クレジットカードの不正使用、なりすましローン、なりすましタックスリファンドなど、個人が被害を受ける詐欺にはいろいろありますが、今回は銀行口座に関わる詐欺や不正利用(英語でBank Account Fraudと呼ばれるもの)について考えます。Better Business BureauのScam Tracker Annual Risk Reportによると2018年には、50,000人が詐欺被害にあいその平均被害額は$152/件でした。被害額にはばらつきがあり数千ドル単位の被害を受けた人もいるということでした。詐欺被害者のうち、被害額が戻って来ず自己負担となったのは4件に1件ということでした。
金融機関側のセキュリティ強化もあって、個人の被害件数は少なくなってきているものの、手口は巧妙化しており、いったん被害に遭うと大きな額になりがちなようです。銀行口座の詐欺はある意味、ループホール(抜け穴)的な存在です。クレジットレポートのfreezeなどをしても防ぐことができないうえ、被害者保護が手薄だからです。
Adobe、eBay、Equifax、LinkedIn、Marriott 、Yahooと昨今の度重なる個人情報流出事件を受けて、最近ではクレジットレポートをfreeze(凍結)させている人も多いと思います。以前はfreeze/unfreezeの手続きも煩雑でしたし、手数料が必要な場合も多かったのですが、freezeの必要性が高まりニーズが一般的になるにつれ、オンラインで無料手続きができるようになっています。当面クレジットスコアを使うような予定がないなら、freezeすることは理に適った処置です。Freezeすれば、クレジットスコアへのアクセスが遮断されるため新規口座詐欺は防げます。本人になりすまして新たなクレジットカード口座を開かれるとか新たなローンを組まれるというようなケースは防ぐことができるわけです。*追記:クレジットビュロー各社のHPで、Freezeするためのページが探しにくいというコメントをいただいています。最も簡単なのは、各社の名前(Experian, Transunion, Equifax)と”freeze”というワードで検索して行きつくことかと思います。
既存の口座(たとえばすでに持っているクレジットカードや銀行口座など)については、クレジットレポートのfreezeでは対応できません。すでに口座が開かれているので、その上での不正利用は捕まえられないからです。ただクレジットカードの場合は、利用履歴をちゃんとチェックして60日以内にクレームを上げれば、不正使用への被害者責任は法律で$50が限度と決められているうえ、実際にはその$50もクレジットカード会社が負担してくれて実質上被害者責任はゼロというのがふつうです。
このふたつのプロテクションから漏れるのが既存の銀行口座です。チェッキング口座やセービング口座に関わる不正使用、詐欺などは、クレジットレポートのfreezeでは防げず、また被害があってもクレジットカードのような手厚い被害者保護がないわけです。昨今では、とくにビジネス対象の銀行口座詐欺が増えており、額も数万ドルから数十万ドルレベルの被害まで高額化しています。ビジネス対象のほうがまとまった額を盗むことができるので、多くの銀行口座詐欺はビジネスに向けられていますが、ただ個人対象もないとはいえません。このような状況を踏まえて、個人として被害を未然に防ぐようどう気をつければよいのでしょうか。
大きく分けて3つのタイプ
フィッシング(Phishing)
前に何かを買ったことがある店舗、自分の働いている職場、いつも使っている銀行になりすまして、個人的な内容のeメールを送ってきて、個人情報を連絡するようにリクエストされます。eメールアカウントがハックされていれば、いつもやりとりをしている見慣れたメールアドレスからメッセージが届くことも多いようです。メールの内容が読まれていれば、個人状況に合わせてかなりカスタマイズした内容でそれらしい文面が届くこともあります。内容的には、チャリティやファンドレイジングへの募金をお願いしたり、お薦めの商品やサービスの購入を促したり、クレジットカードなどの申請を促したり、税務関係や法務関係など公的っぽいサイトにつなげたり、様々な手を使って個人情報を入力させて盗むというものです。
マルウェア(Malware)
Malicious(悪意のある)+software=malwareは、eメール添付ファイル、ネット上のポップアップ、ダウンロードするファイルなどを通してPCに侵入し、全く本人が気が付かないままに、詐欺師がその人のPC機能にアクセスできるようにします。マルウェアの多くは、PC搭載のセキュリティ機能にひっかからないそうで、知らず知らずのうちにキーボードのタイピングを読まれているということですから怖いものです。さまざまなタイプがあるようですが、メールで受け取ったeカード、添付ファイルなどやリンク、またダウンロードしたスクリーンセーバーなどに含まれているものもあります。
詐欺(Scams)
フィッシングもマルウェアも広義では詐欺に入るかと思うのですが、ここでのスキャム=詐欺は知らない間に騙されるというよりは、自分から信じて喜んでお金を払ったのにウソだったというタイプのものです。「安く買える」、「儲かる」、「今だけ特別」、「Student Loanが軽減される」のような宣伝に反応するかたちで、本人が個人情報を提供したりお金を払ったりします。たとえば、手付金として先にお金を払ったり、クレジットカード情報をとられ課金がされるなどし、後で気づいた時には相手はいなくなっているというタイプのものです。
字面で読んでいると、そんなの絶対ひかからないゾーと思うものなのですが、これが大変巧妙になるとひっかからないほうが難しい場合も多いようです。ちょっと前のことですが、MSNBCがフィッシングについてのニュースレポートの一環で、ニュースルームにいる自社スタッフに偽のメールを送ってみました。自分たちの雇用主、つまりMSNBCからのメールに似せかけ、たしか会社支給の携帯電話のアップグレードかなにが必要だから、すぐに自分のIDや個人情報を入力して申請するように・・というような内容でした。なんとスタッフの半分以上がひっかかりました。よく見ればロゴが少し変だったり、よく考えれば自分の会社がそんなメールをよこしたことは今までないと気づいたりもするのですが、人間の思考はなんとも限られたものでMSNBCのニュースルームで働いているような世間に洗練された人でもこうなのだから、自分ならすぐ引っかかるだろうなと思いながら見ていたものでした。
それからこんな例も。いつものように支払いをしようと銀行のサイトにログインしたら、ポップアップウィンドウでエラーメッセージが現れ、「何かがおかしいので、認証のため個人情報を確認してください」とのこと。自分からいつもの銀行のサイトに行ってログインしたわけで、変なサイトではないと確信しているので、彼女は完全に信じ切って情報を入力したそうです。しかしながら、実はこの時点より以前に、この人はeメールか他の何かの手段で自分のPCにマルウェアを招いてしまっていたようです。そのマルウェアがログインに反応してこのポップアップウインドウを出したのでした。もちろんこの時点でログイン情報は盗まれており、さらに入力した個人情報も盗まれました。その後支払い手続きを済ませることができたものの何か変な感じがしたので、銀行に問い合わせてみたそうです。それでそれが詐欺であることがわかり、その後の被害が防げたということでした。
このように手口が巧妙化していますから、とにかく注意、注意、注意が必要です。
以下注意リストです;
- 本当に信頼できるメールでない限り、リンクはクリックしない。個人情報も返信しない。メールに、どこかおかしいところがないか、いつもと違うところがないか確認をする。また、スキャマーが相手のメールアカウントに侵入し、その人自身のメールアカウントから詐欺メールを送ってくることもあるので、たとえアドレスが正しくともとにかく何かヘンだと思ったら、反応しないこと。
- PCや携帯のセキュリティソフトはきちんとアップデイトする。
- Appやファイルをダウンロードするときには、そのソースをきちんと確認し、信頼できることを再三再四チェックする。ポップアップ宣伝は基本的に無視する。PCがいつもとちがう動作をする(急におちたり、ポップアップが増えたり、スローダウンしたり)場合には、感染を疑い対処する。この状態のまま口座にログインしたり、オンラインで物を買ったりしないように。
- オンラインショッピングではできる限りプロテクションの高いクレジットカードを使う。銀行口座からの送金はできる限り避ける。クレジットカードが使えない場合は、プリペイドデビットカード(被害にあってもプリペイドされた額に被害が留まる)を使う(ただしプロテクションと言う意味では、デビットカードよりクレジットカードの方が高いです)。
- とにかく疑ってみる。メール、テキストメッセージ、電話など、(残念なことではありますが)まずは悪意のあるものかもしれない可能性を疑ってみる。
- パスワードの桁数を上げ複雑性を増す。提供されている場合いは2ステップ認証(ログインしてから、携帯で受け取るテキストコードなどでダブル認証)を使う。必要ならば、パスワード管理サービス(Norton Vaultのような)を利用するのも考慮する。
- 口座ステイトメントを定期的に確認する。また、銀行が提供していれば、口座へのアクティビティ(チェックが換金された、デビットトランザクションがあった、送金があったなど)についてテキストやeメールで通知をくれるサービスを利用し、つねにチェックをする。
- 電話がかかってきた場合、それがいつも使っている銀行、ビジネス、政府機関などを名乗っても、とりあえずなりすましの可能性を疑う。個人情報やソーシャルセキュリティ番号を聞かれた場合は、まず提供せず電話を切り、その団体や機関の連絡先を自分で調べかけなおす。
もしも被害に遭われた場合は、銀行にまず連絡し、また以下の団体にもレポートするとよいのではないかと思います。
毎回、勉強になっております。
こんなにFRAUDが多いと不安になってきました。
クレジットリポートはどのくらいの頻度で確認した方が良いのでしょうか?お勧めの信用できるサイトはありますか?
また、FREEZEの手続きを教えていただけますか?
宜しくお願い致します。
過去のBlog記事にもいくつか関連のものがあります(サーチボックスで検索できます。でも内容が少し古いかもしれません。大筋は問題ないと思います)。
https://www.consumer.ftc.gov/articles/0155-free-credit-reports
でフリーでクレジットヒストリーがチェックできます。Freezeすれば1年に一回で十分ではないかと個人的に思っております。
クレジットビュロー(Experian,Equifax,Transunion)のサイトに行って、Freezeという名前で検索すれば出てくると思います。
ありがとうございます。
もう一つ質問ですが、詐欺の対象は銀行がメインなのでしょうか?IRAなどの投資機関も同様なのでしょうか?
宜しくお願い致します。
私の読んだリサーチには特に投資口座についての言及がなく、Bank Accountと書いてあったので銀行口座と理解してよいのではないかと思います。
投資口座より銀行口座のほうが、ふつうに考えてActivityが多く発生する(支払いや送金など)ので、詐欺もまぎれこんでやりやすいのではないかと個人的には思います。
まあでも、個人情報を守ることに関してはすべての口座について意識を高くした方が良いとは思います。
返信ありがとうございます。
フリーのクレジットリポートですがサイト確認しましたら、一時的に来年の4月まで毎週もらえるようです。また、別のBLOGでFREEZEの記事を確認していただきました。是非、検討したいと思います。勉強になりました。
ご無沙汰しています。以前個人的にお世話になりましたが、その後も貴重な情報をありがとうございます。
先日ID盗用されました。
最初の微かなサインは、カード会社から届いた一通のAlertMailで、誰かがCreditチェックをしたよ、という内容でした。念のため確認したところ、SBAだったので、政府機関が何でかな?と思いましたが、まあ、政府機関だし、特に問題もないかな、とその時は思いました。
はっきりわかったのは、その後1週間ほどしてEDDから失業保険申請の確認レターが来た段階です。
当然自分は申請していないので、なりすまし申請ということで、その時点でIDが盗用されている事に気づきました。EDDにはネット経由で連絡しましたが、そこから先はどーしよーかな、と思って数日後、
今度は知らない銀行から手紙が来て「Welcome!」という口座開設のレターと書類が届き、
ようやく重い腰を上げて、IdentityTheft.govに行き、それからCredit ReportのFreezeや各種金融機関への連絡をしました。
おっしゃる通り、これでも既存の金融機関の口座はアクセス可能ではあるので、できる限り二段階認証にしており、現時点まで特に被害は出ていません。しばらくは警戒が必要ですけど。
不思議だな、と思ったのは、普通ならクレジットカードを作りまくって、というパターンかと思いきや、失業保険の申請(会社に確認が行きますし、送られてくるDebitカードを手に入れないお金を得られないなど、実際はかなり難しいのでは)やSBAローンというかなりハードルの高い宛先を先にTryしている、というところです。新手の方法なのか、それとも失業保険の実際の流れを知らないのか。
ところでCredit ReportのFreezeですが、ExperianとEquifaxは特に問題ないのですが、TransUnionは注意しないとAccountを作成させられ=$25ドルチャージされます。Freezeだけなら無料なはずなんですが、よく注意しないと、どこでFreezeだけにできるのかちょっと分かりにくかったです。結局文句言ってキャンセルさせましたけど。
色々大変ですよね。。。。
なんと!生の体験談をありがとうございます。なりすましタックスリターンは聞いたことがありますが、なりすまし失業保険申請ですか。。でも適切な確認と対処をされてよかったですね。Freezeの情報もありがとうございます!
いつも的確な情報の発信ありがとうございます。
クレジットモニタリングを去年解約し損ね、今年こそと思い、この記事はじめその他の記事に行き当たりました。早速クレジットビューローからオプトアウトした後、Experianのウェブサイトに行き、Freezeを検索しようとしたところ、検索キーがなく、アカウントを作らされました。
その後もサイト内にFreezeという言葉は見当たらず、Account Lockをプロモートしている様子で、アップグレードするように仕向けられました。私の検索方法が悪かったのかもしれませんが、ExperianのサイトからFreeze方法を探すのではなく、Experian Credit Report Freezeと直接検索エンジンに入力をすると、Freeのサイトに確実にリンクされるようです。
Shoさんと同じくどこでFreeze出来るか分かりづらかったので、お伝えしておきます。
貴重な情報ありがとうございます。最初からFreezeを意図して探す人にはそのページにlandさせるが、他の用途でHPに来ている人には敢えてFreezeの情報は見せないようにするというやり方なのかもしれませんね。言われてみれば、私は当初からExperian Freezeという用語で検索してページを見つけました。いただいた情報をページ内に追記させていただきました。
貴重な情報をありがとうございます。実は、最近、多額(150K)の詐欺にあいました。昨年、夫がアメリカで事故で他界し、アメリカから幼い子供2人を連れて、私の家族の住む海外に移りました。その後、遺産や銀行口座整理の相談、タックス業務などを、以前住んでいたカリフォルニアの会計士CPAにお願いしています。その会計士には直接何度も出会っており、私が海外に移ってからは、主にメールでやりとりをしていました。亡き夫が投資口座を持っていたので、私が引き継いだものの、私は投資の経験がないので、ファイナンシャルアドバイザーであるその会計士にコミッションを払って投資口座の管理もお願いしていました。私には現在収入がないので、少しでも貯蓄が増えればと思い、貯蓄から投資口座に追加で多額を入れることを会計士にかねてからメールで相談しており、遂に、言われたアメリカの会計士名義の銀行口座に私のアメリカの銀行口座から50Kの電子送金を私の銀行に電話を通して行いました。(最初は個人名で多額を送金することにとても抵抗があったのですが、友人に相談したら、既に私の投資口座を管理する権限を与えてるのだから、特におかしなことではないのでは、という意見でしたので)
入金したあと、メールで受け取ったという返事をもらい、もう100K入れることを勧められました。私の投資口座に追加の50Kが入ってなかったのでメールで聞いたら、プロセス中だといわれ、それを鵜呑みにして追加の100Kを同じ口座に送金しました。 もともと、私の会計士はできる人なのですが、コミュニケーションが遅く、返信も遅れがちでしたので、一回目の送金後になぜまだ投資口座に入っていないのかと聞いても、プロセス中だと言ったでしょう、とメールがあり、それ以上プッシュができませんでした。しかし、2回目の送金後に連絡がないので、同じ事務所でCPAをしている彼の息子にこれまでのメールのやり取りをスレッドでつけて、父親からすぐに私に返信するようにお願いしたところ、息子からすぐに電話をくれ、と言われました。それで電話をして、初めて、私が詐欺にあったことを発見したのです。というのは、この1か月間、会計士とメールやり取りをしていると信じていたのに、実は、詐欺師とメールでコミュニケーションをずっととっていたらしいのです。メールアドレスは、会計士のビジネスメルアドそのままなので、会計士のメールアドレスがハッキングされていたようです。不思議なことに、私だけが詐欺師のターゲットになっていたようで、他の顧客には被害がないようです。おそらく、夫が他界後、かなりパーソナルな情報(複数の会社の銀行明細を、アドバイスのため、会計士に私のホットメールから会計士のメールアドレスに送っていました)をたくさん送っており、今回の投資口座への追加入金などの会話を見て、ターゲットにされたのでしょう。それにしても、1か月間、会計士はメールアドレスのハッキングに気づかなかったとは!その後、IT専門家が会計士のパソコンやサーバーなどを調査しているようで、IPアドレスがナイジェリア、NJ,NYなどであったことがわかっています。私の銀行も受け取り銀行も結局1週間の調査後、お金も引き出され口座もクローズされたと、銀行での調査を打ち切られてしまい、私の150Kは戻らずにいます。
送金に使った私の銀行には、受取人名義(会計士の名前)、口座番号を与えていますが、実際、受取人名義は私の会計士の名前ではなく第3者であったとわかっています。はじめは、会計士のアイデンティティ詐欺でもあると思って、会計士が受け取り銀行に電話をして凍結しようとしたのですが、ソーシャルセキュリティー番号も受け取り人名も会計士でなかったことがわかり、なにもアクションがおこせませんでした。
今、会計士の保険会社が調査中です。なんとか会計士の保険で私の損害補償ができればよいのですが。。。 一方で、会計士がビジネスメールアドレスをハッキングされたことから起こった悲劇なので、会計士の怠慢なビジネス対応への訴訟、双方の銀行が受け取り名義人の確認をしなかったことへの訴訟も考えています。(銀行は受け取り名義人を必ずしもちぇっくしないで送金作業をするそうです)
できるだけ、弁護士を個人的に雇うことなく、この件を決着させたいのですが、相変わらず、会計士側の対応は今回もスローです。 警察に電話しても、こういう件はオンラインで報告してくれと、らちがあきません。FBIのサイトではオンラインでリポートしたのですが、2週間たった今も何の連絡もありません。何かアドバイスがあればお願いします。
何ということでしょう。ご主人をなくされて、幼いお子さんを抱え、これから立ち上がろうとしている人に対して、なぜこんなことが起きるのでしょうか。憤りを感じます。申し訳ありませんが、どうしたらいいか何のアドバイスもありません。私の友人のご主人のビジネスメールもハッキングの被害に遭いました。彼に成りすまして、彼の顧客に商品に対してのインボイスが送られ、そのインボイスにはハッカーの銀行口座情報がのっており、顧客は彼への支払いと信じて$60,000を送金しました。彼は商品をすでに送っており、それに対して支払いを受け取ることがないまま今まできています。彼も、警察、FBI、ビジネス保険会社などやりとりを繰り返していました。警察の調べで遠方の州に住むある人が犯人であるとまで特定できたにもかかわらず、さらには同じような被害に合っている人が他にもいることまでわかったにもかかわらず、なぜか告発まで至らないままです。州をまたがっており、管轄が分断されているのも問題なのかもしれません。警察もあまりにこのようなケースが多く、どこから手を付けるか困っている状態なのかもしれません。何のヘルプも差し上げられませんが、どうかどうかこれからの生活が守られ、この大きなロスを埋めて上回るほどの祝福が注がれるようお祈りをさせていただきます。
お返事ありがとうございます。今回のようななりすまし詐欺は、発見が遅れがちかもしれませんが、今後は、金銭関係のやりとりは特に、確認・確認、疑いの目も持って対応していこうと思います。
会計士の保険会社が、何とか、補償をしてくれるのを、またこの経験が何らかの形で役に立つことを願っています。
祝福のお祈り、ありがとうございます。
また個人的にファイナンシャルアドバイスをお願いすることがあるかもしれませんがその際はよろしくお願いします。