「オートチャージを設定していないにも関わらず、フィッシング経由でPayPay決済による多額の被害が発生した」という報告と、その具体的な手法を考察するnoteが公開されている。
「騙し取られた」と、被害を報告している方のnoteは以下にて。
PayPayで一瞬にして73万円を騙し取られた話(1万円しかチャージしてなかったのに)【追記あり】|Appliss
既に具体的に攻撃手法を考察するnoteが公開されている。noteの報告によると、今回悪用されたPayPay↔WINTICKETの連携は停止されているとのこと。
また、記事冒頭にも書いた通り、19時頃にはWINTICKETとPayPay連携機能が停止されていました。さすがに対策されるものと思われます。
上記のnoteでも紹介されているように、自衛策としてとれるのはフィッシングを踏まないことのほかに、PayPayの利用可能額を設定しておけば、被害を小さくすることができる。(残念ながらフィッシングを踏んでアカウント連携を設定してまうと、被害はゼロにはできない。)
PayPayの「利用可能額の設定」は、
・支払い
・友だちに送る
・チャージ
をそれぞれ個別に、1日あたりの利用金額と1カ月あたりの利用金額を設定可能。
設定はPayPayアプリ起動→アカウント→利用可能額の設定から。
支払いに対する利用可能額を設定するか、チャージに対する利用可能額を設定しておけば、今回報告されているようにフィッシングによって意図しない外部サービスとのアカウント連携することでの攻撃の被害を利用可能額の範囲に抑えられるハズ。
また、取引(支払いなど)の途中で利用可能額に設定した場合は、自動で取引を続けるか、取引を一時保留するかを選択できる。安全策をとるのであれば、ひとまず後者に設定しておくほうが無難。
■利用可能額到達後の詳細を設定できる
