クルクル回って120秒が詐欺の手口!メルカリを騙る偽メールをタップしてみると
最近、メルカリを騙る偽メールがよく届きます。
新生活を迎えて、心機一転、物を売ったり、買ったりするためにフリマアプリを利用する機会も増えるかと思います。そこで、そこに付け入ろうとしてくるだましの手口を暴きます。
タイトルも様々で「【メルカリ】個人情報確認」「【重要】mercari本人確認のお知らせ」「【重要】メルカリ からの緊急の連絡」となっています。
どのようにして、私たちを詐欺の罠にはめようとしてくるのでしょうか。偽メールをタップして進んでみると、クルクル回って120秒の巧妙な手口が見えてきました。
フリマアプリを悪用して商品をだまし取った男が逮捕
今年3月、フリーマーケットアプリ「メルカリ」の利用者になりすまして、サイトに不正ログインし、人気のゲーム機を購入して商品をだまし取った疑いで、中国籍の男性が警視庁に逮捕されています。これまでに100件ほどの荷物を不正に受け取っていたといいます。
男は詐欺グループの商品の受け取り役と考えられますが、さて、どのような方法で、商品をだまし取っていたのでしょうか。
その手口の一つを明らかにするために、メルカリを騙る偽メールに載るURLにアクセスしてみます。
偽メールの冒頭には、メルカリのロゴが載っています。
「アカウントで異常な動作が検出されたため、お客様の資産への損害を防ぐためにアカウントをロックします。ご不便をおかけして申し訳ございません」さらに「パスワードを変更することをお勧めします。できるだけ早くアカウントを復元するために下のリンクをクリックしてください」とありますので「Mercariサインイン」をタップしてみます。
すると、正規サイトとまったく同じようなログイン画面が出てきます。ただし、URLを見ると「https://www.mec***.c**」となっており、正規サイトとは違っています。
次に、表示されているボタンを上から順番にタップしてみます。
「新規会員登録」「Googleでログイン」は、何も反応しません。次の「Facebookでログイン」も他のページへは飛びません。「Appleでログイン」も同じです。
結局、メールアドレスとパスワードを入れさせてログインさせるのが、目的であることがわかります。
クルクルと時計が回りだす
それでは、適当なアドレスとパスワードを入れてログインしてみます。
すると、確認中の文字とともに、120秒の数字が出て、クルクルと回りだして減っていきます。
ほどなくして、偽サイトにログインできました。
次に出てきたのが「認証番号の確認」の画面です。
「***_****_にSMSでお送りした6桁の認証番号を入力してください」とありますので、ここにも適当な数字を打ち込みます。
すると、再び、確認中120秒の数字が出てきて、クルクルと回りだします。
どんどん秒数が減っていきます。
偽の番号で、この先に進めるのでしょうか?
じっと待ちます。
残り、24秒になりました。
あと少しです。待ちます。
すると「入力した認証番号が違う」といったような言葉が一瞬出ました。しかしすぐにこの言葉は消えてしまいます。
あっという間だったので、正確に読み取れませんでした。スクリーンショットも撮れませんでしたので、もう一度、6桁の番号を入れて、同じ場面を再現してみることにします。
また120秒が表示されてクルクルと時計が回りだします。
筆者はじっと待ちます。
「認証番号が違う」との言葉のスクショを撮ろうとして身構えます。
あと10秒になりました。
「3、2、1」と部屋の中でつぶやきます。
そして「0、よし!」と、スクショのボタンを押そうとして、「え~」と声をあげました。
秒数が増えていく
秒数表示が「-1秒、-2秒…」と増えていくではないですか。ずっと時計はクルクル回ります。このまま-120秒までいき、また減るのでしょうか?気になったので、見守ります。
しかし-120秒を超えても延々と回り続けます。どうやら、これ以上は、先に進めないようです。
時計をクルクルと回す目的は?
なぜ、時計をクルクルと回すのでしょうか?
すでにおわかりの方もいるかもしれませんが、リアルタイムに利用者の情報を抜き取ろうとするのが、目的です。
最初に筆者は偽サイトのログイン画面でメールアドレス、パスワードを入れました。
すると時計がクルクルと回りだします。その間に、詐欺グループの側はその情報をもとに、メルカリの正規サイトに入り込みます。そしてログインに成功すると、今度は、認証番号が利用者本人の電話番号宛に送られることになります。
そのSMSが届いたであろうタイミングで、詐欺グループは次の画面を出して、認証番号を入れさせようとするわけです。
もしここに本当に届いた認証番号を入れれば、それを盗み見た詐欺グループは、即座にメルカリの正規サイトに、本人になりすまして入り込みます。
そして最初に行うのが、商品の送り先の住所を詐欺クループの荷受け役のところに勝手に変えることです。そしてすかさず、高額転売できそうなゲーム機などの商品を購入し、購入代金を払わずにまんまと高額商品をだまし取ることになります。
これを行うには、大した時間はかからず、2分ほどあれば詐欺行為が可能です。
クルクル回って時間が減っていく表示は、利用者が偽サイトから離れないようにさせための時間稼ぎの手口といえるでしょう。
偽メールに載る URLにアクセスして数分もたたないうちに、アカウントがのっとられて商品詐取がなされてしまうわけです。いかに、情報を抜き取るフィッシング詐欺メールが巧妙で恐ろしいかが、おわかりになると思います。
筆者は洗濯機で洗濯ものがグルグルと回っていると、ついじっと見つめてしまい離れられなくなる時がありますが、時計の秒数が減るのを見ているうちに、それに似たような気持ちになりました。そんな心理も突いてきているのかもしれません。
メルカリのサイトのログイン画面と思っていった先で、時計がクルクルと回りだした時には、詐欺を疑うようにして下さい。
すでに、この事象に遭った覚えのある方はすぐに、クレジットの利用明細やキャリア決済に不審な購入履歴がないかをご確認下さい。
被害に遭わないために「クルクル回って120秒」が詐欺の手口であることを、ぜひとも覚えておいて頂ければと思います。
