読者です 読者をやめる 読者になる 読者になる

週刊 ピンク・ハッカー

セキュリティを啓蒙するために誕生した、ファビラス・セキュリティ・ボーイズ

ワンクリック詐欺サイトに電話してみた

f:id:pinkhacker:20161119162029j:plain

 

セキュリティの面白さと重要性をわかりやすく伝えたい……そんな想いを持った二人が邂逅。ほとばしる両者のセキュリティ情熱が激突した結果、過去にないセキュリティ・コンビが誕生。その名は「ピンク・ハッカー」。
ピンク・ハッカー毎週月曜日更新予定!

さてさて今回は、クリックしただけで「お金を払え!」と請求してくる「ワンクリック詐欺」についてのレポートです。実際にワンクリック詐欺サイトにアクセスして、業者に電話をしてみました! 良い子も悪い子も真似しないでくださいね。

 

f:id:pinkhacker:20161119163757j:plain
頭を抱えるプリンス。いったいどうした!?

 

数十万円請求される男

どうしたんだい、フレッシュ・プリンス。そんなに頭を抱えて。持病の痔が悪化した? 座り仕事が多いセキュリティエンジニアは痔もちが多いっていうからね、大丈夫? イボ痔?

イボ痔じゃないし、セキュリティエンジニアに痔もちが多いって初めて聞いたよ。そんなイボ痔のことより、いま、ピンチなんだ。

ピンチ!? ゴメン、キミに貸すお金は1円もないよ。

お金じゃなくて…… いや、お金の問題なんだけど、いま、某サイトから40万円と8万円、4万9800円請求されているんだ。

f:id:pinkhacker:20161119163848j:plain
ウェブページを開いただけで高額な請求をしてくる「ワンクリック詐欺」サイト

 

えええ〜!? またなんでそんなことに?

「非整数次フーリエ変換を利用した画像情報暗号化技術」について調べていたら、誤って何かのバナー広告をクリック。そしたら、エッチなサイトがババーンと表示されたんだ。で、ビックリしていたら、いきなり上記の金額の請求だよ。確かに、女性の肌色の画面占有率が高い映像を鑑賞するのは好きだけど、見てもいないのに「お金を払え!」って酷いよ。こんな悪い奴がインターネット上にいるなんて(涙)。
だけど、Webサイトの説明を読んでいたら、お金を払わないといけないようで…… 考えるだけでお尻が痛くなってきた。

ちょっと、ちょっと、プリンス。それは典型的な「ワンクリック詐欺」じゃないか。

え、これワンクリック詐欺なの。いや〜 会社のパソコンでウッカリ開いちゃったから、動揺しちゃった。

驚かせて思考停止させるのは、詐欺師の定番手法だからね。

いや〜 失敬、失敬。不肖フレッシュ・プリンス、イケメン・セキュリティエンジニアにも関わらず、驚いてワンクリック詐欺にやられるところだったでゴザルよ。

語尾も含めて、いろいろと変だよ。

なんだよ、ワンクリック詐欺かよ。彼らのやり方はよくわかっているので、恐れるに足りない! 

昔からあるネットトラブルだけど、現在も存在するということは、まだまだ被害者が多いんでしょう。今回はワンクリック詐欺について解説します。

あなたの個人情報は特定しました

私が被害にあったサイトの1つはこれ。いきなり「有料会員登録が正常に完了いたしました」といった画面がでてきて、4万9800円払えと言ってきたんだ。 

おお、これぞワンクリック詐欺! って感じだね。支払い期日のタイマーがグルグル回っている演出が凄い。
(以下出てくるサイトのキャプチャーは全て本物です)

f:id:pinkhacker:20161119164105j:plain
クリックしただけで、「会員登録完了!」という文字と利用料金の請求

 

画面をスクロールしていくと「お客様のご登録情報」というのが出てくるけれど、これがワンクリック詐欺サイトのポイントだね。いきなり閲覧者……「あなたの情報」が表示される。

何も知らない人が見ると、ビックリするよね。

f:id:pinkhacker:20161119164132j:plain
アクセスした人の情報を表示させて不安を煽る

「携帯情報」に、使っているブラウザー、OS名が掲載されているので「え、私の個人情報が特定された」とユーザーは思ってしまう。このデータは「ユーザーエージェント」というもので、Webにアクセスするたびにクライアントからサーバーに伝えている情報なんです。ユーザーエージェント情報のみで個人を特定することは困難なので、気にしなくて良いです。「確認君」というサイトにアクセスすれば、自分のユーザーエージェントがわかります。IPアドレスの情報を使って「お前は渋谷区民だろ!」「ドコモユーザーだろ!」と脅してくるワンクリック詐欺もあるみたい。

f:id:pinkhacker:20161119164703j:plain
ワンクリック詐欺サイトの必殺技は「閲覧者の個人情報を知っている」ことをにおわすこと

 

ユーザーエージェントを使って脅してくるサイトもあれば、マルウェアに感染させて「お金を払うまでエロ広告を止めないぞ!」というところもある。

そのサイトも知ってるよ。エッチな動画を再生しようとすると、「このファイルをインストールしてくれ」と言われる。うっかりプログラムをクリックすると、デスクトップに「お金を払え」というメッセージが常時表示され、ワンクリック詐欺サイトに誘導され続けるのよね。

もし会社のパソコンに感染したら、始末書……下手したら懲戒ものだな〜 被害者にとっては辛い状況なので、業者にお金を払ってしまう可能性が高くなる。入金後、このマルウェアが絶対に削除されるか疑問だけど。

f:id:pinkhacker:20161119164426j:plain
マルウェアに感染させるタイプ。サイトを開くとこのようなマルウェアを強制的にダウンロードさせ、ポップウインドウを使ってマルウェアを実行させるようにを促す

いろいろなワンクリック詐欺サイトをチェックしたけれど、Webページで「お前の個人情報はこれだ、お金払え!」というメッセージがでるタイプは無視して問題はない。

ユーザーエージェント情報だけでは、ワンクリック詐欺業者は何もできない。だけど、被害者が業者に電話して、個人情報を伝えると、それを元に催促をするから、連絡をしない方がよい……とされている。

うーん、それはよく言われるけど、本当なのかな? 実際にワンクリック詐欺業者に電話して確認してみましょう。

※警告※

興味本位でワンクリック詐欺業者に電話するのは止めましょう。今回電話をかけているのは、セキュリティのプロです。

f:id:pinkhacker:20161119165012j:plainもしもし~ ワンクリック詐欺サイトさんですか。フレッシュ・プリンスです~

 

詐欺サイト1 「40万円を明日払え」に電話してみた

最初はこのサイトに電話してみよう。凄いよ、明日までに40万円払えって、言ってるよ。

f:id:pinkhacker:20161119165223p:plain
請求金額はなんと40万円! フレッシュ・プリンスのお昼代800回分だ

 

いろいろなワンクリック業者を探したけど、請求金額はダントツだった。では電話しよう。 「あ、もしもし、うっかりサイトを開いたら40万払えと表示されたんですが、どうしたらいいんですか? 解約できますか?」

(電話中)

ふー、電話終了。

スピーカーフォンにして、隣で聞いていけたけど、いろいろと酷かったね。

うん。まず驚いたのは、電話に出た男性の対応は凄く丁寧だった。「オイコラ払え! 入金しないとコンクリートに練り込んで東京湾に沈めるぞ」と恫喝されるかと思いきや、とっても優しい対応だったね。

そうそう。言葉遣いは丁寧だったけど、対応は賢くなかった。

電話をかけると、まず「お客様番号」を聞かれる。番号を伝えると数分間待たされて、「何時何分にWindowsでアクセスした人ですね」と言われる。このサイトは、ユーザーエージェント情報はページに表示されていないので、その一言で知識がない人は「ひえー、業者は私のことを知っている」となっちゃうでしょう。単なるアクセスログを見てユーザーエージェント情報を伝えているだけなんですが。
次に名前を聞かれたので、教えたくないって言ったら「苗字だけでも教えて」と言われたので、「伊集院(仮)」と伝える。

名前はフレッシュ・プリンスと言えば良いのに(笑)。
フレッシュが「うっかりクリックしただけなので、解約したい」と言ったら、年齢認証画面でOKを押したから契約は成立しているため解約はできない、解約するにも40万円かかる、デジタルコンテンツだから無料解約はありえない……と、言ってくるんだよね。とっても丁寧に。

マニュアルはあるようだけど、説明は下手だし、段取りも悪い。本来なら最初に伝えるべき「キャンペーン期間中なので、いまなら10万円引きの30万円でOKだから、すぐに振り込みなさい」といったフレーズを、最後に言ってきたり。オレオレ詐欺の電話をかける役の「架け子」は絶対出来ないな、この人……と思いながら会話してました。

最後にフレッシュが「40万円は大金なので、妻に相談してまた電話します」と言ったら、相手は「よろしくお願いします」と反応して、しつこく追いかけることもなく、素直に電話を切った。エロサイト詐欺の件を妻に相談する人なんて、なかなかいないよ! そこは突っ込むところでしょ。

本当だよ。あっさり切られて、むしろ私がビックリした。

電話番号通知モードで携帯からかけたので、相手は我々の電話番号を知っている。実は電話をかけて数日経っているけれど、業者からの電話はまったくない。他の業者も同様だ。
そしてこの業者は、我々と電話している際に、後ろで複数人が電話している声がしたので、被害者は多いんだろうね。

詐欺サイト2 「マルウェア・バラマキ型」に電話

お次は、「8万円払え」ってサイトに電話してみた。

f:id:pinkhacker:20161119165345p:plain
ポップアップウインドウが定期的に出て入金を促す。そしてWebページはとても親切・丁寧な作りとなっている

 

このサイトはワンクリックどころか、ページを開いた瞬間ポップアップウインドウが開いて「金払え」を連呼し、ウインドウを閉じても閉じてもゾンビのように出てくる。さらに勝手にマルウェアをダウンロードしくるし、これをうっかり実行すると画面にずーーーと「金払え」と主張する、面倒なところです。ページ自体は親切なんだけど。

ここは連絡先が携帯電話なんだよね。極悪サイトだから、電話にも極悪人が出てくるとかと思いきや、ここも丁寧な対応をする、推定年齢18歳から20歳ぐらいの男性が出た。彼も一生懸命マニュアルに沿って話しているんだけど、それから外れる話題や、知らない言葉が出てくるとフリーズする。私が「御社」という言葉が使うと、相手には通じず、電話超しに動揺しているのがわかった。

絶対に「金を払えゴラァ」と言わなかったのが印象的だったね。プリンスが「え、お金払わなくていいんですか?」と尋ねたら「お客さまの自主的な入金をお願いしてます」と答えていた。

だから、私が「払わなくていいんですね!」と伝えたら、相手が「延滞金がついて大変なことになります。延滞金がたくさんついたら公的機関に被害届をだします」と言うんだよね。

だから、フレッシュが「その公的機関ってどこですか?」って質問したら……

「警察とかになると思う」と答えたんだよね。「とかになると思う」って! と突っ込みそうになった(笑)。

いや〜 あれは笑いそうになった。ちなみにこのサイトの延滞金は年利14.6%と書かれている。これは消費者契約法9条2号にそった金利だ。

気になった点が3つある。

1つ目は、「その1」のサイトもそうだけど、ここも振り込み先の口座をなかなか教えない。もちろんウェブページには記載していない。恐らく、我々みたいな輩が口座情報を聞き出すと、警察や銀行に通報して口座を凍結させたり、口座情報から詐欺サイトのデータが漏れるのを防いでいるんだと思います。

2つ目、このワンクリック詐欺サイトで、気になったのは「お子様がウッカリクリックしたら電話をください」と書かれているんだけど、もしそのシチュエーションならどう答えるのか。恐らく電話をかけさせるためのフレーズで、電話をしても「払え」の1点張りでしょう。

3つ目なんだけど、ここの「お客様ナンバー」にはアルファベットが交じっているんだけど、わざわざひらがなでの読みまでつけている。ここまで丁寧にやっているのをみると、アルファベットが読めない被害者も多いのかな? と思ってしまう。

とても騙されかけた人とは思えない観察眼&コメントだね。

詐欺サイト3 やる気がない詐欺業者

これは僕が電話したんだけど、ビックリしたね。

相手が「お客様IDを教えて」といったので、ピンクが伝えると……

「そのIDでは登録されていません。お金は払わなくて結構です」と言われたんだよね。このワンクリック詐欺業者の電話対応時間は19時までだったんだけど、18時50分に電話したから、担当した兄ちゃんは早く帰りたくて、そんなことを言ったのか。

合コンの予定でも入っていたのかな? ワンクリック詐欺業者に電話して「お金払わなくてよい」と言われるのは新鮮だった。

僕が彼の上司だったら、怒ってるよな。

助けてくれる人も怪しい!?

気をつけないといけないのは、ワンクリック詐欺業者だけじゃない。Googleで「ワンクリック詐欺 被害」といった言葉で検索すると、広告に「ワンクリック詐欺被害者を助けます!」といったページが表示される。司法書士など法律関係の人がやっている場合もあれば、個人・法人のサイトもヒットする。

しかも、どのサイトも金額がハッキリ書かれていない。

調査したところ、数千円から数万円単位の費用がかかる。場合によっては、ワンクリック詐欺サイトが要求する以上の金額を払わないといけない可能性もある。

えげつないな〜

ワンクリック詐欺サイトに関しては
・アクセスしない
・アクセスしても電話しない、無視する
ように対処しましょう。
相談するなら、国民生活センターや都道府県警察本部のサイバー犯罪相談窓口(警察)に連絡しよう。国民生活センターIPAのページには、ワンクリック詐欺について詳しく書かれているので必見です。
基本的にワンクリック詐欺サイトを開いて、入金催促をされても無視するのがいちばんです。しかし、もし自宅に裁判所から支払督促が届いたら、弁護士か警察に至急相談しましょう。裁判所にも異議を申し立てしないと、債務が発生してしまいます。

ワンクリック詐欺は「ネットリテラシーが低い人」を狙った限りなく黒に近いビジネスだ。自分のユーザーエージェントを通知されビックリし、業者に言われるがまま「自主的に入金」をしてしまう人が被害に遭っている。だから、このページを読んでいる人はワンクリック詐欺業者には入金はしないでしょう。もし身近にワンクリック詐欺に困っている人がいたら相談にのってあげてください。

特定のサイトからでないとアクセスできない、運営会社が違ってもエラーメッセージやデザインが一緒、アクセス元によって飛ぶ先を変更するなど、ワンクリック詐欺業者もいろいろと工夫しているようです。

どの世界でも頑張って努力しないと生きていけないんですね。
あ、そうそう、今回はPCからアクセスできるワンクリック詐欺サイトばかり紹介したけど、現在のターゲットはスマートフォンユーザー。スマートフォンの場合は、カメラのシャッター音を使って「あなたの顔を撮影した」と脅したり、バイブ機能で通知したりといろいろと工夫がされている。スマートフォンでないとアクセスできないサイトは多数あった。

ああ、カッコ良く喋っていたら、だんだん尻がむず痒くなってきた、というか痛くなってきた。

アングラな世界でも努力は重要! お尻の配慮も重要!

では、また次回!


次回も来週月曜日更新予定!