インスタに謎のDMが届いた。ほんの少しだけ日本語が怪しいので超訳するが、いわく
「Amazonのバイトを募集中。スマホとPayPayさえあれば15分で2万円〜5万円の報酬が得られる。日本人のみ、10名の限定募集。気になるならLINEに連絡して」
──みたいな感じ。そんなの気になる。ということでソッコーで連絡してみると、どう読むのが正解なのかよくわからない男「宮本林之」に繋がり……
何を言ってるのか正直よくわからないが、ざっくりと何があったのかを箇条書きでまとめてみよう。
【ざっくり解説】
・PayPayのホーム画面のスクショ(ぼかしOK)を求めてくる。
↓
・PayPayの本人確認ページのスクショ(ぼかしOK)を求めてくる。
↓
・PayPayのウォレット画面のスクショ(ぼかしOK)を求めてくる。
↓
・PayPayのアカウント画面のスクショ(ぼかしOK)を求めてくる。
↓
・以上4つのスクショをもって、私への報酬は初回3500円と決定。
↓
・Amazonを開き「Nintendo Game Console」を検索したスクショを求めてくる。
↓
・任天堂Switch用のコントローラー(3999円の商品)をカートに入れたスクショを求めてくる(買わなくてOK)。
↓
・謎の「ビジネスアシスタント用のアプリ」をインストールせよとURLを送ってくる。
↓
・もちろんそのアプリはAppleのApp Storeには置かれてない「Timee」なる謎アプリ。
↓
・完全にヤバそうだが、意を決して「インストール」を押してみると、いつの間にかホーム画面に「Timee」のアイコンがある。
↓
・アプリを起動すると、iPhoneより「信頼されていないエンタープライズデベロッパ」の注意書きが表示される。なお、デベロッパは「China Mobile Group」の「Jiangsu Company Limited」との中国企業。
↓
・執拗に「インストールしましたか?」と聞いてくる宮本。注意書きが出て先に進めないと伝えると、iPhoneの「設定」から「VPNとデバイス管理」に進み、ちゃっかり待機していた「China Mobile Group〜」を「信頼」しろと迫ってくる。
↓
・仮に「信頼」すると、上記の中国企業が作る全てのアプリに「私のiPhoneでの実行と、ユーザーデータへのアクセスも許可される」とiPhoneが注意してくる。つまり、乗っ取りだ。
↓
・絶対に「許可」してはいけない場面だが、私は万全の体制を整えているので、意を決して「許可」を押す。(※潜入)
↓
・宮本がアプリを「Timee」なるビジネスアシスタントアプリを開けと指示してくるので従うと、謎の「注文番号」を入力する画面が表示される。
↓
・「注文番号を調べるのでオンラインのままでいろ」と、オンラインでいることを強調する宮本。
↓
・おそらくこの間に、何かしらの “ユーザーデータへのアクセス” をしてくると踏んだ私は、アプリを入れたiPhoneだけは密かにネットから切断しておいた。
↓
・焦っているのか、注文番号を調べるのに、なぜか9分もかかった宮本。ともかく、その注文番号を上記の画面に入力し、「商人に支払いを依頼する」なる日本語の危ういボタンを押してみると……
↓
・PayPay公式っぽい画面が表示され、制限時間内(5分以内)に「PayPayで登録済みの電話番号」と「PayPayのパスワード」を入力しろと促してくるが、そもそも「支払う商人」と書いてあったり、何かと変。
↓
・おそらくこの画面でPayPayのログイン情報をぶっこ抜いたうえで、「私のiPhoneの中に入っているPayPayの実行」を行使、すなわちログインしたりして、お金を抜こうとしていると予想した私は、次の一手をしばし悩む。
↓
・適当に携帯番号を入れてみるか……と入力欄にカーソルを合わせると、なぜか「Loading~(ローディング〜)」とアホっぽいバグが発生。
↓
・さらに、PayPay公式をかたるページのくせに、PayPayロゴが超簡単な画像の貼り付けだったり、なにかと雑なページなので、間違いなくフィッシングページだと判断。
↓
・そんなことをしていると、突然画面がバグって動かなくなる。なんという雑な作りのアプリだろうか。
↓
・宮本に「もうやめておく」と伝えると、「5分で終わる。お金がもらえる」と食い下がってくる。
↓
・危険なので、アプリならびにVPN設定も削除。(※脱出)
↓
・というか、こんなアプリを使わなくても、PayPayで普通に送金すれば良くない? とPayPayのマイコード画面(QRコード)を送りつけて3500円を要求するも応じてくれず。
↓
・いろいろと押し問答し、最後に「さようなら」と言い合い会話は終了。
↓
・その翌日にケロッと「こんにちは」と挨拶してくる宮本。
↓
・数日後に、LINEの名前もアイコンも変更し別人になりすます宮本。
──てな感じである。
詳しくは次ページに掲載するLINEならびにアプリの画面などを参照してほしいが、おそらくのところ宮本がやろうとしたのは「スマホを乗っ取り、PayPayの中に入っている残高を宮本などに送金させてしまうこと」かと思われる。
また、Amazonの商品を「カートに入れるだけ」が何を意味していたのかは不明。ちなみに、その商品の評価は5段階中4.8、そしてレビュー4731件もある「スポンサー」の冠も付いている人気商品であった。
この人気と「カートに入れるだけ」が関係しているのかの調査は私の方ではできない。
なお、今回の「Amazonの商品をカートに入れるだけ」ではなく、「楽天の商品を〜」や「中国の通販サイトの商品を〜」のパターンも存在する。
どちらも「カートに入れるだけでOK」なのは今回の手口と同じであるが、これ、なにかランキングや表示される優先度などにも影響したりするのだろうか?
いずれにしても、「15分で2万円〜5万円の報酬が得られる」なんてウマい話はこの世にはない。どうか騙されないよう注意していただきたい。
執筆:迷惑メール評論家・GO羽鳥
Photo:RocketNews24.
こちらもどうぞ → 『GO羽鳥の【実録】迷惑メールシリーズ』
