家でゆっくりとくつろいでいたら、VISAの利用速報でスマホが鳴った。
先ほどLOHACOで日用品を買ったからかな?
でもPayPayで支払ったはず。
なんだろう。
明細を見てみる。
利用国:マルタ
現地決済:10.99USD
なんだこれは。
身に覚えがない気がする。
なんか海外通販したっけ?
しばらく考え込んだ。
もしかしたら、あの時だ。
急速充電を初めて使った日。
充電器の横のQRコードを読み込んで、最初にクレジットカード情報を入力させられた。
多分あれだ。
画面にタッチしたら「QRコードを読み込んで充電を開始してください」と出た。
ちょうど画面横に使い方のQRコードがあった。
なんの疑問もなくスマホのQRコードリーダーで読み込んだ。
すると本来は「公式アプリに飛ぶ」か「アプリの中で完結」するはずなのに、
ブラウザっぽい画面が出て、カード番号入力を求められた。
その日は初めてで、そういうものだと思ってしまった。
「充電できるだろうか」と焦っていたのもあって、何の疑問も持たなかった。
なぜか開始されない。
クレジットカード入力したのに、もう一度QRを読み込む。
なぜかもうその画面は出ない。
代わりに充電器の使い方一覧のサイトが表示された。
さっきのはなんだったのか。大丈夫だったのか。
その後、アプリを入れて、アプリ側でもクレジットカード入力をした。
だから「あのブラウザ入力って何だったんだ?」と、あとからじわじわ気になっていた。
そしてQRコードの読み込みは、アプリのQRコード読み込みを使って本来はやるようだ。
さっきのQRコードをアプリから読むがエラー。
なぜだ?
ふと見ると、充電ケーブルの上にもQRコードを見つけた。
こっちか。QRを読むと、充電を開始するスワイプが出て充電が開始された。
さっきのはなんだったんだ。
とりあえず充電できたし、何かを支払ったわけでもなさそうだから大丈夫だろう。
こんなことがあったのを思い出した。
ここでようやく気づいた。
QRコード詐欺は、偽のQRや偽ページに誘導してカード情報を抜く手口がある。
本物の操作説明ページに飛ぶように見せて、その前に「カード入力だけ」挟む。そういうやつ。
念のため取引履歴を遡る。
EV充電の使用履歴は、e-Mobility Powerでちゃんと請求されてる。
これは大丈夫そうだ。
しかし、その二日後にあった。
ここでもマルタで使われている。
10.99USD。同じ金額だ。
MYSKILLSSPHERE.CO
聞いたこともない店舗。
ネットで名前を検索すると、フランスのなんかよく分からない学習講座のサブスクっぽい。
やられた。
絶対利用してない。
これは完璧にカード情報を盗まれた。
初めてのことなのでパニックになった。
PayPayカードに電話してみたが、混雑して5〜10分待ち。
そしてナビダイヤルで、20秒ごとに10円。無料通話プランには対応しない。
これはやめよう。無駄に金を取られそうだ。
「お問い合わせ」から、有人チャットに繋ぐことができた。
名前や電話番号を入力すると、また5〜10分そのまま待てと表示。
しばらくすると、オペレーターとのやりとりができる。
経緯を話したが、結局「カード請求(明細反映)が来てから手続きができます」と言われた。
「利用店舗とこちらで対応してください」とも言われた。
こちらで対応ですか?
それまで使われても我慢ですか?
と聞いたが、「あとはカード会社の対応になります」と。
正直、かなり不親切に感じた。
チャットのレスポンスも遅く、ストレスが溜まった。
これはカードを早めに利用停止した方がいいのでは?
このままでは怖くてしょうがない。
そのうち高額請求が来るかもしれない。
PayPayアプリを開いて、PayPayカードを選択。
カード利用停止と再発行手続きができた。
紛失/盗難を選べるので、盗難にチェック。
カード利用を停止するにチェック。
明日には新しいデジタル番号が届き、3〜10日ほどで物理カードが郵送で届くらしい。
手続きは1分で終わった。
簡単で驚いた。
これでもう犯人は使うことができなくなる。
(少なくとも、同じカード番号では)
早めに気づいてよかった。
まさか自分が詐欺に遭うとは思わなかった。
少額で済んだのはよかったし、いい経験にはなった。
同じことを繰り返さないために(今回の経験から)
今回の件で分かったのは、QRコード=安全ではないということ。
むしろ今は、QRコードが「公式っぽく見える」こと自体がリスクになっている。
特に急速充電のように、初めての操作で焦っているときは判断が鈍る。
自分もまさにそうだった。
まずこれだけチェック(30秒ルール)
・QRコードの位置が変(公式説明と違う場所、画面横など後付け感がある)
・QR読み込み直後にポップアップが出る
・ブラウザでカード番号入力を求められる
・URLが見慣れないドメイン
この中で一つでも違和感があれば、その時点で入力をやめる。
「とりあえず進む」は危険。
やってしまった直後の対処(順番が大事)
① カード利用通知・明細を確認
海外決済や知らない名前がないかを見る。
② カードを利用停止
アプリからすぐできる。電話不要。
③ カード再発行(番号変更)
番号が変わると、基本的に同じカードでは使えなくなる。
④ 明細をしばらく監視
しばらく同じ名前が出ないか確認。
急速充電を初めて使った時の流れは、別記事にまとめてあります。
PayPayカード再発行の流れ(実際にやった手順)
・PayPayアプリを開く
・PayPayカードを選択
・紛失/盗難を選択
・カード利用停止
・再発行手続き
1分くらいで終わった。
新しいデジタル番号は早めに反映されて、物理カードは後日郵送。
「電話しないと無理」と思っていたけど、アプリだけで完結した。
QRコードは「貼り替えられる」前提で見る
今回あとから気づいたのはこれ。
公式の同じ機種の充電器の画像を検索して見ると、画面横にQRコードは存在しなかった。
つまり、後から貼られた可能性がある。
QRコードは便利だけど、
・誰でも印刷できる
・誰でも貼れる
だから「そこにある=公式」とは限らない。
3行まとめ(これだけ覚えておけばOK)
・QRコードは“追加で貼られる|貼り替えられる”
・ブラウザでカード入力を求められたら止まる
・カード利用速報の通知は必ずONにする
追記:カード停止の翌日、PayPayカードに電話した
カード停止の翌日、やっぱりPayPayカードに電話してみた。
混雑していてまず待たされる。
5〜10分ほど待機のアナウンス。
しかもナビダイヤルで、20秒ごとに10円。
無料通話プランも使えない。
不正利用の相談なのに通話料が積み上がっていくのは、正直かなりストレスだった。
運が良く3分ほどで繋がったので、これまでの経緯を説明した。
QRコードを読み込んだこと。
覚えのない海外決済が出たこと。
カード情報を入力してしまった可能性。
するとこう言われた。
・取引明細に確定しているものは調査できる
・利用速報の段階のものは確定後に再度電話(チャット不可、電話のみ)
つまり、
明細に載ったもの → 今回の電話で調査開始
速報表示のもの → 明細に反映されたら、もう一度連絡
という扱いらしい。
カード決済は「利用(速報)→売上確定(明細反映)」の2段階で、確定しないと正式な調査対象にならないとのこと。
「加盟店へ直接問い合わせをしましたか?」とも言われた。
フランスの怪しいサブスクっぽいサイトが出たので、連絡はやめたと伝えた。
調査をするので、後日カード会社から電話が来ると言われて終了。
1799円のために17分電話して、通話料も約500円。
しかももう一度同じ連絡をする必要がある。
これはかなりストレスだった。
カードを再発行して、あとは勉強代でもよかったような気もした。