テクノロジーコンサルティング会社TecnoForの最高経営責任者(CEO)であるPablo Grueso氏は昨日、次のように始まるスレッドをTwitterに公開した。 「私は今、これまで見た中で最も巧妙なオンライン詐欺を目撃しました。」次に、Grueso 氏は Vinted での最近の経験を語り、このユーザーがどのように詐欺師の罠に陥ったかを段階的に詳しく説明しました。
すべては、このプラットフォームをほとんど初めて使用した問題のユーザーが、Vinted で衣服を売りに出したときに始まりました。単純な手順だったが、「Vinted チーム」からと思われる電子メールを受信すると、すぐに複雑になった。
つまり、 「no-replay@vinted.com」というアドレスから電子メールを受信したことになります( 正規の電子メール アドレスになりすます可能性があることに注意してください。ただし、そのアドレスから送信されたというわけではありません)。この電子メールは、興味を持った購入者からの内部メッセージを収集することをシミュレートしました…
…当該「購入者」の携帯電話のスクリーンショットを含むメッセージには、Vinted アプリがどのように販売者 (つまり、前述の初心者ユーザー) の携帯電話を要求するかがわかります。
そして、ここからが詐欺の重要な部分になります。なぜなら、電子メール (覚えておいてください、おそらく公式) には、テキスト メッセージとスクリーンショットに加えて、クリックするとユーザーをVinted サイトに直接誘導するリンクが含まれているからです。アプリケーション…というか、ほぼ完全に複製された Web サイトのアプリケーションです。
「違いが分からない画面。たとえば、[情報] をクリックできないが、受信トレイには移動できる」
販売者は、自分が Vinted 独自のプラットフォーム内で操作していると確信しており、電話番号を入力してデータを「完成」させます。その情報は、最初に電子メールを送信したサイバー詐欺師に直接送信されることになります。そして今、被害者の電話番号を知っている彼は、 SMS を送信します(これもおそらく Vinted から送信されたものと思われます)。
上記の SMS では、ユーザー/被害者は、自分のクレジット カードを確認するために、 「典型的な仮想請求を行ってからキャンセルします…」と通知されます。これは、カードの信頼性を確認するために一般的に使用される慣行です。今回は「料金は500ユーロです。」
同じく詐欺の影響を受けた別のユーザーは、上記の SMS に関する 情報を拡張します。
「娘の一人が何かを売りに出しましたが、それは初めてのことで、まるで突然すべてを買いたくなったかのようでした。次のような内容でした。携帯電話に入力するためのアプリ内のメッセージと、SMS でのメッセージです。カードのデータを入力してください。」
つまり、Vinted になりすまし、最初に個人データを提供し、その後で財務データを詐欺師に提供する、2 ラウンドにわたる教科書的なフィッシング戦略です。さらに、Vinted への無効とされる請求の承認通知を受け取ると、詐欺の被害者は、それが正当なものであり、自分に返還されると信じているため、その通知を承認します。ああ、無実だ。
転倒を避けるために考慮すべき結果とデータ
この話の結果は? 500 ユーロ減額され、被害者が Vinted に登録した商品は、興味を持った買い手がいなかったため売れ残ってしまいます。常に次のデータを考慮することを忘れないでください。
- アプリに入力するデータが、「似ている」Web サイトだけでなく、実際にアプリの公式ドメインに入力されていることを確認してください。
- 上記を容易にするために、第三者のリンクを通じてプラットフォームにアクセスしないでください(たとえ実際の対話者であるように見えても)。自分で Web サイト/アプリにアクセスし、問題のセクションを探してください。
- 取引プラットフォームで操作するためにデータの入力が必要な場合は、登録時に警告が表示されることに注意してください。その後メッセージは届きません。
- 「モバイル アプリに通知を送信できるのに、SMS の送信になぜお金がかかるのでしょうか?」という明らかな疑問を自問してください。または「なぜヴィンテッドは売り手の番号を買い手に尋ねるのでしょうか?」