マレーシアの携帯電話に仕掛けてくるフィッシング詐欺の被害を受けてしまいましたので,注意喚起のため一部始終をご紹介します。
携帯電話経由のフィッシング詐欺が多発
お恥ずかしいことながら,先日私のマレーシア携帯電話への着信が発端のフィッシング詐欺被害(メイバンクブランドのクレジットカードの再発行のみで金銭的被害はなし)を被ってしまいましたので,自身の反省と,マレーシア居住の日本人の皆様への注意喚起としてシェアさせていただきます。
まず,マレーシアでは,オンラインショッピング時のクレジットカード決済は,携帯電話にSMSとして送信されてくる6桁のワンタイムパスワードか,Maybankの場合は携帯のMAEアプリの承認ボタンを押すことで取引が決済(承認)される手順が一般的となっています。日本のインターネットバンキングでも同様の手順かと思います。
これに乗じて,マレーシアでは上図の流れの(1)偽のSMS(銀行と同じ発信番号)を送り付ける,もしくは(2)なりすまし通話発信などの手段を用いて,カード情報やワンタイムパスワードを聞き出すフィッシング詐欺が横行しているそうです。
私の場合,(2)の偽の着信を当初信頼してしまい,カード情報をすべて言ってしまった挙句,SMSで送られてきたワンタイムパスワードを言ってしまう直前まで騙されてしまいました。。言ってしまっていた場合,約1万リンギット(約30万円)の被害を受けるところでした。
詐欺被害の一部始終
発端は,ある平日の午前10時30分頃,マレーシアで契約している携帯電話への見知らぬ番号からの着信でした。
(自動音声)メイバンクからクレジット決済確認の連絡です。
あなたのクレジットカードがRM3,600を決済するために使用されました。承認する場合は1を,身に覚えがない,もしくはオペレーターと会話されたい場合は,0を押してください。
※録音していなかったため正確ではない可能性があります。
※冒頭の銀行名は,ランダムで変化するようです。
今日はカード使ってないのになぜ?
前もカード使った時にメイバンクから問い合わせが来たことがあったな…。あの時は自動音声じゃなかったけど…。 とりあえず0を押してみよう。
(男性オペレーターに切り替わる)どうしましたか?
さっき身に覚えのない取引の連絡がきたんですけど。
それではカードをロック(利用停止)しますので,16桁のカード番号と有効期限,カード裏面の3桁のセキュリティコードを教えてください。
なんで裏面の3桁の番号まで必要?まぁいいか。
(カード情報をすべて回答)
今ロックしていますので,そのまま少しお待ちください。
SMSが届いているか確認していただけますか?
届きました。
実際のSMSの
スクリーンショット
では,書かれている内容をそのまま読んでください。
なんかBigPayへの支払いになってるけどなぜですか?
書かれている内容をそのまま読んでください。
(電話を一方的に切る)
やってしまった…。これは間違いなく詐欺。。
すぐに取引履歴をチェックして,オンラインバンキングでクレジットカードをブロックしよう…。
最初に疑いを持ったのは(3)でカード裏面のセキュリティ番号まで聞かれた時でした。これまでメイバンクのサポートと電話で会話した時に,聞かれたことがなかったからです。ちなみに,メイバンクによる電話での本人確認は,番号ではない,3点の別の質問に答える必要があります。
また,(4)の時に,電話口のオペレーターの口調がやけに高揚していたので,大きな違和感を感じていました。今思えば,“もうちょっとで金を巻き上げられる”という心情から興奮を抑えられなかったのでしょう。。
疑念が確信になったのは,(5)でSMSの内容をそのまま読むように言われた時でした。BigPayへのチャージと思われますが,あきらかに不自然…。その後すぐに電話を切りました。そして,後悔よりも先に被害を食い止めようと,カードをブロックすることにしました。裏面のセキュリティ番号までしゃべってしまったのでもう使えません。。
もし,SMSに用途が明記されていなければ,ワンタイムパスワードまでしゃべっていたかもしれません。
詐欺被害防止の注意喚起
その後,メイバンクのサポートに電話して一部始終を説明,カード再発行の手続きを依頼しました。
発行まで4日ほどかかりましたが,デビッドカードは無事だったので,この間カード決済に困ることはありませんでした。
なお,詐欺グループがなぜ自分の電話番号を知っていたのか?という点についてですが,もちろん断定することはできませんが,ひとつの可能性として,デリバリーサービスもしくはラザダやショッピーなどの配達ドライバー経由が考えられます。理由は,不特定多数に電話番号が開示されているからです(もちろん私が日本人ということも認識している)。
私の場合,デリバリーサービスの例であれば,番号を入手できる状況にあるのはおそらく100人は下らないでしょう。しかしこれはデリバリー愛好者としては如何ともし難く,理想的には銀行決済用の携帯回線とデリバリーサービスなどとの連絡用回線を分けるのも一つの対策になると考えられます。
以下,自分自身への備忘録として注意事項をまとめさせていただきました。本ブログをご覧の皆様にも,今後の詐欺被害防止の参考としていただけますと幸いです。
1 銀行指定の決済承認方法*1以外は信用しない
2 SMSのリンク先を安易にクリックしない
3 (メイバンクの場合)決済確認の電話は要注意*2
*1 メイバンクの場合,
(1) MAEアプリ内の機能“Secure2u”経由の承認ボタンクリック
(2) MAEアプリ内の機能“Secure2u”経由の6桁のTAC番号(ワンタイムパスワード)
(3)
登録した携帯電話番号に送られてくるSMS内の6桁のMSOS番号(ワンタイムパスワード)
以上の3つの方法になります。Webサイトの説明では,Secure2uをアクティベートした後は,Secure2uが唯一の決済承認方法になるとされてますが,私の場合はSMSもまだ送られてきている状態のため,システム変更が完了していないものと考えられます(2023年7月現在)。
2023年11月現在,メイバンクの決済承認は,”(1) MAEアプリ内の機能“Secure2u”経由の承認ボタンクリック”に一本化されています。
*2 高額な時やイレギュラーな決済があった場合,日本のクレジットカード会社と同様に,クレジットカード会社から取引確認の電話がかかってくることがあります。実際,私も過去2,3回メイバンクからカード利用直後に電話がかかってきたことがあります。
その際は,自動音声ではなく,オペレーターが具体的に,金額と支払先を説明したうえで,自身の取引で間違いないか明確に尋ねてくるのですが(その間わずか1-2分),カード番号やもちろんセキュリティ番号を聞かれたことはありません。
もし仮に今回の詐欺実行犯が最初から人間のオペレーターだった場合でかつ,同じ手口だった場合,詐欺か見分けるのは少し難しかったかもしれません。通話で仕掛けられると“カード情報やSMSの内容は言わない”ことを注意する以外に,残念ながら詐欺被害を防止する簡単な手立てが思い浮かびません。
皆様も,詐欺被害にはくれぐれもご注意ください。