先日、某ホテル予約サイトに紛れ込むフィッシング詐欺に引っ掛かりかけました。
通常のフィッシング詐欺とは違いかなり巧妙です。
まず前提としてその予約サイトは予約が完了するとマイページ的なものが作られ、予約者が予約確認をできるだけでなく、相手先のホテルとメッセージを交わすことができます。ここを使ってホテル側へ質問や到着時間のお知らせができます。またホテル側からの連絡も受け取れます。
他にも予約サイトを介さず直接ホテル側へ連絡できる方法も載っています(安全のためこれは詳しく書きません)。
私の書いたメッセージは直ちにホテル側へ届きますし、ホテル側からのメッセージもマイページ記載だけでなく、私の登録アドレスに届きます。とても便利な機能です。
今回、それを悪用されました。
このメッセージ欄に何者かがフィッシング詐欺メールをホテル名で送り込んできたんです。予約サイト側はホテルからのメッセージと思いこのマイページに載せます。私に「ホテルからのメッセージが届いた」と連絡も来ます。が、本来送ったとされるホテル側は何もしていませんから気づいていません。因みに時間は午前12時近い深夜(日本時間)でした。日本の良い子は寝ている時間です。私は良い子ではなかったので眠いけど起きていました。
ツイッターで検索すると二名の方がクレジットカード情報を抜かれる被害にあわれました。幸いなことにカード会社へすぐ連絡をされたようで、カードを停止し具体的な被害金額は出ていないようです。それでもしばらくはカード利用ができず、不便な生活になったようです。直接お付き合いのない方々なのでこれ以上のことはわかりませんが、フィッシング詐欺にあわれたショックは図りしれません。
ここを見られている方々のために私のところに届いた詐欺メールを公開します。このメール内容は詐欺にあわれた方々とほぼ同文でした。もしあなたのところにこのメールが届いていたら詐欺を疑ってください。
以下です。
リンク先とサイト名は消しましたがそれ以外は消していません。私の名前は消していません。○○○は予約サイト名。
つまり宛先の私の名前もなく、予約先ホテル名も無い文章です。怪しいけれど、お互いの名前がわかっている予約サイトマイページだと気づきにくいんですよね。
英語のわかる方はお手数ですが読んでみてください。
一通目
Hello I am the main administrator of the hotel . Today we received a notification that your bank card has not passed the security check and in this case you need to update your bank card details, otherwise we will be forced to cancel your booking due to hotel security reasons. ○○○ has provided a personalized link for you to update all your details so you don't lose your booking. All your data is protected and not passed on to third parties. ❗️Please follow the link below and enter your details again to confirm your card details, otherwise we will be forced to cancel your booking within 12 hours ❗️
YOUR PERSONAL UPDATE LINK
(リンク先は削除済み)
このメール送信後に二通目が届きます。相手を焦らせて詐欺に引っ張り込む手口です。
二通目
Message from Booking : We remind you that you still have not updated your details. Use the link you received in the chat above and update the information. Otherwise your booking will be cancelled.Please note that payment will not be made a second time if you have already paid for the hotel. But you need to update the details ⚠️
Thank you for your understanding.○○○
なぜ私がフィッシング詐欺にあわなかったのかは、いずれアメ限でお知らせします。ここで話して詐欺側へヒントを与えたくないし、詐欺側に詐欺改善?をされたくないんです。
アメ限は募集していません。アメ限記事を読まなくても充分に対策はできます。
皆様の旅行が楽しいものでありますように願っています。