8桁の数字を覚え、客のクレジットカードを使い込む…レジ係の高校生バイトが手を染めた"クレカ詐欺"の手口
プレジデントオンライン / 2024年7月30日 9時15分
■クレジットカードの不正利用被害が急増
クレジットカードを勝手に第三者に使われる不正利用は、クレジットカード誕生の頃からある古い犯罪です。クレジットカード会社は、安全性の高いICカードの普及など様々な対策を取っており、一時期は不正利用被害額が大きく減りました。
しかし近年になってクレジットカード不正利用が急増しています。図表1は、約20年間のクレジットカード不正利用被害額のグラフです(日本国内)。
インターネットの普及と共に2003年頃まで増えていた不正利用ですが、対策によって大きく減少し2010年代前半には年間で80億円を切っていました。しかしその後、犯罪グループ側の組織的犯行により再び被害額は増えています。
特にコロナ禍でネット利用が大幅に増えたことから、不正利用被害も増えています。ネットに不慣れな層を狙った詐欺が横行したためです。2023年は史上最悪の約540億円の被害となりました。毎日1億4000万円以上の被害が出ている計算です。
では犯罪者はどうやってクレジットカード番号などを盗み取っているのでしょうか。番号詐取の手口をまとめたのが図表2です。
■カード暗号の暗記などの原始的な手法も
まず「フィッシング詐欺」「偽ECサイト」は、私たちを騙してクレジットカード番号等を偽サイトに入力させる手口です。もっとも被害が大きい手口と言えるでしょう。後述しますが、偽サイトへの誘導を巧妙に行っています。
「不正アクセス」と「ウェブスキミング」は、販売サイト(ECサイト)へのサイバー攻撃でクレカ番号を入手する手口です。対策によって「不正アクセス(保存されているリストの入手)」は減っていますが、その反面ウェブスキミングが増加しています(後述)。
私たちユーザーが対策できない手口もあります。「クレジットマスター」と呼ばれるもので、犯罪者が自動生成によってクレカ番号を作って不正利用するものです。
古くからあるクレカ番号入手の手口としては、「盗難・紛失」や「スキミング」があります。盗難では海外の観光地などにいるスリ・強盗グループによるものが目立ちます。これらの犯罪者は組織化されており、盗まれた直後に高額な決済をされてしまう場合もあります。
「スキミング」はカードリーダーなどを悪用して、ショップやレストランの店員が悪用するものですが、カード会社による対策(ICカード化など)により減少してきました。しかしカード自体を見て暗記する・写真を撮るなどの原始的な手口での悪用もあります。
■レジバイト中にお客のカード情報を盗んだ高校生
原始的な手口である「カード番号の暗記」の事件としては、2020年に高校生が航空券を不正に購入した事件があります。70代の女性のカード情報を使い、航空券の予約サイトで14万円相当のチケットを購入して逮捕されました。余罪は他にもあり、被害総額は1000万円以上になると報道されています。
手口は単純で「カード情報の盗み見」でした。この高校生はスーパーでレジ係のアルバイトをしており、クレジットカード番号を暗記したと供述しています。
クレジットカード番号は16桁で暗記するには難しいと思う人もいるかしれません。しかし実際には16桁をすべて覚える必要はありません。まずクレカ番号の最初の4桁は、クレジットカード会社を表しています。つまりブランド名やカードの色などを覚えておけばいいのです。さらにクレジットカードの売上票には末尾4桁などが記載されることが多くなっています。この売上票を渡さずに手元に残していた可能性があります。
これがうまくいけば残りは8桁であり、簡単に記憶できたでしょう。有効期限は5年以内の西暦と月ですから覚えることは難しくないはず。暗証番号が問題ですが、こちらは手元を見ていた可能性があります。
この高校生はもうひとつ巧妙な手段を使っています。不正利用する際にオンライン決済、およびアプリ決済を利用していました。クレジットカードをキャッシュレス決済かスマホ決済に登録して使っていたのでしょう。スマホ決済では実カードを持っていなくても、タクシーや店頭などで簡単に決済できるため利用したと考えられます。
■「激安」は詐欺サイトを呼び込む検索ワード
フィッシング詐欺は有名サイトや企業公式サイトの偽サイトに誘導するパターンですが、そもそも存在しない偽ショッピングサイトを作ってクレジットカード番号を盗み取るパターンもあります(偽ECサイト)。
誘導には検索サイトやSNS広告が使われています。検索サイトでは「商品名」「ブランド名」を検索した場合、公式サイトや大手販売サイトが表示されます。しかし「商品名 激安」などの追加キーワードを入れると、詐欺サイトが表示されることがあるのです。
時計やカバンの有名ブランド名、ゲーム機などの高額商品がよく狙われており、「ブランド名 激安」で検索すると1ページ目、つまりトップ10に表示されることも珍しくありません。
存在しない偽ショッピングサイトではあるものの、デザインも自然ですし日本語もおかしくありません。特定商取引法の表示(住所、企業名、電話番号)なども書かれているため、騙されてしまう人もいるでしょう。
■大手のショッピングサイトで信用を買う
これら検索結果に出てくる偽ショッピングサイトは、検索サイトのブラックリストに入らないような工夫をしています。私たち人間が検索すると偽のショッピングサイトが表示されますが、検索サイト運営側の巡回プログラム(データ収集用)向けには、別の問題のないサイトを見せるのです。対策をくぐり抜ける手口を使っています。
多くの偽ショッピングサイトは海外の見慣れないドメインを使っていますが、なかには日本の「.jp」ドメインを使っていることもあり、ドメインだけでは見抜けません。デザインなど外見での判断も難しいでしょう。
対策としては「買い物は大手ショッピングサイトのトップページからすること」に尽きます。検索サイトで希少なもの、安いものを買おうとするのは危険だからです。多少高くても信用できる大手ショッピングサイトのトップページを使ったほうが安全です。
----------
ITジャーナリスト
ITセキュリティやスマートフォン業界に精通するITジャーナリスト。守備範囲はウイルスからネット炎上まで多岐にわたる。
----------
(ITジャーナリスト 三上 洋)
外部リンク
この記事に関連するニュース
-
宿泊施設から予約情報盗みフィッシングメール 「見分け困難」
毎日新聞 / 2024年7月28日 8時30分
-
なぜ?クレジットカード"停止したのに"不正利用が止まらない...毎日1万円ずつ被害に「意味分からない」利用者に募る不安 スマホタッチ決済悪用か
MBSニュース / 2024年7月26日 12時38分
-
犯罪組織が狙い撃つのは中高年…大手3行装うフィッシング詐欺の手口、生成AI悪用で「高度化」
読売新聞 / 2024年7月24日 5時0分
-
スマホを乗っ取る「SIMハイジャック」驚きの手口 偽造身分証で「なりすまし」被害増加の背景
東洋経済オンライン / 2024年7月16日 9時0分
-
スマホ本人確認「マイナカード一本化」は本当? 実情とSIMスワップ詐欺問題を知る
ITmedia Mobile / 2024年7月15日 10時5分
ランキング
-
1「再訪したい国」日本が世界首位 人気地域に人出集中する傾向
共同通信 / 2024年7月29日 16時51分
-
2夏は「食中毒」に要注意 下痢が出たときに市販薬を服用してもOK? 症状&対処法を消化器病専門医に聞く
オトナンサー / 2024年7月30日 7時10分
-
3扇風機の「電気代」は、エアコンと比べてどれだけ安いんですか?【家電のプロが解説】
オールアバウト / 2024年7月29日 20時15分
-
4日銀の利上げで今後の住宅ローン金利は上昇傾向へ、それでも「変動金利」が有利な理由
マイナビニュース / 2024年7月29日 6時30分
-
5住民税は何歳から何歳まで払うの?未成年でも払うの?
オールアバウト / 2024年7月29日 20時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください