最近、通販サイトで「返金手続き」を装った詐欺が続発しているらしい。
たとえば「在庫切れだったので返金します」と言いながら、LINEでのやりとりやキャッシュレス決済アプリ経由で、自分で操作してお金を送ってしまう手口。
相手から「この手順通りに進めて」と言われ、Pay系アプリや銀行口座、挙句の果てには暗証番号まで教えさせることもあるようだ。
こういう詐欺、あちこちのプラットフォームでパターン化してるのが面白い。
攻撃側は、ユーザーの心理を突いて「自分が操作している」と錯覚させている。
必ずしもシステムの脆弱性を攻めているわけじゃなく、ヒューマンファクターにフォーカスした設計だから、プログラムの仕様や機能に頼っても完全に防ぎきれないのが歯がゆい。
技術的な視点で見ると、決済アプリや通販事業者ができそうな対策は、例えば、「返金目的の送金には特別な警告やチュートリアルを表示する」「既定の返金ルート以外の送金をブロックする」などが考えられる。
また、アプリ側で異常な操作パターン(短期間で繰り返される画面共有要求や、第三者への送金フローなど)を検知してアラートを出す仕組みも有効そう。
でも結局、「一度立ち止まって公式かどうか確認する」ことが重要。
サイトの販売業者情報や正規の連絡先が明示されていなかったり、急に友達登録や画面共有を求められるのはやはり怪しい。
もし少しでも不安を感じたら、すぐ専門機関に相談できるフローがもっと簡単になれば良いのに、とついインターフェース設計の手順まで妄想が広がってしまう。
