お恥ずかしい話ですが、今回まんまとフィッシングに引っかかってしまいました。
幸い被害はないですが、戒める意味も込めて書き留めることにします。
フィッシングとは?
フィッシング とは実在する組織をかたって、ユーザネーム、パスワード、アカウントID、クレジットカード番号といった個人情報を採取することです。
主にメールなどに貼ったリンクに被害者を誘導し、そこで個人情報を入力させます。
ちなみにフィッシングは魚釣りが由来ですが、英語のスペルはFishingではなく造語のPhishingだそうです。(発音はフィッシング)
今回のトラブルの概要
年末にタイに行くのにBooking .comでバンコクのホテルを予約していました。
予約したのが5月か6月ごろ。
12月の中旬までは、キャンセルも無料でできるという予約です。
その予約に関してメールでクレジットカードの認証をさせるというものでした。
まずメールが届く
その予約についてBooking.com経由で、予約しているホテルからメールがありました。
メールは英語で、次のような内容でした。
登録したクレジットカードが認証できないので、認証を行ってください。24時間以内に認証しないと予約は自動的にキャンセルになります。
メールには認証のためのURLリンクが貼ってあります。
予約の時にクレジットカードの登録が必要で、登録してありました。
普通こういったメールやSNSにリンクがある場合、クリックしません。
自分で検索するなどして公式サイトに行って確認します。
公式にログインしてみました
Booking.comにログインしてみると公式サイト内で、確かにそのホテルからメッセージが届いていて、読んでみるとメールで届いた内容と同じでした。
ここ、ここで引っかかっちゃったのです。
公式でも同じ内容だったので、本物だと思ってしまいました。。
個人情報入力後は?
- 氏名
- カード番号
- カード有効期限
- セキュリティコード
カード情報を入力するサイトで、これだけの情報を入力して進めると「カード認証は処理中です」とグルグル回る円のまま終わりません。
この時点ではまだおかしいと思っていませんでした。
通常、いつも普段と違う使用があるとクレジットカード会社が利用をブロックして、SMSで届くお知らせからか、電話でカード会社に連絡してブロックを解除しています。
今回もてっきり「カード会社がブロックしてるんだ、めんどくさっ!」と思っていました。
「ブロック解除しないとカード認証完了しない」と思ってカード会社に電話しても「オペレーターの順番待ちは20分以上です」となるし、メールでブロック解除お願いしようとしても「翌日以降のご対応となります」になっていて、「24時間以内にカードの認証をしないと予約はキャンセルになる」ので困っていました。
きっとこの時点ではカード情報が取られているだけでカードの利用はされていないので、カード会社からの不審な利用の確認SMSも届いてないんですよね。
フィッシングだと判明するまで
「予約がキャンセルになると困るわー」ということで、あほな私は律儀にもBooking.com内のメッセージからホテルに「カードがセキュリティの理由で一時的に利用ブロックされていて解除してもらうのに24時間の期限を過ぎてしまう。予約をもう少しキープしておいてもらえない?」とメッセージを送りました。
さらに!
タイではいろんな手続きがちゃんと進まないことが多いので、心配性な私はタイ人の夫に頼んでホテルに連絡して伝えてもらうことにしました。
ここで「タイではいろんな手続きがちゃんと進まない」ので信用していなかったことが幸いしました。
ホテルに連絡した夫から「ホテルに連絡したら、それは詐欺、フィッシングだよ!ホテルからは何も連絡してないし、予約も大丈夫。だからリンクはクリックしないようにと言われたよ。」と。
「え?でも公式内でホテルからメッセージ届いてるよ?」
「だからBooking.com自体がハッキングされてるんだよ!」
ガーン!フィッシング確定!
あーあ、カード情報入力しちゃったよ、、、
フィッシングにあった後に
今回はフィッシングにあって1時間ぐらいで気づいたので、おそらく不正利用はされていないかと思いますが、すぐにクレジットカードを無効化し再発行依頼しました。
三井住友カードの場合、Vpassから「メニュー」の「サポート・チャット問い合わせ」
「カードの紛失・盗難のお問い合わせ」
こちらから無効化と再発行の手続きができます。
1〜2週間で新しいカードが届くようです。
新しくカードを作って、これからこちらをメインにしていろいろ引き落としなどのカード変更しようと思っていた直前だったのでさほど不自由はありませんでした。
不正利用の補償は?
今回はおそらく使用されていないと思いますが、普段からチェックしているカード利用の明細を細かくチェックしようと思っています。
万が一不正利用があった場合も、通常クレジットカード会社が補償してくれます。
しかし自分でパスワード入力して支払った場合や、届出から60日より前の不正利用に関しては補償対象外になるのでご注意ください。
お使いのクレジットカードの不正利用の補償について、一度確認しておいた方が良いかもしれませんね。
クレジットカードは安全ではない?
「こういうことあるからネットでカード使うの嫌なんだよね」という知り合いがいます。
私は、このネット社会で完全に安全ということは不可能だと思っています。
いつも「不正利用あるかもしれない」と思って、毎月クレジットカードの利用履歴は必ずチェックしています。
今回の反省
フィッシング詐欺にあうのは、「ついうっかり」「疲れていたから」「思い込んでいたから」などの原因があると言われています。
今回被害にあった原因と回避できたかも?と思うポイントがいくつかありました。
公式なので大丈夫と思い込んでいた
よく「怪しいメールが来たら自分で公式を見に行けば安心」と言われています。
私も「公式だから大丈夫」と思い込んでいました。
メッセージ内のリンクがBooking.comのドメインではなかった
この部分ですね。
よく見れば「おかしい」と気づくべきポイントです。
予約のステータスは確認完了だった
Booking.comで予約内容を確認すると「確認完了」となっていました。
そこで「ん?」と思いました。
でも「24時間以内にやらないとキャンセルになる」というので少し焦っていたかもです。
変なタイミングでのカード認証
予約したのが5-6月。
予約のキャンセル可能期限が12月のどこか。
なのにカード認証エラーがなぜ11月に?
ここも「あれ?」とは思いました。
けっこう前から話題になっていた
ちょっとネットで調べると何か月も前から、Booking.com経由で同じ手口で相当な被害があって出るわ出るわ。
もうちょっと世の中の話題を、他人事ではなく気にしようと反省しました。
こうやってあげると、いくつも気づくべきところはたくさんありました。
簡単なフィッシングに「こんなの引っかかる人いるのかな?」といつも思っていましたが、まんまとやられちゃいました。
今後もますますこういった詐欺は増えてくると思います。
お互い気をつけましょうね。