詐欺
気がつけばもう7月… ということは、夏休みはもうすぐそこまで迫っています。カレンダーを見ながら祝日やお盆休みをチェックし、計画を立て始めた人も多いのではないでしょうか。この時期、旅行客を狙った詐欺師たちの動きも活発化しています。当社では、2023年の休暇シーズンに旅行者が直面する危険についてまとめました。
Booking.comユーザーを狙ったフィッシング攻撃
格安ホテルから豪華ホテルまで世界の宿泊施設をオンラインで予約、管理できるサイトの一つ、Booking.comへの不正アクセスが、近年多発しています。最近では、日本でも6月、大阪や東京のホテルが相次いで被害を報告しました。それによりますと、Booking.comを通して予約をした一部の客に対して、不正アクセスした第三者がフィッシングサイトへ誘導するURLを含む不審なメールを送り付けていました。
当社の調査の中で、下記のようなBooking.comのフィッシングサイトが確認されました。こういった偽サイトの目的は、ユーザー名と電子メールアドレス、パスワードを窃取することです。
正規のものとそっくりな偽のBooking.com利用者用のログイン画面
フィッシング詐欺師は、集客のためにこのウェブサイトを利用する宿泊施設側のことも忘れてはいません。宿泊施設のオーナーの数は、Booking.comのユーザーの中で2番目に多いため、彼らのユーザー名とパスワードを盗む偽サイトも存在します。
正規のものとそっくりな宿泊施設側の偽ログイン画面
詐欺の被害に遭わないためには、ウェブサイトに認証情報を入力する前に、必ずそのウェブサイトのアドレスを注意深くチェックすることです。本物のアドレスがわからない場合は、検索エンジンやウィキペディアで再確認することをお勧めします。
Airbnb利用者も詐欺師の餌食に
サイバー犯罪者は、もう一つのオンライン宿泊予約人気サイト、Airbnbを忘れてはいません。偽のAirbnbサイト(オリジナルを模倣したもの)は、実在しない豪華なアパートの情報を掲載し、申し込んだユーザーには予約を確定するためにどこかの代理人に送金しなければならないと、執拗に迫る手口が確認されています。
Airbnbのなりすましサイト。実在しない宿泊予約の代金を支払うようユーザーに催促する
こういった手口に引っかかり、送金をしてしまった「顧客」は、宿の予約も存在しなければ、返金もありません。このような被害を避けるためにも、送金をする前には必ずウェブサイトのアドレスを入念にチェックしましょう。
偽の旅行調査サイトでユーザーデータを収集
オンライン詐欺の他の例として、アンケートに答えるとプレゼントがもらえると謳う偽サイトもあります。旅行に関するアンケートに答えると、誰でも100ドルの賞金がもらえるというのです。
アンケートに答えれば100米ドルのプレゼントと謳う偽の調査サイト。ユーザーがアンケートに答えると個人データが盗まれる
アンケート調査の最後に、詐欺師は通常、ユーザーに個人情報(氏名、住所、電話番号、時には支払い情報など)の入力を求めます。こうしたデータは後日、個人情報の窃盗から金融口座へのハッキングまで、あらゆる悪事に使われる可能性があります。「賞金」は、実際には用意されていません。
この種の脅威への対策はシンプルです。楽にお金が手に入るという謳い文句は信じないことです。特にその金額が大金である場合は、詐欺に間違いないでしょう。
航空会社のフィッシングサイト
航空会社の乗客もフィッシング詐欺師の標的です。さまざまな航空会社の公式サイトを模倣した偽ページが後を絶ちません。もちろん、大手の人気航空会社であれば、その顧客の認証情報が詐欺師に狙われる可能性が高くなります。
大手航空会社の顧客アカウントを狙うフィッシングサイト
この場合、詐欺師の目的は二つあります。一つ目は、直接的な金銭的利益を得ることです。主要航空会社すべては、一種の通貨であるボーナスポイントが加算されるマイレージプログラムがあります。サイバー犯罪者が十分なマイレージを保有する誰かのアカウントにハッキングすることに成功すれば、航空券を購入し、それを転売することができます。
航空会社のマイレージプログラムのアカウント情報を窃取するフィッシングサイト
第二に、被害者が持つ他のアカウントを乗っ取るためにログイン情報を盗むことができます。悲しいことに、パスワードを使いまわす人はいまだに多くいるため、このハッキングの方法は成功する可能性が非常に高いといえます。つまり、航空会社のマイレージプログラムのアカウントのパスワードは、電子メールにも使える可能性があるのです。
珍しい航空券詐欺
そして今年はかなり型破りな手口も確認されています。旅行代理店の従業員を装った詐欺師が、イギリス行きの航空券を探すユーザーに、非常に魅力的な価格を偽のサイトで提供するといったものです。しかも、支払い後、予約はすべてのウェブサイトの管理システムに表示され、通常の予約システムと何ら変わりはありません。
しかし詐欺師たちは、実際には航空会社からチケットを購入しません。むしろ、多くの予約システムで利用されている、一時的なチケット予約サービスを悪用しているだけです。それには、一人当たり数十ドルもかかりません。このサービスでは、予約にいわゆる乗客予約記録(PNR)を割り当てます。PNRは、航空会社によって予約参照番号、予約番号、フライト確認コードなどさまざまな名前で呼ばれる6桁の英数字コードです。このコードによって、航空会社の公式ウェブサイトでも予約を確認することができます。
もちろん、詐欺師が航空券と引き換えることはないので、仮予約の期間が過ぎると予約は消えてしまいます。詐欺師たちは、実在しない航空券に支払われた数百ドルと、予約サービスに費やされた20数ドルの差額をしっかりと懐に入れ、その後、被害者からの問い合わせにも応答しなくなります。
ちなみに、予約ではなく正規の航空券に支払ったことを確認する方法があります。予約情報を見て、英数字6桁のPNR(例えばA1B2C3)ではなく、数字13桁の航空券番号(例えば123-4567890123)を確認するのです。航空券番号が記載されていれば、航空券の支払いが完了し、発券済みであることを意味します。
詐欺師に休暇を台無しにされないために
最後に、オンライン詐欺やフィッシング詐欺に遭わずに旅行を楽しむヒントをまとめます。
- 航空券の購入、宿泊するホテルやアパートの予約は、ウェブサイトのアドレスを入念に確認しましょう。
- 可能であれば、航空会社の公式サイトで直接航空券を購入しましょう。多少割高になるかもしれませんが、その方が安全です。
- 懸賞やおとぎ話のような格安価格に騙されないこと。チーズが無料なら、それはねずみ取りの中に入っている可能性が高いものです。
- 最後にたどり着いたウェブサイトのアドレスを注意深くチェックしましょう。
- そして、ユーザー名やパスワード、支払いカード番号など、重要な情報を入力する前に、そのページのURLを三重にチェックしましょう。
- 予約番号を他人に知られないようにしましょう。航空券のバーコードやPNRが見える写真をSNSなどに投稿してはいけません。その理由についてはこちらの記事をご覧ください。
- 出発日の数日前に、旅行の予約をすべてチェックしましょう。問題がある場合は、空港のチェックインカウンターやホテルのフロントではなく、事前にカスタマーサポートを通して解決しましょう。
- オンライン詐欺対策やフィッシング対策機能が組み込まれた信頼性の高いアンチウイルスをすべてのデバイスで使用しましょう。これにより、避けるべき怪しいサイトを早期に警告してくれます。
ヒント