怖いな。気をつけよう
これ何が起こっていたのだろう? 紐付けている銀行口座からの入金と外への送金を行わせてしまうQRコードを作れるって事だよね。
“銀行口座から自動的に引き落とし” オートチャージが有効になってたパターンか。犯人の特定と補償が待たれる。
これみて設定を確認した。paypayのオートチャージに1日の上限設定できるのね。
紐づける口座を常に枯らして、ペイペイ使うのを自制している。
『必死になってPayPayに登録している銀行口座の紐付けを解除しましたが、気づいた時には既に手遅れで、入金されたほぼ全ての残高が失われていました。(オートチャージ設定はオフにしてあるにも関わらず)』
AIっぽい文章
ナントカPayは一切信用できない。
オートチャージにしてないのに何故?正体不明のデバッグ機能でも有効になるの?
1つ目のQRは「新規端末でログインしたい」「アプリでQR読んでね」というやり取りだろうから、アプリ側で対策するなら「本当に通信回線XXと推定地域YYから新規スマホZZでログインしようとしていますか?」くらい…?
オートチャージオフにしてるのにこんなことになるんだ
アカウントの端末移行手続きをやってしまったっぽいね。詐欺師は自分のスマホのペイペイにこの人のアカウントで登録して好き放題使ってる。オートチャージオフにしてても乗っ取られてんだからオンにされるだけ
“QRコードをスキャンするだけで、利用者の銀行口座から自動的に引き落としを行ったり、高額な支払いを行ったりする権限を付与してしまう仕組みは、セキュリティ上のリスクが非常に高いと言えます。”
https://paypay.ne.jp/help/c0374/ ←を利用すれば標的のPayPayアカウントが紐付けられてる電話番号を知っていれば同じことができるのかな。それとも何らかの非公開API叩いてる?
端末移行は指定操作をした上で「旧端末のQRコード」を新端末でスキャンなので別物。/winticketは競輪オートレースの車券サイトでチャージにPayPayが使えるので捨て垢連携からの出金されてる?
クレカや証券講座でも似た手口流行ってるね。うちの親も引っかかってカード再発行した(被害は少額&補償された)
もっと確認ダイアログ出さないとユーザーは防ぐの無理じゃね
高齢親にQRコードスキャンする前に私に渡してって言うしかないかなこれ・・取り急ぎ銀行口座の連携外した方が良いな
純正アプリ以外からの通知(例えばメール)は基本、アプリ内のウォレットから入出金履歴を確認することで真偽を確かめるようにしている。
「このクソ忙しい時にウゼエ通知だな」ってな調子でセキュリティ感覚鈍る時あるんよな。前も書いたけど。
なるほどアカウントの端末移行か、ブコメ参考になる
銀行から金を引き出せる機能が危険すぎる。
とにかく「自分がリクエストした以外のメールのリンクは絶対にクリックしない」という行動則を守るのが一丁目一番地。あとPayPayの取引履歴はアプリの「お気に入り」に登録して週に2,3回は確認!
ちょっとよく分からないので続報待ちとしておこう/noteのフォローを狙った「詐欺」かもしれないのではてなアンテナを使う。
なんでもQRスキャンで統一して誰でも使いやすく、というインタフェースを逆手に取られた感じ。LINE用とかでも「このQRをLINEでスキャン」とか書かれてても「これなんのためのQR?」って時あるもんなぁ…。
一つ目で別端末のログインの申請をキックして二つ目で認証って感じなのかな?二つ目は差し替えが必要そうだけどどうやるんだろ?
うーん、さらっとpaypayの公式見たけど、旧端末でQRコード読み込んだ瞬間乗っ取る手口は分からなかった。新端末でQRコード読み込めば乗っ取れそうだったけど、今回は旧端末だし…
詐欺メールきっかけとはいえ、QRコードには危険がひそんでいるな
怖いこれは・・・
アカウントの端末移行なんだ、これだけでアカウント持ってかれるのは厳しいな。
エグい……なんでもそうだがオートチャージ系はしないようにしてる……
自分も騙されそうだわこりゃ
怖い
サービス開始当初はいまいち信頼が置けずコンビニATMからの入金のみで使ってて面倒だからそろそろ連携しようかと思っていたがやっぱり今のまま使うわ。支払い手続きを騙ったQRコードとかなら自分も安易に読み込みそう
こっわ((((;゚Д゚))))
WINチケットに送金してどうするんだろう? 簡単に足がつきそうな気がするけど
PayPayに紐付けしてる銀行は残高ゼロ。クレカ払い出来ない場合のみ入金して使ってる。過去に1度しかないけど。クレカ詐欺の場合はクレカが保証するんで無問題。つかそもそも請求はアプリからのプッシュ通知だし
アカウントの端末移行だとしたら、簡単に移行できちゃうんだな。二段階認証とかになってないのかしら。多分、電話番号変更でPayPayアカウント引き継ぎの設定の悪用なのかな。
ヒェ こわ オートチャージ設定を見直したらオフにしてた。QRコードって読み込んだ後ノーガードで進むから結構怖いよね
PayPay、銀行口座と紐づけようとしてなぜか手続きがうまくできずに面倒くせーなと思いつつコンビニでチャージしていたが、正解だったかもしれん。PayPayはカード番号入力したくねえなと思うサービスに使う。TEMUとか。
よく嫌われ飲食店でQRコードからメニューだの注文だのやらされる奴、上からこの詐欺コード貼っとけばチャリンチャリンいけそうじゃね?支払いはPayPayですとかって言ってさ…
解約しよう
決済したときに、メールで通知来るようにしてるけど?
“PayPayを普段使い慣れていない私は、「ログインに必要な認証なのだろうか」と安易に考えてしまい、アプリでQRコードをスキャンしてしまったのです”
QRコードは本当に注意しないとダメですよってこの手の話に疎い人には煩いぐらい言わないとダメ。ところでPayPayなんて1㎜も使う気無いので調べませんがクレカ屋と同等の補償あるん?
端末移行だと電話番号が同じじゃないといけないし、旧端末のpaypayプリからはログアウトされそうな気がする。いったい何が起きていたのか知りたいところ。
QRコードだけでアカウント移行できるんだな。これこそSMS認証やればいいのに。
めんどうでも現金チャージが一番いいんだ
これは怖いなあ。他の人のブコメ見て、おれもPayPay専用の口座にしようと思った。
フィッシングメールからの罠QR読み込みによりアカウント乗っ取られたケース
こういう被害を出しておいてのらりくらり対応する(あるいはしない)という、「信用ならない会社」。その一言に尽きる。
見直してきて上限金額とか設定してきたけど、自分にも起きそうでこわい
調べてないだけなんだけどなにをされたのかよくわからなかった
口座の紐付け削除した。paypay使ってないけどヤフオク1000円安くなるって言うので一度だけ使って、でもその1000円分はpaypay残高に戻ってくる形だったので、ヤフオクに払った金額は安くなってないままpaypay残高だけが残った
ちなみにWINTICKETは競輪・オートレースのインターネット投票サービス。詐欺師はこれからレースに賭けたりするのだろうか…?まぁ何かしらこれらを介した方が詐欺師側に都合がいいのだろうけど。
こういうの見るたびに「こんなの騙されるわけねーだろ」と思うんだよな。そう言ってるやつが一番危ないとか嘯く人もいるが何言ってんのという感じ。
この手順でアカウントの端末移行出来ちゃうもんなの?片方が犯人端末を識別するトークンになっているとかか?元端末でも動くということは複数デバイスで使えるようにする方法を悪用された感じか?
今すぐメイン銀行との連携は外すべきだな。カードの引き落としなら後から止められるけど銀行で引き落とされると後の祭り。
メールに書いてある指示に従うのが危ないんやね。僕もこの前Wikipediaから寄付の依頼メールが来てクリックしたけど、本当はよくない。自分で公式サイトに行って操作するのが正解。めんどくさい世の中になったもんやね
アカウント乗っ取り(移行)がQRコードスキャンだけで起きてしまうのか。これは恐ろしい仕様。オレなら引っかかる自信ある。/と思ったけど、コード移行は同じ番号じゃないとできないらしい。真相はいかに。
ID/PWは別のフィッシングなどで漏洩してて重ねて2段階目の認証が突破されたのでは。QRコードだけでログインは出来ないはず
QRコード読込みだけでアカウント端末移行?!恐ろしい!あり得ない!
こりゃ怖い改善求む/なるほど端末移行と これか https://paypay.ne.jp/help/c0028/#have
QRコードを介した認証や連携に関しては今までもアカウント乗っ取りや勝手な連携が発生しているので世の中的にノウハウが溜まっているはずだと思っていたのだがPayPayはその辺甘かったのかな
wintiketアプリにpaypayを遠隔で勝手に紐づけられた感じかな。wintiket側から銀行チャージの指示ができるのだろうか
PayPay使ってないから分からないけどほんとに認証も確認ダイアログも抜きでこんなことやれるの?(やれるとしたら完全にサービスの設計自体がヤバいやつ(追: これ「偽メール」の話として捉えるのは問題の矮小化では?
これは騙されるわ。まったく他人事じゃない
旧端末でQRスキャンして新端末に移行なんてできないだろ。「アプリでQRコードをスキャン」ってのが具体的にアプリの中のどこのスキャン画面なのかわからないので、なにされたのか全然わかんないな。
73万円も盗むなんてヒドイやつがいるにゃ! PayPayのQRコード、ボクには難しくてよくわからにゃいけど、安易にスキャンしちゃダメにゃ! みんなも気をつけるにゃ! 悪い人には猫パンチにゃ!
これはお年寄りとか全然気づかないでやっちゃいそうだね。Pay Pay側の対策としては、重要な処理については説明をポップアップすると同時に、メールを送信して確認リンクを踏んでもらうようにするとかかな。
(https://www.winticket.jp/keirin/topics/egJCE9LA5WUPnS4bXW6kUh)WINTICKETのpaypay連携だけなんじゃないかな…。オートチャージ設定はオフと書いているけど、画像だけで判断するとオートっぽい気がする。乗っ取りなら他の決済しそう
セキュリティとしてはザルとしか言いようがない。
チャージまでなんてどうやって??と思ったら、中間者攻撃で端末移行手続きをさせたのか。なるほどよく考えるな…。(褒めてない
この方PayPayを使い慣れてなかったからと自己分析されてるけど、自分が多分このケースは引っかからないと思うのはそれなりに慣れてるからで、将来世間で一般化してるサービスに自分が慣れてないって状況はあるだろうし
詐欺られたときに手厚い補償のあるクレジットカードに比べると、電子マネー系は詐欺に対する補償がかなり薄い。なのでクレカを作れない人以外は、クレジットカードを使った方が安全だと思う。
怖い!共有ありがたい。システム的に解決されるといいけど。
状況がよくわからん。別機種にアカウント移行されたのなら、この人は操作できないよね?メールをPCで開いてるのも謎だし。2個QR読んだら勝手に利用されるのは怖いが普通にフィッシングに引っかかっただけのような。
QR自体の脆弱性として何がエンコードされてるかスキャンしないと分からないというのはある。
これは騙されるかもと思った人はこの手の決済サービスを利用するために必要なリテラシー足りてないので解約したほうがいいよ。
ひぇ〜
犯人(出し子)名義のWINTICKETの入金元として被害者PayPayアカウントと連携してしまった結果、WINTICKET経由で全額引き出し被害に。WINTICKETのUIは連携済銀行からも引っ張れる強力仕様な一方、連携はQR2連続読み取りのみ。
日額利用上限とか月額利用上限を設定しとけばいいんじゃね?アカウント奪われたんなら知らんけど
銀行連携せずちまちまコンビニチャージしているので、ぎりセーフか・・・。お店のQR張替えとかでも何か出来そうだし手軽で便利だけどリスキーなんだよなぁ。
共有大変有り難いのだが、結局、身に覚えのないリンクやQRコードは踏まないというくらいしか対策が思いつかない。だけどあいつら数撃ちゃ当たる方式だから、たまたま覚えのある金額が来ちゃうんだよなあ、これが。
これはこわい “残高1万円しかないPayPayで、QRコードをスキャンしただけで銀行口座から73万円が勝手に引き出され、無くなってしまいました”
QR怖い。スキャンで出たURIにアクセスするかどうかちゃんと確認出るものじゃないと今後も似た事例が起きるよね。恐ろしいのう。
普通に考えると出金までたどり着けなさそうだけど、ほぼリアルタイムで捨て口座からATM出汁子に繋がってるんだろうか。オア暗号通貨(じだいおくれ? 最後にリスキーな実行犯が
PayPayで銀行口座からのチャージを利用された場合はクレジットカードの不正利用の様な救済措置は無いのかな。また、チャージではなくPayPayカードからの使用だった場合はカード側での救済はあるのだろうか。
こわ……
口座紐付けてなくてコンビニチャージで使ってるけど今後もそれでいいや。
正直使いたくないんだけど、たまに割り勘をPayPayでと言われる時あるんだよね...
PayPayは簡便さが利点で、セキュリティは甘々だと思って距離置いてる
えー銀行紐づけるのこわ…
PayPayをメインの支払いでは使わずワリカンなど精算用のメインにしてるから口座もカードも紐付けてない。今後もそうしよう
QRコード2つ読み込むだけでアカウント移行が完了?!移行したのに元のスマホでも使えてるのは何?/スクショ撮れてるのはなんで?これはPayPayの正規の画面なの?連携とあるけど/チャージで暗証番号いらないの怖いよね
送信元のメアドまでスクショに出して欲しい、そこが怪しければリテラシーある人は踏まないから。
メールから来たリンクは基本開くなってことだね、たまにメールのブラウザでないとダメな場合もあってキツい(まあこれは認証系なので、自分の意図したタイミングではあるが)
こんなんあるんだ / 自身の落ち度に「メールのリンクを開いてしまった」があるべきでは
口座もカードも紐づけてないからセーフ…!
メールなんて脆弱性の塊なのでGoogleから検索したりお気に入りからジャンプして公式サイトに行くわ。というか支払いとかpaypay内でしか見たこと無いな……
これは作り込みがすごい…
中国でやり出した時からの懸念そのまんまなんやな。まあ自業自得やが仕組み自体がデフォで対策してないとか営業停止の行政指導レベルやろうにそうはならんのよなあ。何にせよITはリテラシーしか勝たんのよなあ。
PayPayでスキャンするだけで権限移譲ってのはなさそうに思えるが.. 文字通りアカウント連携されて、 WINTICKETに払い込まれたのかしら。連携画面は本物だったかもね。
もうメールでの通知って自分の操作に対するリアクション以外基本スルーよね。で、操作はなるたけPC側に寄せて、テキストメールとしてみる。結果として振込用の口座で残高不足すると督促まで行ってしまう事が・・・
移行手続きであれば、古いアプリが使えなくなるんじゃ。QRコードハックされてる?/WINTICKETのPaypay連携っぽい。多分アプリに落とされた後、犯罪用銀行口座にイン。PayPayのオートチャージとWINTICKETの仕様が悪さしてそう
インターネット、詐欺師と山師の饗宴場と化してて、どんどん危なくて不自由になるよなあ……
これは親に持たせるの怖い…自分の設定も見直そう…
アクションの敷居の低さとリスクの高さが合わないなあ。これが本当なら大変怖い
クレカのスキミングだとそれなりの機材が必要だけど、PayPayの場合はハッキングのコストが低すぎてもうね。
はてブは役に立つね。
本当にQRコード読み込むだけで盗めるなら支払い時にQRコード読むのも危険では?
最近は固定電話にほぼ詐欺電話しかかかってこなくて使えないツールになったけどメールもそんな感じになってきたね。
「メールのリンクは踏むな」はよく言われるし、自分もよく言っているけど、「メールの QR コードをスキャンするな」も言っていかないと。さすがにみんなに「Received ヘッダを確認しろ」と言えないもんなぁ。
なんだこれ、と思ったけど、WINTICKET連携か。これはWINTICKET側にも連絡する必要がある。WINTICKETのアカウントは本人確認がいるので、これはアカウント購入(or不正使用)だろうな。うーん。
請求で焦らせて確認させるって巧妙だな。。。
なるほど、端末移行なのか。こわすぎる
これ額が仮に、980円とか少額だったら多分俺も掛かるかもしれない。流石に数万は心当たりねーよってなるけどそれくらいならあり得るので
PayPayなんも設定してなくて、ATMからチャージすんのダルいから紐付けしようかなーと思ってた矢先に読んでしまった
メールのリンクは押すな。
WINTICKET はじめて聞いた
いやQR読み取りで端末移行はおかしいだろう。この説明になるほど!と頷くのも詐欺られ予備軍だと思うが。
メールのドメイン名とDMARCを確認しよう。
こういう人が1%でもいれば十分採算が取れる詐欺でしょうから、自分は引っかからないと思っていても、ある時ふと気が緩んで引っかかってしまう可能性はあるのですよね。
三井住友とpaypayが提携を発表してたが、ずさんな設計が本当なら三井住友ユーザーにも影響出そうだな。
個人的にはオンライン化してる銀行口座にはあまり入れないようにしてる。オンラインやキャッシュレスでひもづけないのは詐欺にも有効かもね。
紐づけしてる銀行がpaypay銀行だったら、1日のpaypayチャージ限度額を銀行側で設定出来るのでやっておくと良いと思う
“入金されたほぼ全ての残高が失われていました。(オートチャージ設定はオフにしてあるにも関わらず)”オフにしてても駄目なの!?paypayと紐付けてる口座にはあまり残高入れないようにしてるけど今後も気をつけよ
うちのメールアドレスにも本日16:40くらいに同じメール来てる。ユーザー全体で億単位の被害出てそう
単純な端末移行のQRコードスキャンだけでは、説明がつかない部分があるので、さらなる情報待ちかなと。新携帯側でログインしてScanする必要があるので、もう少し何かありそう。
PayPayはメルカリと同じでそういうところと組んでるって話でしょ
一応限度額変更しておこう
この2つのQRコード何と何のコードだったんだろう 端末移行の場合はQRコード読み込むのは新しい方の端末にならんか?
あまりに慣れすぎてしまっているが、常に詐欺に身構えてないとメールとかSNSを使えないのは異常だよな。企業を騙るメールも文面が自然になってきて、治安が終わってる。
利便性をはるかにでかいリスクがある。ポイント還元率が高くてもリスクには見合わないよな。
今の俺の場合は、銀行にお金ないので、この失敗はありえないが、注意したい。
こういう優れたレポートに本人の落ち度を責めるようなコメントをつけてる奴は、害悪なので仕事をクビになるなどすればいい。
怖すぎやろ
端末移行の便利機能なのか。確認もないの怖いな
これ、銀行口座の紐づけせずクレジットカードのみで使用してたら被害に合わなかった?銀行口座に出金するには本人確認が必要だから、このケースでは出し子がATMで出金してるんだろうか?
これ、色々応用されてさらに被害出そうだな
操作が簡単だと何をやってるのか・何が起きるのかの意識が薄くなるのがインターネットの怖い所…
保障されたりするんだろうか。後日談も待ちたい
「オートチャージ設定はオフにしてあるにも関わらず」…これはおれも騙されるかもしれない。端末移行手続きか…。気を付けな。あと paypay 連携している銀行にはあんまり入れんとこ。
これ、被害はこの人だけじゃないのではなかろうか。既に各所で甚大な被害を出してそうに思える。
連携銀行は削除して必要時に都度追加(クレカなら後から請求取消できる)、あと「利用可能額の設定」でチャージの上限額を下げておくとダメージ少なくて良さそう
やはり宗教的理由からpaypayを使っていない俺は正しかった
paypayに紐付けてある銀行口座には大した金入れてないが、今後もそうすることにした。金いれてある口座をオンライン処理するのは基本的にやめて、面倒だけど現金処理することにするわ
おお怖。クレカ払いなら補償はされるかな。。
詐欺メールが根絶できないのIT技術の敗北なのでは
端末移行はQRは使うっぽいけど、電話番号が違うとその変更からだしPWも必要だしで違うんじゃないかな/QR読み取ったとしてアプリ側でもう1手順ありそうだけど何もなかったとかあんのかな
こっっっわ
アカウントごと乗っ取られてたら、上限設定とかも全部変更されて根こそぎ行かれそうな気もするな。 全滅が耐えられる程度のペイペイ専用口座を作らないとダメかな。
失望しました。PayPay使うのやめます
“PayPayアプリでQRコードをスキャンする際、そのQRコードが具体的にどのような処理を行うのか、アプリ側にも明確な説明や注意喚起が一切ありませんでした”
((((;゚Д゚)))))))
これが令和のショウペイペーイ!か。
乗っ取ったとしてこんな間もなくチャージと支払いを出来るとはとても思えないしオートチャージをオフにしたつもりになっているだけだと思うけどなあ
に、認証がないんだ…
こわ。QRコード払いの類には手を出さないようにしようと思いました。
こうした電子決済をしている企業はハッカーをちゃんと雇ってんのかな?優秀なハッカー雇って穴を見つけて塞がないと、怖くて使えないよ。
もしかして、PayPayだけじゃなくてWINTICKET連携(可能な支払い方法)が全部ヤバイんじゃないの?
関連は不明だが、先ほどからWINTICKETでのPayPay利用がシステムメンテナンスで利用制限に
QR コードって何が書いてあるかわからないというリスクがある。
公式がやたらメールしてくるサービスは詐欺に合いやすい。公式はメールしない。これを徹底するだけでフィッシング詐欺は防げるの。
WINTICKETって何なんだろう?と思ったら競馬アプリ…。QRコードって再配達とかで気軽に読み込む癖ついちゃってるんだけど、こう考えるとリスク高すぎるなぁ。かといって説明とQRコードが一致してる保証なんて無理よね?
PayPayで一瞬にして73万円を騙し取られた話(1万円しかチャージしてなかったのに)|Appliss
怖いな。気をつけよう
これ何が起こっていたのだろう? 紐付けている銀行口座からの入金と外への送金を行わせてしまうQRコードを作れるって事だよね。
“銀行口座から自動的に引き落とし” オートチャージが有効になってたパターンか。犯人の特定と補償が待たれる。
これみて設定を確認した。paypayのオートチャージに1日の上限設定できるのね。
紐づける口座を常に枯らして、ペイペイ使うのを自制している。
『必死になってPayPayに登録している銀行口座の紐付けを解除しましたが、気づいた時には既に手遅れで、入金されたほぼ全ての残高が失われていました。(オートチャージ設定はオフにしてあるにも関わらず)』
AIっぽい文章
ナントカPayは一切信用できない。
オートチャージにしてないのに何故?正体不明のデバッグ機能でも有効になるの?
1つ目のQRは「新規端末でログインしたい」「アプリでQR読んでね」というやり取りだろうから、アプリ側で対策するなら「本当に通信回線XXと推定地域YYから新規スマホZZでログインしようとしていますか?」くらい…?
オートチャージオフにしてるのにこんなことになるんだ
アカウントの端末移行手続きをやってしまったっぽいね。詐欺師は自分のスマホのペイペイにこの人のアカウントで登録して好き放題使ってる。オートチャージオフにしてても乗っ取られてんだからオンにされるだけ
“QRコードをスキャンするだけで、利用者の銀行口座から自動的に引き落としを行ったり、高額な支払いを行ったりする権限を付与してしまう仕組みは、セキュリティ上のリスクが非常に高いと言えます。”
https://paypay.ne.jp/help/c0374/ ←を利用すれば標的のPayPayアカウントが紐付けられてる電話番号を知っていれば同じことができるのかな。それとも何らかの非公開API叩いてる?
端末移行は指定操作をした上で「旧端末のQRコード」を新端末でスキャンなので別物。/winticketは競輪オートレースの車券サイトでチャージにPayPayが使えるので捨て垢連携からの出金されてる?
クレカや証券講座でも似た手口流行ってるね。うちの親も引っかかってカード再発行した(被害は少額&補償された)
もっと確認ダイアログ出さないとユーザーは防ぐの無理じゃね
高齢親にQRコードスキャンする前に私に渡してって言うしかないかなこれ・・取り急ぎ銀行口座の連携外した方が良いな
純正アプリ以外からの通知(例えばメール)は基本、アプリ内のウォレットから入出金履歴を確認することで真偽を確かめるようにしている。
「このクソ忙しい時にウゼエ通知だな」ってな調子でセキュリティ感覚鈍る時あるんよな。前も書いたけど。
なるほどアカウントの端末移行か、ブコメ参考になる
銀行から金を引き出せる機能が危険すぎる。
とにかく「自分がリクエストした以外のメールのリンクは絶対にクリックしない」という行動則を守るのが一丁目一番地。あとPayPayの取引履歴はアプリの「お気に入り」に登録して週に2,3回は確認!
ちょっとよく分からないので続報待ちとしておこう/noteのフォローを狙った「詐欺」かもしれないのではてなアンテナを使う。
なんでもQRスキャンで統一して誰でも使いやすく、というインタフェースを逆手に取られた感じ。LINE用とかでも「このQRをLINEでスキャン」とか書かれてても「これなんのためのQR?」って時あるもんなぁ…。
一つ目で別端末のログインの申請をキックして二つ目で認証って感じなのかな?二つ目は差し替えが必要そうだけどどうやるんだろ?
うーん、さらっとpaypayの公式見たけど、旧端末でQRコード読み込んだ瞬間乗っ取る手口は分からなかった。新端末でQRコード読み込めば乗っ取れそうだったけど、今回は旧端末だし…
詐欺メールきっかけとはいえ、QRコードには危険がひそんでいるな
怖いこれは・・・
アカウントの端末移行なんだ、これだけでアカウント持ってかれるのは厳しいな。
エグい……なんでもそうだがオートチャージ系はしないようにしてる……
自分も騙されそうだわこりゃ
怖い
サービス開始当初はいまいち信頼が置けずコンビニATMからの入金のみで使ってて面倒だからそろそろ連携しようかと思っていたがやっぱり今のまま使うわ。支払い手続きを騙ったQRコードとかなら自分も安易に読み込みそう
こっわ((((;゚Д゚))))
WINチケットに送金してどうするんだろう? 簡単に足がつきそうな気がするけど
PayPayに紐付けしてる銀行は残高ゼロ。クレカ払い出来ない場合のみ入金して使ってる。過去に1度しかないけど。クレカ詐欺の場合はクレカが保証するんで無問題。つかそもそも請求はアプリからのプッシュ通知だし
アカウントの端末移行だとしたら、簡単に移行できちゃうんだな。二段階認証とかになってないのかしら。多分、電話番号変更でPayPayアカウント引き継ぎの設定の悪用なのかな。
ヒェ こわ オートチャージ設定を見直したらオフにしてた。QRコードって読み込んだ後ノーガードで進むから結構怖いよね
PayPay、銀行口座と紐づけようとしてなぜか手続きがうまくできずに面倒くせーなと思いつつコンビニでチャージしていたが、正解だったかもしれん。PayPayはカード番号入力したくねえなと思うサービスに使う。TEMUとか。
よく嫌われ飲食店でQRコードからメニューだの注文だのやらされる奴、上からこの詐欺コード貼っとけばチャリンチャリンいけそうじゃね?支払いはPayPayですとかって言ってさ…
解約しよう
決済したときに、メールで通知来るようにしてるけど?
“PayPayを普段使い慣れていない私は、「ログインに必要な認証なのだろうか」と安易に考えてしまい、アプリでQRコードをスキャンしてしまったのです”
QRコードは本当に注意しないとダメですよってこの手の話に疎い人には煩いぐらい言わないとダメ。ところでPayPayなんて1㎜も使う気無いので調べませんがクレカ屋と同等の補償あるん?
端末移行だと電話番号が同じじゃないといけないし、旧端末のpaypayプリからはログアウトされそうな気がする。いったい何が起きていたのか知りたいところ。
QRコードだけでアカウント移行できるんだな。これこそSMS認証やればいいのに。
めんどうでも現金チャージが一番いいんだ
これは怖いなあ。他の人のブコメ見て、おれもPayPay専用の口座にしようと思った。
フィッシングメールからの罠QR読み込みによりアカウント乗っ取られたケース
こういう被害を出しておいてのらりくらり対応する(あるいはしない)という、「信用ならない会社」。その一言に尽きる。
見直してきて上限金額とか設定してきたけど、自分にも起きそうでこわい
調べてないだけなんだけどなにをされたのかよくわからなかった
口座の紐付け削除した。paypay使ってないけどヤフオク1000円安くなるって言うので一度だけ使って、でもその1000円分はpaypay残高に戻ってくる形だったので、ヤフオクに払った金額は安くなってないままpaypay残高だけが残った
ちなみにWINTICKETは競輪・オートレースのインターネット投票サービス。詐欺師はこれからレースに賭けたりするのだろうか…?まぁ何かしらこれらを介した方が詐欺師側に都合がいいのだろうけど。
こういうの見るたびに「こんなの騙されるわけねーだろ」と思うんだよな。そう言ってるやつが一番危ないとか嘯く人もいるが何言ってんのという感じ。
この手順でアカウントの端末移行出来ちゃうもんなの?片方が犯人端末を識別するトークンになっているとかか?元端末でも動くということは複数デバイスで使えるようにする方法を悪用された感じか?
今すぐメイン銀行との連携は外すべきだな。カードの引き落としなら後から止められるけど銀行で引き落とされると後の祭り。
メールに書いてある指示に従うのが危ないんやね。僕もこの前Wikipediaから寄付の依頼メールが来てクリックしたけど、本当はよくない。自分で公式サイトに行って操作するのが正解。めんどくさい世の中になったもんやね
アカウント乗っ取り(移行)がQRコードスキャンだけで起きてしまうのか。これは恐ろしい仕様。オレなら引っかかる自信ある。/と思ったけど、コード移行は同じ番号じゃないとできないらしい。真相はいかに。
ID/PWは別のフィッシングなどで漏洩してて重ねて2段階目の認証が突破されたのでは。QRコードだけでログインは出来ないはず
QRコード読込みだけでアカウント端末移行?!恐ろしい!あり得ない!
こりゃ怖い改善求む/なるほど端末移行と これか https://paypay.ne.jp/help/c0028/#have
QRコードを介した認証や連携に関しては今までもアカウント乗っ取りや勝手な連携が発生しているので世の中的にノウハウが溜まっているはずだと思っていたのだがPayPayはその辺甘かったのかな
wintiketアプリにpaypayを遠隔で勝手に紐づけられた感じかな。wintiket側から銀行チャージの指示ができるのだろうか
PayPay使ってないから分からないけどほんとに認証も確認ダイアログも抜きでこんなことやれるの?(やれるとしたら完全にサービスの設計自体がヤバいやつ(追: これ「偽メール」の話として捉えるのは問題の矮小化では?
これは騙されるわ。まったく他人事じゃない
旧端末でQRスキャンして新端末に移行なんてできないだろ。「アプリでQRコードをスキャン」ってのが具体的にアプリの中のどこのスキャン画面なのかわからないので、なにされたのか全然わかんないな。
73万円も盗むなんてヒドイやつがいるにゃ! PayPayのQRコード、ボクには難しくてよくわからにゃいけど、安易にスキャンしちゃダメにゃ! みんなも気をつけるにゃ! 悪い人には猫パンチにゃ!
これはお年寄りとか全然気づかないでやっちゃいそうだね。Pay Pay側の対策としては、重要な処理については説明をポップアップすると同時に、メールを送信して確認リンクを踏んでもらうようにするとかかな。
(https://www.winticket.jp/keirin/topics/egJCE9LA5WUPnS4bXW6kUh)WINTICKETのpaypay連携だけなんじゃないかな…。オートチャージ設定はオフと書いているけど、画像だけで判断するとオートっぽい気がする。乗っ取りなら他の決済しそう
セキュリティとしてはザルとしか言いようがない。
チャージまでなんてどうやって??と思ったら、中間者攻撃で端末移行手続きをさせたのか。なるほどよく考えるな…。(褒めてない
この方PayPayを使い慣れてなかったからと自己分析されてるけど、自分が多分このケースは引っかからないと思うのはそれなりに慣れてるからで、将来世間で一般化してるサービスに自分が慣れてないって状況はあるだろうし
詐欺られたときに手厚い補償のあるクレジットカードに比べると、電子マネー系は詐欺に対する補償がかなり薄い。なのでクレカを作れない人以外は、クレジットカードを使った方が安全だと思う。
怖い!共有ありがたい。システム的に解決されるといいけど。
状況がよくわからん。別機種にアカウント移行されたのなら、この人は操作できないよね?メールをPCで開いてるのも謎だし。2個QR読んだら勝手に利用されるのは怖いが普通にフィッシングに引っかかっただけのような。
QR自体の脆弱性として何がエンコードされてるかスキャンしないと分からないというのはある。
これは騙されるかもと思った人はこの手の決済サービスを利用するために必要なリテラシー足りてないので解約したほうがいいよ。
ひぇ〜
犯人(出し子)名義のWINTICKETの入金元として被害者PayPayアカウントと連携してしまった結果、WINTICKET経由で全額引き出し被害に。WINTICKETのUIは連携済銀行からも引っ張れる強力仕様な一方、連携はQR2連続読み取りのみ。
日額利用上限とか月額利用上限を設定しとけばいいんじゃね?アカウント奪われたんなら知らんけど
銀行連携せずちまちまコンビニチャージしているので、ぎりセーフか・・・。お店のQR張替えとかでも何か出来そうだし手軽で便利だけどリスキーなんだよなぁ。
共有大変有り難いのだが、結局、身に覚えのないリンクやQRコードは踏まないというくらいしか対策が思いつかない。だけどあいつら数撃ちゃ当たる方式だから、たまたま覚えのある金額が来ちゃうんだよなあ、これが。
これはこわい “残高1万円しかないPayPayで、QRコードをスキャンしただけで銀行口座から73万円が勝手に引き出され、無くなってしまいました”
QR怖い。スキャンで出たURIにアクセスするかどうかちゃんと確認出るものじゃないと今後も似た事例が起きるよね。恐ろしいのう。
普通に考えると出金までたどり着けなさそうだけど、ほぼリアルタイムで捨て口座からATM出汁子に繋がってるんだろうか。オア暗号通貨(じだいおくれ? 最後にリスキーな実行犯が
PayPayで銀行口座からのチャージを利用された場合はクレジットカードの不正利用の様な救済措置は無いのかな。また、チャージではなくPayPayカードからの使用だった場合はカード側での救済はあるのだろうか。
こわ……
口座紐付けてなくてコンビニチャージで使ってるけど今後もそれでいいや。
正直使いたくないんだけど、たまに割り勘をPayPayでと言われる時あるんだよね...
PayPayは簡便さが利点で、セキュリティは甘々だと思って距離置いてる
えー銀行紐づけるのこわ…
PayPayをメインの支払いでは使わずワリカンなど精算用のメインにしてるから口座もカードも紐付けてない。今後もそうしよう
QRコード2つ読み込むだけでアカウント移行が完了?!移行したのに元のスマホでも使えてるのは何?/スクショ撮れてるのはなんで?これはPayPayの正規の画面なの?連携とあるけど/チャージで暗証番号いらないの怖いよね
送信元のメアドまでスクショに出して欲しい、そこが怪しければリテラシーある人は踏まないから。
メールから来たリンクは基本開くなってことだね、たまにメールのブラウザでないとダメな場合もあってキツい(まあこれは認証系なので、自分の意図したタイミングではあるが)
こんなんあるんだ / 自身の落ち度に「メールのリンクを開いてしまった」があるべきでは
口座もカードも紐づけてないからセーフ…!
メールなんて脆弱性の塊なのでGoogleから検索したりお気に入りからジャンプして公式サイトに行くわ。というか支払いとかpaypay内でしか見たこと無いな……
これは作り込みがすごい…
中国でやり出した時からの懸念そのまんまなんやな。まあ自業自得やが仕組み自体がデフォで対策してないとか営業停止の行政指導レベルやろうにそうはならんのよなあ。何にせよITはリテラシーしか勝たんのよなあ。
PayPayでスキャンするだけで権限移譲ってのはなさそうに思えるが.. 文字通りアカウント連携されて、 WINTICKETに払い込まれたのかしら。連携画面は本物だったかもね。
もうメールでの通知って自分の操作に対するリアクション以外基本スルーよね。で、操作はなるたけPC側に寄せて、テキストメールとしてみる。結果として振込用の口座で残高不足すると督促まで行ってしまう事が・・・
移行手続きであれば、古いアプリが使えなくなるんじゃ。QRコードハックされてる?/WINTICKETのPaypay連携っぽい。多分アプリに落とされた後、犯罪用銀行口座にイン。PayPayのオートチャージとWINTICKETの仕様が悪さしてそう
インターネット、詐欺師と山師の饗宴場と化してて、どんどん危なくて不自由になるよなあ……
これは親に持たせるの怖い…自分の設定も見直そう…
アクションの敷居の低さとリスクの高さが合わないなあ。これが本当なら大変怖い
クレカのスキミングだとそれなりの機材が必要だけど、PayPayの場合はハッキングのコストが低すぎてもうね。
はてブは役に立つね。
本当にQRコード読み込むだけで盗めるなら支払い時にQRコード読むのも危険では?
最近は固定電話にほぼ詐欺電話しかかかってこなくて使えないツールになったけどメールもそんな感じになってきたね。
「メールのリンクは踏むな」はよく言われるし、自分もよく言っているけど、「メールの QR コードをスキャンするな」も言っていかないと。さすがにみんなに「Received ヘッダを確認しろ」と言えないもんなぁ。
なんだこれ、と思ったけど、WINTICKET連携か。これはWINTICKET側にも連絡する必要がある。WINTICKETのアカウントは本人確認がいるので、これはアカウント購入(or不正使用)だろうな。うーん。
請求で焦らせて確認させるって巧妙だな。。。
なるほど、端末移行なのか。こわすぎる
これ額が仮に、980円とか少額だったら多分俺も掛かるかもしれない。流石に数万は心当たりねーよってなるけどそれくらいならあり得るので
PayPayなんも設定してなくて、ATMからチャージすんのダルいから紐付けしようかなーと思ってた矢先に読んでしまった
メールのリンクは押すな。
WINTICKET はじめて聞いた
いやQR読み取りで端末移行はおかしいだろう。この説明になるほど!と頷くのも詐欺られ予備軍だと思うが。
メールのドメイン名とDMARCを確認しよう。
こういう人が1%でもいれば十分採算が取れる詐欺でしょうから、自分は引っかからないと思っていても、ある時ふと気が緩んで引っかかってしまう可能性はあるのですよね。
三井住友とpaypayが提携を発表してたが、ずさんな設計が本当なら三井住友ユーザーにも影響出そうだな。
個人的にはオンライン化してる銀行口座にはあまり入れないようにしてる。オンラインやキャッシュレスでひもづけないのは詐欺にも有効かもね。
紐づけしてる銀行がpaypay銀行だったら、1日のpaypayチャージ限度額を銀行側で設定出来るのでやっておくと良いと思う
“入金されたほぼ全ての残高が失われていました。(オートチャージ設定はオフにしてあるにも関わらず)”オフにしてても駄目なの!?paypayと紐付けてる口座にはあまり残高入れないようにしてるけど今後も気をつけよ
うちのメールアドレスにも本日16:40くらいに同じメール来てる。ユーザー全体で億単位の被害出てそう
単純な端末移行のQRコードスキャンだけでは、説明がつかない部分があるので、さらなる情報待ちかなと。新携帯側でログインしてScanする必要があるので、もう少し何かありそう。
PayPayはメルカリと同じでそういうところと組んでるって話でしょ
一応限度額変更しておこう
この2つのQRコード何と何のコードだったんだろう 端末移行の場合はQRコード読み込むのは新しい方の端末にならんか?
あまりに慣れすぎてしまっているが、常に詐欺に身構えてないとメールとかSNSを使えないのは異常だよな。企業を騙るメールも文面が自然になってきて、治安が終わってる。
利便性をはるかにでかいリスクがある。ポイント還元率が高くてもリスクには見合わないよな。
今の俺の場合は、銀行にお金ないので、この失敗はありえないが、注意したい。
こういう優れたレポートに本人の落ち度を責めるようなコメントをつけてる奴は、害悪なので仕事をクビになるなどすればいい。
怖すぎやろ
端末移行の便利機能なのか。確認もないの怖いな
これ、銀行口座の紐づけせずクレジットカードのみで使用してたら被害に合わなかった?銀行口座に出金するには本人確認が必要だから、このケースでは出し子がATMで出金してるんだろうか?
これ、色々応用されてさらに被害出そうだな
操作が簡単だと何をやってるのか・何が起きるのかの意識が薄くなるのがインターネットの怖い所…
保障されたりするんだろうか。後日談も待ちたい
「オートチャージ設定はオフにしてあるにも関わらず」…これはおれも騙されるかもしれない。端末移行手続きか…。気を付けな。あと paypay 連携している銀行にはあんまり入れんとこ。
これ、被害はこの人だけじゃないのではなかろうか。既に各所で甚大な被害を出してそうに思える。
連携銀行は削除して必要時に都度追加(クレカなら後から請求取消できる)、あと「利用可能額の設定」でチャージの上限額を下げておくとダメージ少なくて良さそう
やはり宗教的理由からpaypayを使っていない俺は正しかった
paypayに紐付けてある銀行口座には大した金入れてないが、今後もそうすることにした。金いれてある口座をオンライン処理するのは基本的にやめて、面倒だけど現金処理することにするわ
おお怖。クレカ払いなら補償はされるかな。。
詐欺メールが根絶できないのIT技術の敗北なのでは
端末移行はQRは使うっぽいけど、電話番号が違うとその変更からだしPWも必要だしで違うんじゃないかな/QR読み取ったとしてアプリ側でもう1手順ありそうだけど何もなかったとかあんのかな
こっっっわ
アカウントごと乗っ取られてたら、上限設定とかも全部変更されて根こそぎ行かれそうな気もするな。 全滅が耐えられる程度のペイペイ専用口座を作らないとダメかな。
失望しました。PayPay使うのやめます
“PayPayアプリでQRコードをスキャンする際、そのQRコードが具体的にどのような処理を行うのか、アプリ側にも明確な説明や注意喚起が一切ありませんでした”
((((;゚Д゚)))))))
これが令和のショウペイペーイ!か。
乗っ取ったとしてこんな間もなくチャージと支払いを出来るとはとても思えないしオートチャージをオフにしたつもりになっているだけだと思うけどなあ
に、認証がないんだ…
こわ。QRコード払いの類には手を出さないようにしようと思いました。
こうした電子決済をしている企業はハッカーをちゃんと雇ってんのかな?優秀なハッカー雇って穴を見つけて塞がないと、怖くて使えないよ。
もしかして、PayPayだけじゃなくてWINTICKET連携(可能な支払い方法)が全部ヤバイんじゃないの?
関連は不明だが、先ほどからWINTICKETでのPayPay利用がシステムメンテナンスで利用制限に
QR コードって何が書いてあるかわからないというリスクがある。
公式がやたらメールしてくるサービスは詐欺に合いやすい。公式はメールしない。これを徹底するだけでフィッシング詐欺は防げるの。
WINTICKETって何なんだろう?と思ったら競馬アプリ…。QRコードって再配達とかで気軽に読み込む癖ついちゃってるんだけど、こう考えるとリスク高すぎるなぁ。かといって説明とQRコードが一致してる保証なんて無理よね?