Malwarebytesは2月29日(米国時間)、「Airbnb scam sends you to a fake Tripadvisor site, takes your money|Malwarebytes」において、ホームステイおよび宿泊施設の手配を支援するオンラインマーケットプレイス「Airbnb(通称:エアビー)」を悪用した詐欺に注意を呼びかけた。Airbnbは掲載している物件を所有せず、物件の所有者との仲介サービスを提供している。
Airbnbを悪用した詐欺の経緯
Malwarebytesによると、Web研究チームの従業員の1人(以下ステファンと呼称)が旅行のためAirbnbで宿泊先を検索したことが詐欺の始まりだったという。ステファンはAirbnbから豪華なアパートメントホテルを発見し、予約のためサイトの説明を確認。説明には空き室確認にメールによる直接の連絡が必要と記載されており、ステファンは指示に従いメールを送信している。アパートの所有者とみられる人物からの返信メールには、「Airbnbサイトに不具合があるためオンライン旅行会社のTripAdvisorを通じて予約してほしい」とする内容が記載されていた。
また、返信メールにはTripAdvisor上の同じ物件への短縮URLが含まれており、ステファンは予約のためURLをクリック。すると、Malwarebytesのセキュリティプラグインから警告が表示されたという。また、所有者からの返信メールに合わせてTripAdvisorからも予約リクエストのメールが届いたが、その送信者アドレスはTripAdvisorと関係のない「@mailerfx.com」からのメールだったとのことだ。
これらの異常からステファンは詐欺に気がつき、事なきを得た。そのまま詐欺師の指示に従っていたら、偽のTripAdvisorのサイトからユーザー登録と料金を支払うことで、個人情報と資産の両方を窃取されていたとみられている。また、クレジットカードから支払った場合は、さらに被害が拡大していた可能性もある。
対策
Malwarebytesはこのような詐欺を回避する方法として、以下を推奨している。
- あまりにもうますぎる話は、おそらく真実ではない。そのような話には警戒する
- 正規のプラットフォームから直接予約する。特に通常の手続きと異なる手順を求められたときは要注意
- メールに記載されたURLが正しいことを確認する。この事例ではメールのURLにtripadvisor.comと記載されていたが、実際のリンク先はtinyurl.comであった。短縮URLはリンクの偽装によく使われるため注意
- ブラウザのアドレス欄にも注意。期待通りのサイトにアクセスしているかを必ず確認する
- 慎重に操作・決断することを心がける。詐欺師は緊迫感を作り出して急がせようとする
- 個人情報や財務情報の入力時は必ずWebサイトのアドレスをもう一度確認する
- ソフトウェアを常に最新の状態に保つ。また、不審なWebサイトを警告できるWebフィルタープラグインをブラウザに導入する
詐欺師はAirbnbなどのオンラインプラットフォームを悪用することがあるため、注意が必要。特に初めて利用するオンラインサイトでは勝手がわからず詐欺に気が付かない可能性がある。また、登録業者の審査が緩いオンラインプラットフォームを利用するときは、このような詐欺が日常的に起こるものとして注意して利用することが望まれている。