前知識がない人ならば騙されても不思議ではないだろう。そして毎回お伝えしているが、フィッシング詐欺防止の一番の方法は……

「メールやSMSから、直接サイトにアクセスしないこと」

これに尽きる。なお、ペイディからも注意喚起されているので、ペイディユーザーは一読必須だ。

──以上、この記事が被害拡大防止の一助になれば幸いである。

参考リンク:ペイディ「【ご注意ください】ペイディを装った不審なメール・SMSについて
執筆:耕平 
Photo:RocketNews24.