フィッシングサイトに騙された話

niftyから支払い確認のメールが来た。
文面で怪しいのは以下である。

■ お支払いアカウントが確認できませんでした。

■ お支払い方法が確認できないため、アカウントは一時的に停止されています。

■ アプリを通じた更新は避けてください。アプリを通じた更新はアカウントのデータがリセットされる可能性があります。

アカウントが停止されていることと、アプリで更新するなと言う部分が不自然だ。
しかし支払いが確認出来ないという点では心当たりがあった。
dカードが新しくなりカード番号が変わったのだが、その時にniftyのサイトでは更新が出来なかった。
これは後日更新して貰ったのだが、それがうまく行っていなかったとか?
丁度旧カードが使えなくなるタイミングになるのかな?と思った。

それでも怪しさがあるので、まずはログインページで適当なパスワードを入れてみる。
何回か試したが、適当なパスワードではログイン出来ない。
英数字記号混じりなどもやってみたがログイン出来なかった。

怪しいとは思いながらも正規のパスワードを入れるとログインが出来た。
ログインすると更新情報の入力になるのだが、サイトのドメインが.siteになっている。
しかもよく見るとniftyではなくnlftyなのだ。(見えにくいように緑にしてみました)
これはあとから気づいたことで、ドメインが違うとは思ったがnlftyとは見分けられなかった。
さらにnlfty.siteにアクセスすると、nifty.comにリダイレクトされた。

もう一つ不審な点はメールの宛先がアカウント名になっている事だった。
メールアカウントはAliasesを設定しているので、通常はAliasesが宛先になる。
でもniftyが本当に送ってきているとすると、本来のアカウント名宛てなのかな?なんて思ってしまった。

niftyに電話で確認すれば良かったのだが、それも面倒だなと思い、情報を入力してしまったのである。
入力はしたが、あえてセキュリティコードは適当なものを入れた。
カード番号自体の正確性はオーソリをかければ良いことなので、偽番号はすぐにリジェクトされる(他のフィッシング詐欺サイトでもカード番号はチェックされていた)が、セキュリティコードは照会が出来ないのではないかと思ったからだ。

情報入力後に更新ボタンをクリックするが、しかしページが遷移しなかった。
もしかしてセキュリティコードをチェックしている?いや、銀行の口座番号を入れろとなっているからかな。
口座引き落としではないので口座番号は入れようがない。

口座番号を入れないと更新ボタンが押せないのだが、だからといって情報が送信されていないわけではない。

ウェブサイトの入力フォームに記入した情報が、数千ものサイトで「送信」ボタンを押す前に取得されていることが欧州の研究チームの調査結果から判明した。こうした情報漏洩の対処には一般のウェブユーザーだけでなく、開発者や管理者の意識向上も求められる。

WIRED

中途半端ながら情報を入力したあとでnifty側の設定を変更し、SMS認証にした。
そして再度詐欺サイトにログインを試みてもSMS認証にはならなかった。
こうなると偽サイトとしか考えられない。

niftyに電話をして偽サイトである事を確認、niftyでは多くの問い合わせがあると言っていた。
正規のパスワードでなくてはログインが出来なかったので、ログイン情報が漏れているのか?
ログイン情報が漏れていれば、犯人はniftyのサイトにログインが出来る。
しかしniftyのサイトにログインしたところでカード情報は読み取れない。
カード情報は読み取れないが、登録情報が分かるので氏名や生年月日は取得出来る。
そこで偽サイトを作ってカード情報や口座番号を入手しようとしたのではないか。

ちなみにメールの送信元は中国ではなくbiglobeになっている。
biglobeってniftyと統合されたんだっけ?位にしか思わなかったところも×である。
正規パスワードでログインしたことで、警戒心が薄れていた。

と言うことで、怪しいと思いながらも引っかかってしまったという、お恥ずかしい話だ。
カード番号は変えて貰う手続きをした。
セキュリティコードなんて3桁(AMEXは4桁)なので、数を打てば当たる。

Yahoo!の認証コードが送られてくる件は少し前に書いたが、毎日のように繰り返し送られてくる。
ログインIDはアカウント名なので、機械によるアタックが繰り返されているのだろう。
niftyに二要素認証を設定していなかったのも迂闊だった。

二要素認証の出来ないサイトは特に気をつけなければいけないが、二要素認証が設定されているサイトの場合に「認証コードを送る電話番号を入力してください」となり、騙される場合がある。

使っていない楽天カードを解約しようと思った。
楽天カードは二要素認証非対応なので、セキュリティ不安がある。
しかしサイトからの解約は出来ず、チャットでの解約受付は停止中、電話での問い合わせに解約の項目がない。

[4]に解約などの項があるのだが、銀行カードや家族カード、ETCカードの解約は出来てもクレジットカードの解約のメニューがない。
「カードの解約はこちらをご覧ください」をクリックすると、解約阻止のページに行ってループになる。

解約はAIチャットで→AIチャット:現在チャットでの解約は受け付けていません。

解約用の電話番号を見つけて電話をする。
0570-66-6910
そこでも又AIチャットで解約しろとアナウンスがあるが、拒否し続けるとオペレータにつながる。
長ったらしいガイダンスを聞き、オペレータに解約をお願いし、終了するまでに約10分なので通話料金は300円位かかった。

コメント

  1. bluefinder より:
    2025年2月9日 14:53

    これきたら私もやられそうです(MFAは設定済みですが)。
    楽天カードはいかにもな感じ。電話代が手切れ金みたいなもんでしょうか。

    返信
  2. Beep より:
    2025年2月9日 15:11

    https://togetter.com/li/2494053
    チャットで思い出した話
    楽天も裏コマンドがあるのかも

    返信
タイトルとURLをコピーしました