数か月前からニュースやSNSで、クレジットカードを不正利用され、利用停止手続きをしたのに、不正利用が止まらないという被害の報告が増えているのをご存じですか。わたしもまさにフィッシング詐欺にかかってしまい同様の被害を受けました。たとえ補償は受けられたとしても、不正利用がいつまで続くのかわからない状況は、精神的にかなりのストレスです。被害者がこれ以上増えないように、犯行の手口やわたしたちカード利用者が注意すべき点をまとめました。
不安や焦りをあおるメール
わたしの場合は上の画像の通り「怪しい」ショートメッセージが届きました。後から見てみたら本当にいろいろ怪しいです。しかしその時、たまたま早く決済されないと困る取引があったこともあり、ついうっかり、クリックしてカード情報を入力してしまったのです。
同様の被害を受けた人の中には、カードの利用明細通知がいつもと同じ書式のメールで届いたが、身に覚えのない利用だったため、そのメールのリンクを開いて偽のサイトでカード情報を入力してしまったというケースもあるようです(NHK ニュースウェブ参照 https://www3.nhk.or.jp/news/html/20240915/k10014582481000.html )
犯人のApple Payにカード情報を登録される
情報を入力した後、Apple Payにカードの登録ができたというショートメッセージが届き、その時点でフィッシング詐欺にあったことに気が付きました。そこで、すぐにカード会社に連絡しカードの利用停止手続きと再発行の手続きをしました。その日のうちにカード利用を止めたし不正利用はできないだろうと思っていました。
ところが、後日クレジットカードの利用明細がメールで届き、金額が自分の記憶よりもずいぶん高額なため、すぐに確認するとカード利用停止後の日付で不正利用がされていたことが分かって驚きました。そこで、カード会社に不正利用の連絡をして調査を依頼しました。
不正利用が続く理由
わたしは当初、別のカードを再発行しても不正利用されたのは、新しいカードの情報まで犯人に漏洩したからだと思っていました。
ところがカード会社によると、不正利用されているのは最初のカードだということで、どうして停止したカードが使えてしまうのかが理解できませんでした。
調べてみると、犯人は盗んだクレジットカードの情報をApple Payに登録し、いわゆる「オフライン取引」の上限額である1万円以下の取引を繰り返すことで、カード会社からの不正利用の検知をすり抜けているらしいのです。
通常のクレジットカード決済は、オーソリゼーション(利用可否の確認)が行われるのに、少額決済の場合は処理の効率化やコスト削減のために、それを省略する「オフライン取引」が行われる場合があるそうなんです。
わたしは素人なのでよくわからないのですが、とにかくクレジットカード決済の「オフライン取引」とApple Payの仕組みを巧みに利用しセキュリティ対策の隙をついた犯行ということらしいです。
(参考 https://www.watch.impress.co.jp/docs/series/suzukij/1612388.html)
補償を受けるために
カードの不正利用があった場合に、わたしたち利用者が損害の補償を受けられるかどうかについては、まずは自分のカードの規約の条件を確認してください。(カード会社のアプリやウエブサイトで確認できます)
イオンカードの場合ですが、不正利用の届け出が損害の発生から約2か月経ってしまうと、補償が受けられなくなってしまうので要注意です。
わたしの場合は、初めて不正利用があった月の分については自分自身が使った分の支払いがあったため、不正利用分(約10万円)も含めていったんは口座から引き落とされるとのことでした。後日不正利用分は払い戻してもらえるとのことですが、時間がかかり4~6か月先になると言われています(泣)。
そして10月末現在もまだ犯人による不正利用は続いています。カード会社の方は「いつかは止まります。」と言っていました。監視は続けるとのことですが、他に打つ手はないようです。
被害届は?
最寄りの警察署に電話して相談したところ、クレジットカード自体を盗まれたのではなく、カードの「情報」を盗まれ不正利用された今回のような場合は、カードの所有者は「被害者」ではなく「被害届」は提出できないと説明されました。
ただ、「相談」という形で話を聞くことはできると言われたので、わたしにも落ち度はあるけれど犯人を捕まえてほしいとの思いから、利用明細やフィッシングメールをスクショしてプリントアウトして持参して刑事さんに話を聞いてもらいました。(警察も忙しいでしょうし、カードが使われた場所も管轄が違うし、たぶん捜査もしてくれないんだろうなあとあきらめてはいますが。)
被害に遭わないために
わたしたち利用者自身ができることは、とにかくカード会社や銀行などからのメールのリンクは開かない、開いてもそこでカード情報を入力しないということに尽きると思います。
いつもだったらそんなことはしないのに、その時の精神状態などから、「ついうっかり」ということも人間だからありますよね。
でも今回のような事例を知ったうえで、焦りや不安を感じるようなメールを受け取っても「すぐに反応しない」ということを意識しておくことが大事だと思いました。
たとえそれがフィッシングメールではなく正規のものだったとしても、急いで対応しなかったからといって多分問題は起きません。改めて公式のアプリやウェブサイトを開いてそこからログインして確認したり、問い合わせるなりしましょう。
最後に、カード会社や関係機関などには「オフライン取引」の盲点を早急に改善することを強く望みます。