翌月払いでの商品購入ができるサービス「Paidy」を悪用した詐欺が発生 51
ストーリー by hylom
手口は分かりやすいが気づきにくい 部門より
手口は分かりやすいが気づきにくい 部門より
「Paidy」という、翌月払いで商品購入が行えるサービスを使った詐欺がフリマアプリなどで発生しているようだ(ITmedia、Togetterまとめ)。
手口としては、悪意のある出品者が何らかの商品をメルカリなどに出品し、購入者からはメルカリ経由で支払いを受けた上でPaidyで商品を購入して購入者に発送する。このときPaidyへの支払いは行わない点がポイントだ。Paidyを利用した購入では、請求を無視すると商品の発送先住所に請求書が送られる。つまり、購入者に対してはメルカリ上で悪意のある出品者宛に支払いを済ましているにも関わらず、2重の請求が行われることになる。
このトラブルを受けて、Paidyは悪用の恐れがある取引で決済サービスの提供を制限もしくは停止すると発表した(ITmediaの続報)。また、Paidyに対応していた一部通販サイトではトラブルを受けてPaidyの利用を停止する事態にもなっているようだ。
思いつく奴はいるものだなぁ。 (スコア:3, 参考になる)
チケット詐欺で誤認逮捕、誤認逮捕された女性に成りすましていた真犯人は中学三年生
https://it.srad.jp/story/17/09/12/0946212/ [it.srad.jp]
リンク先のgithubが分かりやすい。
https://gist.github.com/shunirr/2bd6a5a00b966e1e534b443790c68eda [github.com]
Re:思いつく奴はいるものだなぁ。 (スコア:1)
その後の謝罪までの分
https://gist.github.com/kawabata/fefd78b84856ed7900c69eb9aba3af19 [github.com]
Re: (スコア:0)
メルカリでの激安販売 お得感
商品が一応届く 安心感
これじゃ、ふつうの人は騙されるわ。
激安価格は、多少の不審点(家電店発送)に対する目を曇らせる。
そしてなにより、Paidyからの請求は後日。事件発覚日。
Re:思いつく奴はいるものだなぁ。 (スコア:2)
AmazonでもPaidy使えるみたいだから「商品はAmzon倉庫から発送されます」って言っておけば不審に思われることもないね。ヤバすぎ。
逆の詐欺も可能では? (スコア:1)
自分自身でpaidyを使って商品を注文し、後日請求が来たら「メルカリで詐欺にあった、paidyなんか知らん」とばっくれる、という。
Re: (スコア:0)
画面キャプチャ程度は要求されるんじゃないかな?
偽装は簡単だからメルカリとかとログ照合を話し合ってるんじゃないだろうか。
でも「マイナーなところで買いました。キャプチャこれです(偽物)。」と言われたらどうしようもないかと。
Re: (スコア:0)
電話番号とかPaidy側に渡ってるから、その電話が自分のじゃないことを立証させられるんじゃね?
配達先の人がその番号の電話と契約したかどうかなんて調べりゃすぐバレるんだから。
SMSを偽装するにしても一手間かかるし、警察のブラックリストに上がるリスク考えると
やっぱりあまり美味しい手口じゃないんじゃね。
定番だけど、振り込め詐欺やランサムウエアの方が、金額においても安全性においても遙かに上だ。
賢い犯罪者ならそっちでボロ儲けしてるよ。
Re: (スコア:0)
この詐欺の犯人が逃げ切る為には足のつかない携帯電話番号と
足のつかないメルカリアカウントが必要なので、
難易度としては振り込め詐欺と同等程度だと思われる。
素人詐欺師による犯行分は程々で捕まるだろうけど、
多くは振り込め詐欺組織に近い連中がやっているんじゃないかな。
振り込め詐欺でそろそろ破棄する電話番号でついでにひと稼ぎするとかね。
ランサムウェアにしても振り込め詐欺にしても、
成功率はさほど高くなく成功させるためには技術(料)や攻撃数や手間暇が必要。
犯罪者からすると本手法は騙す難易度がそれらに比べて圧倒的に低いと思われる。
と言うより被害者側では商品が届くまで詐欺かどうかを判別できない。
不特定の出品者による任意の配送手段をすべて拒否、みたいな方法でしか避けられない。
頭が良い連中はこうして話題になる前にひとしきり荒稼ぎし終えたんじゃないかね。
善意の第三者? (スコア:0)
メルカリ出品者に金払って購入してるんだから、
paidyから請求あっても、ばっくれたらいいんじゃないの?
Re: (スコア:0)
私もこの辺が疑問。
Paidyって第三者が知り得る情報で新規登録(同時に即時の決済も?)できて、
確認メール(本人確認みたいなやつ)もないのに、売買契約って成立するの?
Re:善意の第三者? (スコア:2, 興味深い)
ストーリーにも書かれてますけど、
「Paidyを利用した購入では、請求を無視すると商品の発送先住所に請求書が送られる」ってことですよ。
発送先住所そのものは、Paidyの利用者登録情報とは別。
(Paidyはあくまで決済だけ。通販で商品発送するのはヤマダ電機とかの、Paidy対応家電量販店)
やりクチとしては、メルカリの落札に対して、
出品者が「ネット通販の代引き発送で送付」したようなもの。
代引きだと、受け取り時に支払うので、メルカリでの支払いと二重に支払うなんてことはしないと思いますが、
Paidyの場合は後払いってことで、商品を受け取るその場では支払わないから、詐欺が成立する、と。
・正規の入金がない場合、「発送先に請求する」というPaidyのシステム
が最大の問題ですが、そもそも
・決済手段であるPaidyに、ヤマダ電機が「発送先情報」を渡す
というのもおかしな話だし、
・ギフト発送したときに、決済手段にPaidyを選択できるというヤマダ電機の通販システム
も一役買っているかと。
Re: (スコア:0)
請求書が送られてきたところで、何の契約関係もない会社から
一方的に送りつけられたものなんだから、破って捨てればいいだけじゃない。
Re:善意の第三者? (スコア:1)
警察に被害届出さないといけないし、
請求書は、被害の証拠だよ・・・。
Re: (スコア:0)
降りかかる火の粉は払わないとローン組めなくなるよ
Re: (スコア:0)
裁判所から支払催促が来たならともかく、一方的に送りつけられたものについては放棄してOK。
Re: (スコア:0)
信用情報機関にネガ情報が登録されるかどうかに裁判所は関係ないから、Paidyの一存でネガ情報を登録することはできる
そうなってから削除させるのは手間がかかるし、ネガ情報がある状態で契約しようとした企業の社内情報に否決事例が記録されたら削除させるのは至難の業
そうなりたくなければ「放棄」せず発覚した時点で争わないといけない
Re: (スコア:0)
会社が「ネガ情報のせただけで放置」なぞありえないから、同時に支払催促に移行するでしょ。
支払催促裁判の勝訴判決があれば、信用情報は削除できる。
Re: (スコア:0)
ヤマダ電機が被害者に無断で個人情報をpaidyに漏洩させたってことでしょうか? それよりは詐欺師がpaidyに被害者の氏名・住所で登録したんじゃないかなぁ。
Re: (スコア:0)
むしろ「配送先=Paidyの登録住所」と考えた方が合理的かと。
ユーザビリティの観点から、(ヤマダ電機で)注文して登録した配送先が、
そのまま自動的にPaidyの登録住所にもなるように作ってあるのでは。
大多数を占める通常の購入であれば、商品の配送先が購入者本人、又は
その関係者と類推するのは妥当ではないかな。
別の住所を指定することもできるかもしれないけど、どうせ詐欺師が
まともな住所を登録してるはずもないしね。
Re: (スコア:0)
1回売買が成立する(カモが引っかかる)たびに登録住所変更?アカウント作り直し?
アカウント作り直しはコストも掛かるし目を付けられそうだが…。
Re: (スコア:0)
被害届が出る度に、その電話番号経由で捜査される以上は、その辺は想定範囲じゃね?
毎回電話番号やSIMカードや電話番号使い捨てというのは効率悪そうだとは
思うんだが、こういう事件が発生したからには犯人側には何か抜け道があるんだろう。
#まさか何も考えてませんでしたなんてオチは。。。いやまさか
Re: (スコア:0)
Paidy 利用に「登録」はそもそもないみたい [paidy.com]。
利用する際は、支払い時にPaidy翌月払を選択してメアドと電話番号を入力し、送られてきた SMS の認証コードを入力するのみで、メアド・電話番号の持ち主と送付先住所の住人が同一であるかの確認はしていない様子。
ビックカメラやヤマダ電機で「落札者の住所」を入力して Paidy 払 (なので被害者宅へは家電量販店から届く)
↓
Paidy 側への支払いがないとビックカメラやヤマダ電機の購入者住所(=落札者の住所)に請求が行く
Paidy がザル過ぎる
Re: (スコア:0)
手口が知られていない状態では、量販店からすれば被害者が注文しておいて難癖を付けているようにしか見えんよ。
「代金はメルカリで詐欺師に払ったはずだ」と「言い訳」をする被害者が続出すれば、何かがおかしいと分かるが。
Re: (スコア:0)
量販店への支払いは手数料を差し引いてPaidyが行うのであって、量販店が被害者に請求するのではない。
Re: (スコア:0)
だよなぁ。言われたらなんでもホイホイ払っちゃうのかよ。
でも被害者、詐欺師、メルカリ、Paidy、小売店が絡み合ってて、誰が最終的に詐欺の泥をかぶるのかよくわかんないな。
盗難被害者→泥棒→善意の第三者なら、盗品の返却義務はあるが持ち主に購入代金を請求できるそうだ。
Re:善意の第三者? (スコア:1)
代引き詐欺が成立していることを考えると払ってしまうケースもあるんでしょう。一度払ってしまうと債権の存在を認めることになってしまうんでしたっけ?
今回はPaidyが「こうした詐取の被害者が当社に代金を支払わなくて済むように債権を放棄する」と宣言していますし、最終的に泥を被るのはガバガバ与信したPaidyですね。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/06841/ [nikkeibp.co.jp]
Re: (スコア:0)
togetterの最初の人も別に払ったわけではないしね。
ただ、この詐欺の場合、商品の所有権は本来誰にあるのか(この人は商品を返品する必要があるのか)、とか
考え出すといろいろ面倒な気が。ここらへん誰かに解説をしてほしいけど、むずかしいだろうね。
いずれにせよ、対応することそのものが面倒だし。
本人確認してないんだろうか (スコア:0)
後払いOKなのに本人確認してないとしたら雑すぎる。
Re:本人確認してないんだろうか (スコア:3, 参考になる)
一応電話番号でSMS認証してるんですが、後払いサービスの限度額に対して不十分ということですね。
メールアドレスは無料かつ簡単に発行できるので信用がゼロなのは常識ですが、SMS番号もReceive-SMS-online.info、格安SIM(今はダメかも)、SMS認証代行サービスなど、本人に紐づかない形で認証する方法はいくつかあります。SMS認証代行の相場は現在1,000円前後なので、それを超える信用を付与してはいけないのに、そこを理解せずに大手のSMS認証を形だけ真似ると悪用されるという、いい例だと思います。
Re: (スコア:0)
その辺の本人確認の甘さが解ってたから、支払いがない場合は商品受け取った人に請求することで損害を会社が被らないようにと考えてたのかもしれませんね。
Re: (スコア:0)
paydyの中の人は、まさか他人を送り先にする手口がここまで簡単に使えるとは思いつかなかったんだろうな。
Re: (スコア:0)
今までのレガシーな決済手段にとらわれないイノベーティブな決済手段を考えるような頭のいい人が、
偽出前レベルのやりくちを考慮してないわけがないじゃないですかぁ(棒読み)
#「誰もやらなかったことに挑戦する」とほざくが大抵それは「先人が思いついたけどあえてやらなかった」ことだうんぬん
Re:本人確認してないんだろうか (スコア:1)
#「誰もやらなかったことに挑戦する」とほざくが大抵それは「先人が思いついたけどあえてやらなかった」ことだうんぬん
つまりこれですかな。
https://www.itmedia.co.jp/business/articles/1912/18/news107.html [itmedia.co.jp]
Re: (スコア:0)
あのネーミングだろ?ネタじゃないの?本当にやってるの?!
Re: (スコア:0)
Amazonから送られてくるSMSと、Amazon騙る架空請求のSMSが、同じ発信者と判定されていたりするし
SMSで本人認証なんて信用出来ないと思ってます。
Re: (スコア:0)
SMS確認ってのはあくまで申込者自身かの本人確認にしか使えないのに、
与信調査にできると勘違いした間抜けがいたということですね。
Re: (スコア:0)
俺はSMS認証で問題ないと思うけど。
この犯人が間抜けなだけじゃないのか?
Re: (スコア:0)
Re: (スコア:0)
振り込め詐欺で使われる携帯電話から犯人捕まえられるのは何割くらいでしょうね。
犯人が素人ならすぐ捕まるだろうけど、
組織的にやってたらなかなかしっぽ掴めんと思うよ。
そのうえ主要な通販業者はpaidy使用不能にしただろうから、
以後の再犯≒追加の手がかりが少ないので地道な捜査とかも難しい。
ネットのアクセス元と携帯電話での手掛かりが途切れたらおしまい。
Re:本人確認してないんだろうか (スコア:2, 参考になる)
電話番号とメアドが担保で簡単になってますよ。
俺はStores.jpでお店持っていて、1回だけPaidyで払ったお客さんいたけど、
店側の回収の手間やリスクを数%分の手数料でやってくれるみたいな感じ。
実際逃げても店側は支払いあるので、回収がどうなってるかはサイトに載ってるやり方以外わからん。
Re: (スコア:0)
「この電話番号とメアドは今端末を操作してる人間が利用している」という確認は取れてるけど、入力された住所氏名が本当にその人間のものかという確認が取れてないんだよね……
paydyの設計ミスとしかいいようがない。
Re:本人確認してないんだろうか (スコア:2)
そこを第三者がやってくれればいいんだけどね。
中国では、Alipayなどで銀行口座を入力すると、銀行口座開設時に登録した携帯電話番号にSMSが届き
承認すればそれで銀行との連携ができるそうな。つまり銀行が本人確認を代行してやってくれているってこと。
日本でも同じことはできそうだし(クレカ会社も)、もっと言えば携帯電話会社が本人確認と個人情報の共有or照合を
してくれればいろんなサービスが便利になると思うけど、難しいのかなあ。
Re: (スコア:0)
購入意思提示者以外(配送先)に請求飛ばしたのが問題なのだから、
購入意思提示者の本人を確認いくらやっても無駄だと思う。
商品送付先やただ入力されただけの住所は購入意思提示者を示す情報ではない。
購入意思提示者に紐付いている情報から請求書を送るべきで、
携帯電話キャリアに裁判所経由で照会掛けるとかが正攻法。
携帯電話キャリアが電話番号に対する請求書を利用者に転送するとかでも良いが、
明らかに架空請求業者大喜びなサービスになってしまうのでこれは困難かな。
メールアドレスやSMSの実在確認と同じく、
請求書送付先にもアカウント有効化キーを送付して、
アカウントにキーが入力されたら郵送での請求書送付を有効化するってのもアリ。
ただ、郵送だと簡単に盗まれてしまうから近隣住民による嘘登録は防ぎきれない。
Re:本人確認してないんだろうか (スコア:1)
報道内容から見ると代引きの代替を狙ったサービスだったんじゃないかな。
代引きで問題だった受取拒否が発生する理由くらい想定しておけよと。
Re: (スコア:0)
本人確認を厳密にすると「日本は規制だらけで遅れてる!」と言われて
ゆるくすると速攻突かれる。
どうしろってんだ
Re:本人確認してないんだろうか (スコア:1)
「日本は規制だらけで遅れてる!」とか言ってる馬鹿は放置しろ。
馬鹿でなければ犯罪者の類なんだから。
Re: (スコア:0)
この場合は日本の法律とか省令による規制とはたぶん(*1)関係ないですからねえ。
ゆるゆるで与信した抜け作が損をしても仕方ないけれど、他人に迷惑を掛けるようなら新しい規制が作られてしまう。
*1:ひょっとしたら多重債務者か否かの確認を怠っているとか、反社会的団体の構成員か否かの確認を怠っているとか、そういうつっこみの余地があるかも。
Re: (スコア:0)
*1:ひょっとしたら多重債務者か否かの確認を怠っているとか、反社会的団体の構成員か否かの確認を怠っているとか、そういうつっこみの余地があるかも。
そもそも住所が有ってスマホが使えてる人間を一企業が入手できる情報だけで反社会認定するのは不可能でしょ。
画面にチェックを付けたところで本物には無意味だし逃げ得を許さないような制度設計がミソでしょ。
Re: (スコア:0)
「海外はこんなザルシステムでも平気にやってる」という事例を見せてみろ
Re: (スコア:0)
昔ながらのクレジットカード詐欺なら君も知ってる通り、いくらでも事例あるよ。これも後払いだし。10秒ぐらい考えてみなよ。