今や、代表的なキャッシュレス決済の手段として定着しているPayPay。サービス開始から6年が経過し、ユーザー数は6000万人を突破している。

現金支払いによる財布からお金を取り出したり、お釣りを戻したりする煩わしさからの解放、そしてキャンペーンやポイントとの組み合わせなどで、現金を使用するよりお得に活用できることは、もはや言うまでもない。

だからこそ、そこにつけ込む悪質な詐欺も後を絶たない。ということで、今回紹介するのは、「PayPayキャンペーンを装ったフィッシング詐欺」だ。

ここ1ヶ月で猛威を振るっている、このフィッシング詐欺。果たして、どんな手段で騙し取ろうとするのか? その一部始終をご覧いただこう!

・キャンペーンを謳う偽メール

いつも私が発信するフィッシング詐欺の注意喚起記事は、パソコンの画面のものがほとんど。だがスマホからの被害が多いということもあり、前回の「楽天銀行を装うフィッシング詐欺」同様、今回もスマホ画面で解説していく。

それでは、入口の偽メールから見ていこう。このフィッシング詐欺は、今月に入ってから特に件数が増えていて、私のメールボックスにも1日2〜3通程度、受信している。

偽メールは数種類あると思われるが、最近の件名は「10月限定!最大10,000円相当のPayPayポイントをゲットするチャンス!」という件名のものが出回っている。

メール本文に目を通すと、「10月限定の特別キャンペーンで、最大10,000円相当のPayPay ポイントが当たるチャンス!日常のお買い物や支払いで簡単に参加できます」と書かれている。

続けて、キャンペーン期間も「2024年10月1日(火)~10月31日(木)」とあり、タイムリーさを演出している。おそらく11月になったら「11月限定!」という件名で、期間も11月にすることで使い回しするのだろう。

・マジでそれっぽい偽サイト

次に、個人情報を抜き取るフィッシングサイトに潜入してみよう。メール本文の「今すぐ詳細を見る」というリンクをクリックしてみると……

ログイン画面が表示された。

そしてURLの部分に目を向けると……

「ebringbreathe.twiisconnect.com」と、明らかにPayPayのURLじゃないことがわかる。そしてここで、「アメリカンエキスプレスを装うフィッシング詐欺」などで使用した潜入方法を試してみる。

それは、全てのフォームに「1」のみを記入して潜入する、通称「1攻め」だ。

しかし、これはあっさりと跳ね返されてしまった。そこで適当に「08080808080」と番号を入力し、パスワードも「1」を8桁打ち込んでみる。

すると……

5000円相当のポイントが当選したらしい。

そして、本人確認のためのクレジットカード情報を入力するページに飛ばされる。

なぜ本人確認でクレジットカードの情報を入力しなくてはいけないのか、冷静に考えたら一発でおかしいとわかる。ただし当選に浮かれて思考停止になっているケースも否定できないことから、うっかり入力してしまう可能性はゼロではないと思う。

こんなフォームは「1攻め」で十分じゃい! と、さっそく仕掛けてみる。

しかし、ここもクレジットカード番号とセキュリティーコードの部分で弾かれてしまった。

そこでまた、それっぽい適当な番号を打ち込んでみる。

「次へ」のボタンを押してみると……

「ポイントを順次お配りしております。少々お待ちください。」という文章が画面中央に表示され、しばらくこの画面のままになる。おそらく、この時点で情報が抜かれていると思われる。

その後、画面が切り替わり、なぜかPayPayのXアカウントに飛ばされた。

・被害に遭わないために

今回の「PayPayキャンペーンを装ったフィッシング詐欺」だが、本家自体がキャンペーンを行なう頻度が高いため、ついうっかり騙されてしまう可能性が高いと思われる。

よって危険度は極めて高めなので、十分注意していただきたい。そしてポイントを受け取る際に、クレジットカードの情報を求めることは絶対に無いので覚えておいていただきたい。

万が一、個人情報を打ち込んでしまった場合でも、PayPayの「フィッシング詐欺への対策」というページから問い合わせてみることをオススメする。なぜならPayPayの方で全額保証してもらえるケースがあるとのこと。詳しくはページにある内容を確認してみてほしい。

最後に大事なことなので、いつも言っているが……

「メールやSMSから、直接サイトにアクセスしないこと」

これが絶対的な防止策だ。──というわけで、この記事がPayPayユーザーの被害防止の一助になれば幸いである。

参考リンク:PayPay「フィッシング詐欺への対策」 
執筆:耕平 
Photo:RocketNews24.