QRコードを2回読み取っただけで、73万円を不正に引き出された ──PayPay巡る被害に「怖すぎ」の声 その巧妙な手口とは
▼ページ最下部
突如として届いた、「PayPayカード」を名乗る請求メール。添付されたリンクを開いてQRコードを読み取ったところ、
銀行口座から計73万円がPayPayアプリの残高として引き出され、勝手に使われてしまった――X上でこんな被害が報告さ
れ、注目を集めている。特徴的なのは、QRコードを2回読み取らせるだけで、残高を引き出したというその手口だ。
被害を公表したXユーザーは、PayPay残高が1万円だったにもかかわらず、PC上に表示されたQRコードを読み取っただ
けで銀行口座から入金され、合計73万円が使われる被害に遭ったという。同ユーザーは6月18日にnoteで詳しい経緯を
公開。noteには3000件以上のいいねが付いた他、X上で「怖すぎ」と反響が集まっている。
noteの記事によれば、同ユーザーは18日、「PayPayカード」をかたる請求メールを受信。文面やデザインはPayPa
y公式を装ったもので、記載されたリンクを開くと、PC画面に2つのQRコードが表示され、PayPayアプリで順にスキャン
するよう促されたという。
指示に従ってQRコードを読み取ったところ、アプリ上には特に確認表示もないまま、銀行口座から6~10万円ずつの出
金が複数回実行され、PayPayの残高にチャージされた。直後、Appliss公式アカウントの管理者が操作していないにもか
かわらず、競輪・オートレースの投票券を購入できるサービス「WINTICKET」への支払いが相次いで行われ、合計73万
円を勝手に使われたという。
オートチャージ機能はオフにしていたものの、チャージと支払いは止まらなかった。すぐに銀行口座の連携を解除し
たが、ほぼ全額が使われた後だったという。
手口の再現、「簡単すぎ」?
Applissの投稿を受けて、実際に同じ手口が実行できるか検証した人物も登場。XユーザーのJ416DYさん(@j416dy)
は19日に「PayPayのフィッシングが簡単すぎた話」と題し、実際にWINTICKETとPayPayを使った検証結果をまとめたno
teを公開した。
WINTICKETはPayPayからの入金に対応している。J416DYさんは、WINTICKETのアカウントを作成し、連携用のQRコ
ード2つを発行。それぞれをPayPayアプリで読み取ることで両アカウントが連携できることを確認した。さらに、WINT
ICKET上で支払い手段としてPayPayを選択すると、PayPay経由で残高にチャージできることも確かめた。
残高が不足している場合でも「チャージして支払う」を選択すれば、銀行口座からの引き落としが実行される。その
ためオートチャージ設定の有無にかかわらず、残高が引き出せたという。
J416DYさんは、犯人があらかじめ本人確認済みのWINTICKETアカウントと出金用口座を用意し、フィッシング
サイトを通じて他人のPayPayアカウントと連携させ、WINTICKETに残高をチャージした後、賭け金が返ってきやすそうな競輪・オートレースに投票し、払戻金を受け取る形
で現金化していた可能性を指摘。QRコードを読み取るだけで連携が完了し、サービス名も連携完了後にしか表示されな
いといったPayPayの仕様に、セキュリティ上の問題があると警鐘を鳴らした。
さらにJ416DYさんは……続く
https://news.yahoo.co.jp/articles/80b63f12ed25b4289effd...
銀行口座から計73万円がPayPayアプリの残高として引き出され、勝手に使われてしまった――X上でこんな被害が報告さ
れ、注目を集めている。特徴的なのは、QRコードを2回読み取らせるだけで、残高を引き出したというその手口だ。
被害を公表したXユーザーは、PayPay残高が1万円だったにもかかわらず、PC上に表示されたQRコードを読み取っただ
けで銀行口座から入金され、合計73万円が使われる被害に遭ったという。同ユーザーは6月18日にnoteで詳しい経緯を
公開。noteには3000件以上のいいねが付いた他、X上で「怖すぎ」と反響が集まっている。
noteの記事によれば、同ユーザーは18日、「PayPayカード」をかたる請求メールを受信。文面やデザインはPayPa
y公式を装ったもので、記載されたリンクを開くと、PC画面に2つのQRコードが表示され、PayPayアプリで順にスキャン
するよう促されたという。
指示に従ってQRコードを読み取ったところ、アプリ上には特に確認表示もないまま、銀行口座から6~10万円ずつの出
金が複数回実行され、PayPayの残高にチャージされた。直後、Appliss公式アカウントの管理者が操作していないにもか
かわらず、競輪・オートレースの投票券を購入できるサービス「WINTICKET」への支払いが相次いで行われ、合計73万
円を勝手に使われたという。
オートチャージ機能はオフにしていたものの、チャージと支払いは止まらなかった。すぐに銀行口座の連携を解除し
たが、ほぼ全額が使われた後だったという。
手口の再現、「簡単すぎ」?
Applissの投稿を受けて、実際に同じ手口が実行できるか検証した人物も登場。XユーザーのJ416DYさん(@j416dy)
は19日に「PayPayのフィッシングが簡単すぎた話」と題し、実際にWINTICKETとPayPayを使った検証結果をまとめたno
teを公開した。
WINTICKETはPayPayからの入金に対応している。J416DYさんは、WINTICKETのアカウントを作成し、連携用のQRコ
ード2つを発行。それぞれをPayPayアプリで読み取ることで両アカウントが連携できることを確認した。さらに、WINT
ICKET上で支払い手段としてPayPayを選択すると、PayPay経由で残高にチャージできることも確かめた。
残高が不足している場合でも「チャージして支払う」を選択すれば、銀行口座からの引き落としが実行される。その
ためオートチャージ設定の有無にかかわらず、残高が引き出せたという。
J416DYさんは、犯人があらかじめ本人確認済みのWINTICKETアカウントと出金用口座を用意し、フィッシング
サイトを通じて他人のPayPayアカウントと連携させ、WINTICKETに残高をチャージした後、賭け金が返ってきやすそうな競輪・オートレースに投票し、払戻金を受け取る形
で現金化していた可能性を指摘。QRコードを読み取るだけで連携が完了し、サービス名も連携完了後にしか表示されな
いといったPayPayの仕様に、セキュリティ上の問題があると警鐘を鳴らした。
さらにJ416DYさんは……続く
https://news.yahoo.co.jp/articles/80b63f12ed25b4289effd...
▲ページ最上部
ログサイズ:6 KB 有効レス数:8 削除レス数:1
不適切な書き込みやモラルに反する投稿を見つけた時は、書き込み右の マークをクリックしてサイト運営者までご連絡をお願いします。確認しだい削除いたします。
ニュース二面掲示板に戻る 全部 次100 最新50
スレッドタイトル:QRコードを2回読み取っただけで、73万円を不正に引き出された