を現在多くの方に見ていただいています。
上記の記事も何度か更新をしておりますが、日に日に名乗る企業や組織名が増えてきています。
技術で守れないなら、知識で守るしかありません。PC救急箱では、今後もこうした「認証をバイパスする詐欺」を徹底追及します。
今回のフィッシングメールの恐ろしさ
最近、多くの企業で二段階認証が勧められたり、強制的に必要になってきました。
でも今回の”PayPay詐欺”は、この二段階認証が全く通用しないというものになっています。
これまでのフィッシングメールは、ログイン情報を盗むのが目的でしたが、こちら側の手で「支払い」を完了させることを目的としています。
1. なぜ「二段階認証」は無力だったのか?
-
これは「アカウントの乗っ取り」ではなく、正規の決済フロー(PayPayマネーの送金やスキャン支払い)を悪用しているから。
-
自分の指で承認ボタンを押してしまったら、システム上は「正常な取引」として処理されてしまうことになるから
2. PayPayの仕様を逆手に取った「送金詐欺」のカラクリ
-
詐欺メールから「PayPayアプリ」が自動起動する仕組み(ディープリンクの悪用)。
-
金額が「3,737円」など、絶妙に「間違えて払っても仕方ないか」と思わせる(あるいは、確認を疎かにさせる)心理戦。Amazon Primeは正規の金額が表示されます。本当に恐ろしいです。
3. 送金してしまったら最後?「取り消し」の可否について
-
一度完了したPayPayの送金や支払いは、相手が同意しない限り取り消せません。恐らく相手は自動受け取りを有効にしているでしょう。
-
「組戻し」が困難であるからこそ、入り口で防ぐしかありません。
4. 【唯一の防御策】スマホの設定と「違和感」の言語化
-
アプリ起動時の「確認画面」を絶対に読み飛ばさないこと。相手はこちらに感がるスキを与えない方法を使っています。便利な機能を逆手にとっているわけです。
-
「なぜPayPayが起動したのか?」というアプリの越境を、最大の警告サインとして認識すること。支払い方法がPayPay一択という時点で怪しいと思いましょう。
-
そして怪しいと思ったら、その場でブラウザとアプリをすべて落とすこと。ちょっとでも「送金」に触れてしまったらそこでおしまいになってしまいます。
5. まとめ
「自分でタップさせる」=承諾させるということなのでセキュリティソフトではなかなか防げないのが今回のひどい所です。メールも迷惑メールに振り分けられることなく入ってきている方も多いと思います。ということで知識で守るしかありません。
本当に気を付けましょう!
連続でこのメールが届いています。「第一生命」){kind=link}