偽の支払い請求書が今まさに仕込まれており、私たちはそのキャンペーンがまだ準備段階にある間に発見しました。これらのメールはPayPal、Amazon、Geek Squadなどを装っており、すべてに共通する目的は一つ——偽の「サポート担当者」が待ち構える電話番号に電話させることです。
今回の波で異例なのは、入手したテンプレートの一部に電話番号や金額が入るべき欄がまだ空白のままだった一方、完成して出回っているものも存在していたことです。キャンペーンの展開途中を捉えた形になります。
詐欺の手口
「サブスクリプションが$349で更新されました」「$598.96の支払いが送信されました」といった領収書を装ったメールが届き、「キャンセルまたは異議申し立てはこちらの番号へ」と書かれていたら、絶対に電話しないでください。
実際には何も請求されていません。このメールの目的は、詐欺師に電話させることです。そして電話口で、パソコンへのリモートアクセスの提供、カード情報の開示、あるいは「返金」を名目に逆に送金させることを画策しています。
この手口は「幽霊請求書」詐欺または「返金」詐欺と呼ばれ、技術的な攻撃ではなく心理的なトリックを使います。そのため、スパムフィルターを通り抜けやすいのです。セキュリティシステムが解析すべき悪意のある添付ファイルやリンクが含まれていないことが多いからです。詐欺の核心は、電話するよう促される番号そのものにあります。
購入した覚えがなければ、メール記載の番号に電話してキャンセルする必要はありません。本物の企業が、見知らぬ電話番号を通じて身に覚えのない請求を解決するよう顧客に迫ることはありません。
目的はシンプルです。不安を煽り、電話させることです。例えば$499という見覚えのない高額な請求を見た瞬間、まず止めなければという衝動に駆られます。請求書には親切にも「お心当たりのない方はこちらへ」と電話番号が記載されています。電話すると、相手は詐欺師です。
その後の会話は、いくつかのパターンのいずれかに向かいます。「修正のため」としてソフトウェアのインストールを求め、パソコンへのアクセス権を奪うケース。「返金処理のため」としてカードや銀行口座の情報を聞き出すケース。あるいは「誤って」返金しすぎたとして、差額をギフトカードや銀行振込で送るよう要求するケースなどがあります。
請求書はあくまでおとりで、電話こそが罠の本体です。
これらのメールは非常に巧妙で、すでに受信トレイに届いているものもあります。幸いなのは、受け取るだけではリスクがないことです。詐欺が成立するのは、記載された番号に電話した場合のみです。詐欺と気づいて削除すれば、攻撃はそこで終わります。
すでに番号に電話し、詐欺師の指示に従ってしまった場合は、ウイルススキャンを実行し、銀行口座を確認してください。重要なパスワードを変更し、多要素認証(MFA)を有効にして、セキュリティソフトを最新の状態に保ってください。
構築途中を発見した経緯
詐欺の調査はたいてい被害が出てから始まります。今回は違いました。同一キットから作られたことが明らかな、ほぼ同じ請求書テンプレートの集まりを発見し、その中の複数が未完成でした。
完成した詐欺メールには電話番号が表示されるはずの箇所に、プレースホルダーとして #TFN# というテキストがそのまま残っていました。(「TFN」は詐欺師がフリーダイヤル番号——被害者をつなぐコールバック回線——を指す略語です。)他にも、金額が #PRICE#、日付が #DATE#、受取人が #EMAIL# のままのものもありました。これらは差し込みフィールドで、キャンペーン送信前に一括送信ツールが自動的に埋める空欄です。
こうしたプレースホルダーが残っていたことから、作戦がまだ準備中だったことがわかりました。一部のテンプレートはまだ未完成でしたが、他は完成しており、実際のコールバック番号まで入っていました。構築中から完全稼働の間、まさに展開の途中でキャンペーンを捉えたのです。
巧妙に見える理由
詐欺師はPayPal、Amazon、Geek Squadといった誰もが知るブランドを利用します。領収書や更新通知が届いても不思議でない企業ばかりのため、疑いを持たれにくいのです。
請求金額も巧みに設定されています。数百ドル台の金額は、不安を覚えるには十分な大きさでありながら、サブスクリプション更新やオンライン購入としてもあり得る範囲に収まっています。
多くのメールには緊急性を煽る文言が含まれており、すぐに電話して異議申し立てまたはキャンセルするよう促します。この圧力は、受取人が自分で取引を確認する時間を与えないためのものです。
さらに、PayPal経由でAmazonへ支払いが送信されたと主張するなど、複数の有名ブランドを組み合わせた請求書もあります。複数の有名企業を引用することで、メッセージがより信頼性の高いものに見えます。
偽請求書の見分け方
朗報は、これらの詐欺に共通する警告サインがあることです。何を見ればいいかわかれば、見分けるのがずっと楽になります。以下のいずれかに当てはまるか確認してください。
- 身に覚えのない請求。請求に見覚えがない場合は、自分のアカウントや銀行から直接確認してください。記録がなければ、その請求書は電話させるためのおとりである可能性が高いです。
- タイムプレッシャー。「12時間以内に電話を」「更新前にキャンセルを」「今すぐ行動を」といった文言は、考える余裕を奪うための偽の緊急性です。本物の請求トラブルなら、確認する時間は十分にあります。
- 信頼するブランドの悪用。ロゴが見慣れているほど、人は注意して読まなくなります。詐欺師は自分では得ていない信頼を借り物にしています。
- 細部の違和感。AmazonからのPayPalメール、誰のものでもない送信元アドレス、わずかにずれた言い回しなど。おかしいと感じる小さなことを信じてください。
- 電話を切らせない圧力。電話すると、本物の企業なら確認のために切ることを妨げませんが、詐欺師は妨げます。
これらのうち一つでも当てはまれば、メール全体を疑わしいものとして扱ってください。
この詐欺全体を打ち破る唯一のルールを覚えておいてください。本物の企業は、あなたがしていない支払いを取り消すために慌てて電話するよう促すことは絶対にありません。請求が本物かどうかわからない場合は、メールを閉じて通常の方法でアカウントを確認してください。会社のウェブサイトを自分でブラウザに入力するか、銀行カードの裏面に記載された番号に電話するのが正解です。
ヒント:Malwarebytes Scam Guardはこのような詐欺の検出と次のステップのガイドに役立ちます。また、Browser Guardは詐欺サイトへのアクセスをブロックします。
受信した場合の対処法
ここで紹介したような不審な請求書を受け取った場合は、以下のシンプルな対策をとってください。
- 番号に電話しない。それが詐欺の核心です。正当な返金やキャンセルでは、送りつけられた領収書に記載された番号に電話する必要はありません。
- 返信・クリックをしない。本物に見えても、メッセージは疑わしいものとして扱ってください。
- 請求を自分で確認する。請求が本物かもしれないと心配な場合は、PayPal、銀行、またはショッピングサイトに自分でアドレスを入力してログインし、取引履歴を確認してください。
- 報告する。不審なフィッシングメールは、なりすまされた企業の不正通報窓口に転送してください。米国内ではFTCの
reportfraud.ftc.govにも報告できます。報告により詐欺活動の摘発に貢献できます。 - すでに電話した場合は会話を終了する。推奨されたソフトウェアはインストールしないでください。リモートアクセスを許可したり支払い情報を共有してしまった場合は、すぐに銀行に連絡し、信頼できるセキュリティスキャンをデバイスで実行してください。
- 緊急性を煽る文言に注意する。「12時間以内」「今すぐキャンセル」といったフレーズは、考える前に行動させるための圧力です。落ち着いて自分で請求内容を確認する時間をとってください。
詐欺師はソフトウェアが容易に検査できない手口へとますます移行しています。メール内の電話番号はセキュリティツールで評価するのが難しく、実際の詐欺は悪意のあるリンクや添付ファイルではなく、電話通話を通じて行われます。
だからこそ、このキャンペーンを展開途中で発見できたことが重要なのです。被害が出てから確認するのではなく、準備段階——未完成のテンプレート、不完全な詳細、完全展開前のキット——を目にすることができました。
最善の防御はシンプルです。身に覚えのない請求書が「今すぐ電話を」と促してきたら、立ち止まり、まず自分で請求内容を確認してください。
侵害の痕跡(IoC)
ドメイン
invoicepdfin[.]xyz
invoicepdfus[.]xyz
invoicepdfusa[.]xyz
invoicerep[.]xyz
invoicestatement[.]xyz
invoicestm[.]xyz
コールバック番号
804-392-2793
801-640-8589
何か変だと感じたら、クリック前に確認を。
Malwarebytes Scam Guard は、不審なリンク、テキスト、スクリーンショットを即座に分析します。
全デバイス対応の Malwarebytes Premium Security 、および iOS・Android向けMalwarebytesアプリでご利用いただけます。
