QRコードを2回読み取ると、銀行口座からPayPay⇒WINTICKET経由で73万円を勝手に引き出された話。PayPay側も対策へ。
フィッシング詐欺に引っかかり、銀行口座から73万円を勝手に引き出された話が話題になっています。
被害を公表したXユーザーは、PayPay残高が1万円だったにもかかわらず、PC上に表示されたQRコードを読み取っただけで銀行口座から入金され、合計73万円が使われる被害に遭ったという。同ユーザーは6月18日にnoteで詳しい経緯を公開。noteには3000件以上のいいねが付いた他、X上で「怖すぎ」と反響が集まっている。
noteの記事によれば、同ユーザーは18日、「PayPayカード」をかたる請求メールを受信。文面やデザインはPayPay公式を装ったもので、記載されたリンクを開くと、PC画面に2つのQRコードが表示され、PayPayアプリで順にスキャンするよう促されたという。
指示に従ってQRコードを読み取ったところ、アプリ上には特に確認表示もないまま、銀行口座から6~10万円ずつの出金が複数回実行され、PayPayの残高にチャージされた。直後、Appliss公式アカウントの管理者が操作していないにもかかわらず、競輪・オートレースの投票券を購入できるサービス「WINTICKET」への支払いが相次いで行われ、合計73万円を勝手に使われたという。
オートチャージ機能はオフにしていたものの、チャージと支払いは止まらなかった。すぐに銀行口座の連携を解除したが、ほぼ全額が使われた後だったという。
QRコードを2回読み取っただけで、73万円を不正に引き出された──PayPay巡る被害に「怖すぎ」の声 その巧妙な手口とは(ITmedia NEWS) – Yahoo!ニュース
元となったnoteはこちら。
【追記ありx2】PayPayで一瞬にして73万円を騙し取られた話(1万円しかチャージしてなかったのに)|Appliss
WINTICKETをPayPayチャージに設定することで、PayPayに紐づいている銀行から無限にチャージしまくれる、
とのこと。なので、WINTICKETでPayPayと連携するQRコードを発行し、カモに送り込んで無事に2回読み取ってくれれば、
後はチャージし放題だったそうな。
まぁよく分からないQRコードをスキャンするなよ、という話ですが、スキャンしている本人は
騙されていることなんてつゆとも思わないですからね。後の祭りです。
WINTICKET側も、PayPayの名義や銀行口座の名義と、WINTICKETの名義ぐらい確認しないものか。
なんというザルなのか。
こうなってくると、PayPayなどキャッシュレス決済と連携している口座には、
あまり大金を置かない、そして使わない場合は銀行口座との紐づけを切断しておくことが大事です。
それにしても次から次へと新しい抜け道や手段が考案されますね。
一般人に騙されないように警戒しろ、という方が無理かも。
まずは原理原則、「メールでお知らせが来てもリンクボタンを押さない」を守りましょう。
詐欺師は常に騙すことを考えていますので、「私は騙されない自信がある」などと根拠のない自信は捨てましょう。
その驕り高ぶりを、詐欺師は突く方法を常に探っています。
なお、PayPayやWINTICKET側もQRコードを用いた認証方式は廃止し、WINTICKETとの新規連携も停止したそうな。
果たしてこの被害者のお金は返ってくるのか。また犯人は捕まるのか。
続報が待たれます。
まだPayPay使っとるやつおるん?
ワイの情弱上司はPayPayをじゃんじゃか使っとるで
使えるもんは何でも都合よく使っとったらええ。
「だせぇ」だの「古臭い」だの、外見や体裁ばっか気にして斜に構える奴が一番頭悪い。
個人的にはこのオートチャージ風の動作が実装されてること自体が怖いわ
しかし言っちゃなんだがこれ考えたやつ賢いな
賢いんじゃない
そういう詐欺を見抜けない情弱を量産してる義務教育もそうだし高等教育擬きが無能なだけ
Iパス程度の知識があれば騙されない
(うわぁ、チンチンに毛はえてなさそ。。。)
事実を言ってるぞ
この程度の詐欺に引っ掛かりBad付けるようなレベルの低い情弱には同情の余地は無いしリアル対面でも同じことを言える
てかそんなリテラシーの低い人間と話を合わせる気も無いし敵に回したとしても痛くも痒くもない
中には、リテラシー高くて引っかからないけど、
高圧的な物言いは大嫌いという人もいるよ。少なくない。
敵に回しても怖くない弱者だから適当にあしらって良い、と考えてると、そのうち、足下すくわれるよ。
2025年6月22日 13:15 とは別人だけど
なんでBadつけたかといえば、フィッシング詐欺に引っかかるような下位5%未満の為に義務教育で詐欺対策をしろなんて宣っているからなんだが
何でもかんでもセイフガーは無能感しかないよ君、そのうちうっかりで詐欺に掛かりそうなタイプ筆頭な感じ
これなんでこういうガバガバシステムにしてるかっていうと、WINTICKET登録時に本人確認キッチリしてるからなんだよな
出金先口座は名義一致必須だから、即座に口座凍結して名義人もすぐ捕まえられるはず
そいつが犯人ならそれでしまいの間抜け犯罪
面倒なのはそいつが口座と免許証売ってた場合だな
真犯人は捕まらず、ATM出金までされてたらもうどうしようもない
登録時点で本確してるからガバシステムでもOK!
でやってる公営ギャンブルサービスは多いから、被害は爆増するかも
スマホ決済アプリに登録しているクレジットカードの利用枠も注意した方がいいかも。
また、決済金額上限を低く設定していれば、今回の詐欺被害は免れたはず。
最近、銀行や証券口座から金を奪われる話があまりにも多い
1周回って自宅に現ナマを持っておく方が安全な気すらしてきた
闇バイトのアポ電強盗もあるから全財産を現金はさすがにヤバいだろうけど、リスクを分散させるために当面の間生活できるくらいは現金も持っておいた方がいいんだろうな
脆弱性突いた攻撃ならまだしも、詐欺で騙される奴はどこに何を持ってても騙されるよ。
ワイみたいな他人を信用していない人間の方が損しにくいってことか
その代わりに本当にお得なことすら疑ってかかるって弱点もあるけどな
結局競輪運営が儲かったということ?
今後、当選通知やら懸賞の応募を装ってこういう詐欺が出てこないことを祈る。