日本人に馴染みのある「ん」が、URLの「/」と誤認させる文字(記号?)としてフィッシング詐欺に悪用されました。
booking.comを利用する宿泊施設などの管理者アカウントを乗っ取り、「宿泊税のデポジットが別途必要となる」という宿泊者を狙った詐欺が最近急増しています。
これは予約をした正規の宿泊施設から予約者に対してメッセージを送れる機能を通じ、非常に丁寧なネイティブ英国英語で送信されます。メッセージには決済用リンクがあり金額もさほど高くない金額が記載されていますが、決済を行うと表示された金額の5倍程度が決済されるという詐欺行為です。
メッセージを宿泊予約客に送信するためには、booking.comを利用する宿泊施設の管理者アカウントなどがbooking.comの施設用画面へのアクセスが必要ですが、そのID、Passwordを盗み取るために、悪意ある者は宿泊施設の問い合わせメールアドレスへbooking.comを装い、管理者画面へのログイン画面そっくりの画面を表示し、ログイン情報を盗み取るというものです。
その際に利用された宿泊施設へのログインURLに、日本語の「ん」が「/」と欧米人には誤認させる文字として悪用されました。
日本人であれば、すぐに気が付きますが、被害が多発している欧米の方々は気が付かないようです。このbooking.comの宿泊予約者へ正規のbooking.comからのメッセージを通じた「宿泊税詐欺」は、主に英国での宿泊で多くの被害が報告されていますので、英国へ行かれる際にbooking.comをご利用の方はご注意ください。
今後、このbooking.comの宿泊予約者への詐欺行為は、booking.comの欧州諸国の宿泊施設へ広がり、またbooking.com以外の宿泊予約サイトへも広がっていくことが予想されます。
宿泊予約サイトからのメッセージで「宿泊税を事前にデポジットください」というメッセージが届いたら、そのメッセージ機能へ返信で「現地での支払いはできませんか。現地での支払いを希望します」と回答し支払は行わないでください。
詐欺師は、「宿泊税を事前にデポジットしないと予約はキャンセルされます」と丁寧なネイティブ英国英語で返答がきた際は、詐欺師によるものですので無視してください。
ブッキングドットコムで詐欺師が送ってきたメッセージの具体例
booking.comは、宿泊予約施設のアカウント管理者に対して、二要素認証を採用するなど対策が求められますが、複数の担当者が利用する管理画面であるため、一般的であるスマートフォンを利用した二要素認証は現実的ではないのかもしれません。
booking.comがUSBドングル型の認証キーを契約している宿泊施設に複数個用意して送付するという対策が急務かもしれません。
執筆: 坂本光正 PC Matic Japan
