PayPayフィッシングメール注意！あなたの情報が攻撃者の手に渡る危険性

PayPayのサイトを確認したところ、『PayPayをかたるフィッシングメールにご注意ください』という注意喚起のお知らせが掲載されていました。

フィッシングメールってなに？という方にご説明いたします。

フィッシングメールとは、"実在する企業やサービスの社名・ロゴを悪用し、本物そっくりな偽ホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報などの個人情報を盗み出す詐欺"です。

どうもこのフィッシングメールは「PayPay」だけでなく、「Yahoo!JAPAN」や「ソフトバンク」といった関連企業のものも確認されているようです。

 こんなメールには注意！

 異なる端末からログインされている

2月にあったPayPayからの注意喚起では、犯人がPayPayやPayPayサポート窓口だと嘘をつき『異なる端末からログインされている』などと、アカウント情報や認証コードを入力させようとするメールが送信されているようです。

PayPayからこんなメールきたんだけど、この手のメールが来た時は、差出人のメールアドレスとURL長押しして遷移先もきっちり確認しような
見かけのURLだけはあってるから、これ pic.twitter.com/Pv1lksYNLq

— ぎん (@gin2be) February 4, 2020

paypayのフィッシングサイトを確認したので共有です。ご注意を。

『【PayPay】アカウントの異なる端末からアクセスのお知らせ。』という件名のメールも出回っているようです

▼paypay
hxxp://paypoyl.com/
IP: 23.225.151[.]113#Phishing #PayPay @PayPaysupport
▼参考https://t.co/xM16jLrnjl pic.twitter.com/J9dtLalSEm

— にゃん☆たく (@taku888infinity) February 4, 2020

Twitterを確認すると、すでにいくつもの報告がありました。

やはり差出人が「PayPay」になっているので、本物だと思ってしまってもしかたがないと思います。

ただし、このような『アカウントの異なる端末からアクセスがあった』なんてメールは、PayPay側は送らない！と言っているので、そのことを頭に入れておき今後このようなメールが届いた際は落ち着いて行動できるようにしましょう。

メール内には、不正アクセスがあったからアカウントが一時利用停止になったと記載がありますが、嘘なのでPayPayが普通に使えます！

Twitterの画像を見てもらえればわかると思いますが、携帯電話番号やパスワードを入れる画面が本物とは大違いです！

メールの最後に問合せ窓口が記載されていますが文字化けしており「PayPay携帯電話紛失？盗難専用窓口」…いや紛失？って。

メールの支持に従い再開手続きを行ってしまうと悪用されてしまうので、ご注意ください。

 ご注文を承りました

この不正メールは、2019年11月21日ごろから確認されているもののようで、リンクをクリックするとフィッシングサイトが表示されるということです。

『メール件名：ご注文を承りました：mscland-<不規則な文字列>』

こちらのメールは、2019年9月30日ごろから確認されているようです。

「MSCランドYahoo!店」と名乗っており、架空の代引き注文メールを送りつけてきます。

ただし店名についてはコロコロと変えながら同様の手口で不特定多数の方にメールが送られています。

このメールの狙いは、返信させること！のようなので、見に覚えのないメールには決して返信しないでください。

 SMSも注意が必要！

危険なのは、メールアドレスに送られてくるメールだけではありません！

電話番号を宛先にしてメッセージをやり取りするサービス「SMS」も注意が必要です。

 PayPayをかたる不正SMS

PayPayをかたる不正SMSは、2019年8月頃から確認されているようです。

下記のような文面が送られてきてもリンクをクリックしてはいけません！

お支払い方法の有効期限が切れている、または無効になっている。

 

IDの確認は、詐欺を防止し、アカウントを安全に保つために必要です。

 

お支払いの詳細を今すぐ更新：<不正サイトへのリンク＞

他にも、

このようにPayPayを装ってSMSを送りつけてきます。

この場合、リンクをタップするとPayPayそっくりの偽サイトが表示されます。

ログイン画面の見分け方ですが、

親世代なら気づかないだろうなと思うレベルではありますが、明らかに本物のログイン画面とは異なります。

偽ログイン画面に電話番号・PayPayのパスワードを入力してしまうと攻撃者に情報が渡ってしまいます。

こちらもそうです。

クレジットカード情報を追加するのになぜ郵便番号？

さらに、PayPayで登録できるクレジットカードの種類は、「VISA」「MasterCard」「ヤフーカード(JCB)」だけです！

公式サイトにもしっかり記載されています。

偽入力画面のように、あっちもこっちも登録できることはないので、このような情報をしっているだけでも予防することができるので、PayPayで登録できるクレカは3種類しかないと覚えておきましょう！

 被害に遭わないためにも

フィッシング詐欺によって、自分だけではなく、周りの人も被害に遭う可能性があります。

危険性については下記の記事で詳しく解説しています。ぜひ一読ください。

フィッシング詐欺に遭わないためにも、少しでも「？」と思ったメールやSMSが届いたら、すぐにアクションしないようにしましょう。

不審な電話がかかってきたときも一度切って、本物の電話番号にかけ直して確認する方法が推奨されているように、フィッシング詐欺の場合もリンクはクリックせず、普段から使っている検索で目的のサイトへアクセスしてみましょう！

たとえば、「〇〇銀行のあなたの口座に第三者からの不正ログインがありました。ただちにここにアクセス！」などと書かれたメールを受信し、本物か不正なものかわからないときには、検索サイトで「〇〇銀行」と検索して本物のサイトへアクセスし、ログインしてみましょう。もし本当に緊急のことが発生していれば、ログインするときになんらかの説明がでてくるはずです。

引用元：Yahoo!セキュリティセンター

 情報入力してしまったら…

フィッシングサイトに情報を入力してしまった場合は、

1.すぐに本物のサイトにアクセスし、パスワードを変更します！(大至急)

2.入力してしまったパスワードを使っているサイトで、不審な動きがないか確認する

《銀行・金融機関のサイトの場合》振り込みなどの履歴

《ショッピングサイトの場合》購入履歴など

《オークションサイトの場合》出品、落札履歴など

3.クレジットカード情報を入力してしまった場合は、すぐにクレジットカード会社へ連絡してください！(大至急)

 まとめ

国が推進するキャッシュレス化ということもあり、老若男女がPayPayに登録しています。

私達のようにインターネットと触れ合うことが多い世代でも被害に遭う可能性が高いフィッシング詐欺ですが、私達の親のように50・60歳になってインターネットを利用しだした世代の場合、見に覚えのない企業名などであれば「怪しい」と思うかもしれませんが、普段から利用しているYahoo!やPayPayから「あなたの口座に不正ログインがありました。ただちにここにアクセス！」というメールが来たら迷うことなくクリックするだろうな…とこの記事を書きながら思いました。

フィッシングサイトにアクセスしただけでは、パスワードやクレジットカード情報は盗まれませんが、PayPayのようになかなかログイン画面をみる機会の少ないサービスの場合、本物そっくりの偽ログイン画面が表示されたとしても気づかないかもしれません。

アカウントやパスワード・クレジット情報が必要なサービスを利用する際は、そのサービスの「お知らせ」に目を通すことで今回のような不正メールについて情報を得ることができます。

テレビのニュースでなんでもかんでも教えてはくれません！

PayPayやYahoo!を利用している方が周りにいるのであれば、「いまこんな不正メールが確認されているらしいよ」と教えてあげてください。