文字サイズ

ケーススタディで学ぶ インターネット安心安全ガイド

特集記事

Booking.comを装う詐欺

「公式アプリのメッセージ」から届く罠

従来のフィッシング詐欺は、偽物のメールやショートメールからニセサイトに誘導するものが主流でした。
しかし、このBooking.comを装う詐欺の最大の特徴は、「Booking.comの公式アプリのメッセージ機能」を使って、ニセの連絡が直接届く点にあります。

「いつも使っている公式アプリ内の連絡だから、本物に違いない」

私たちがそう信じ込んでしまう心理を、詐欺師たちは悪用しています。
実際、国内でも誰もが知る有名ホテルから老舗旅館まで100以上の施設が次々と不正アクセスの被害に遭い、注意喚起を出す事態へと発展しています。

公式アプリからニセメッセージが届く仕組み

詐欺の裏側では、以下のような手順で恐ろしい「乗っ取り」が行われています。

宿泊施設のパソコンをウイルス攻撃する

詐欺師はまず、宿泊施設(ホテル)に対して「ニセの予約問い合わせ」などを装ったメールを送り、ホテルのパソコンにマルウェア(悪意のあるプログラム)を感染させます。

宿泊施設の管理画面を乗っ取る

感染したパソコンから、ホテルが使っているBooking.comの管理画面のIDとパスワードを盗み出します。これで、詐欺師がホテルのアカウントを自由に操作できるようになります。

予約客に対してニセのメッセージを送る

ホテルのアカウントを乗っ取った詐欺師は、そのホテルになりすまして、実際に予約を入れている宿泊客に対して公式アプリからメッセージを送りつけます。

「予約がキャンセルされます」と急かし、個人情報を入力させる

「お支払いの処理に失敗しました。24時間以内にカード情報を再入力してください」
「カード認証が確認できないため、今すぐ手続きしないと予約が自動的にキャンセルされます」
などといったメッセージで焦らせます。
焦った利用者が、メッセージに記載されたURL(リンク)をクリックすると、本物そっくりに作られた偽の決済画面に飛ばされます。そして、入力したクレジットカード番号やセキュリティコードを丸ごと盗み取られてしまうのです。

予約サイトを装う詐欺にだまされないように、知っておくべきこと

■詐欺メールは「本物」の予約サイトから送られてくる
宿泊施設の管理アカウントを乗っ取っているため、予約サイトの本物のアドレスから連絡が届きます。
「アドレスが本物だから大丈夫」と安心せずに、メール内容に不審な点がないかをよく確認しましょう。

■予約サイトから、カード情報の再入力や追加の支払いを求めるメッセージが来ることはない
予約サイトや宿泊先が、メールやショートメッセージ、SNSアカウントのDM等を使って個人情報や料金の支払いを求めることはありません。
「●●日までに支払わなければ予約がキャンセルされます」などと焦らせる文章が書かれていることがありますが、そんなときこそ落ち着いて確認しましょう。

■不審なメールが届いたら、宿泊先の電話番号へ問い合わせる
宿泊先に直接電話をして、予約が成立しているか、支払いが完了しているかを確認するのが確実です。
その際に使用する電話番号は、予約サイトだけではなく宿泊先の公式サイトや口コミサイト等、複数のサイトを確認すると安心です。予約サイトの管理アカウントは乗っ取られており、詐欺師の連絡先へ書き換えられている可能性があるからです。
ネットですべてが完結する便利な世の中だからこそ、一手間かけて確認しましょう。

最後に

旅行前のワクワクしているタイミングや、「予約が消えてしまうかもしれない」という強い不安を狙った卑劣な犯罪です。また、メッセージの日本語の文章も完璧に作り込まれているため、文面の違和感だけで見破ることは不可能です。

「公式ルートからの連絡でも、お金の話は一度疑う」という、今の時代に合わせた新しい防犯意識を持ちましょう。