では犯罪者はどうやってクレジットカード番号などを盗み取っているのでしょうか。番号詐取の手口をまとめたのが図表2です。
カード暗号の暗記などの原始的な手法も
まず「フィッシング詐欺」「偽ECサイト」は、私たちを騙してクレジットカード番号等を偽サイトに入力させる手口です。もっとも被害が大きい手口と言えるでしょう。後述しますが、偽サイトへの誘導を巧妙に行っています。
「不正アクセス」と「ウェブスキミング」は、販売サイト(ECサイト)へのサイバー攻撃でクレカ番号を入手する手口です。対策によって「不正アクセス(保存されているリストの入手)」は減っていますが、その反面ウェブスキミングが増加しています(後述)。
私たちユーザーが対策できない手口もあります。「クレジットマスター」と呼ばれるもので、犯罪者が自動生成によってクレカ番号を作って不正利用するものです。
古くからあるクレカ番号入手の手口としては、「盗難・紛失」や「スキミング」があります。盗難では海外の観光地などにいるスリ・強盗グループによるものが目立ちます。これらの犯罪者は組織化されており、盗まれた直後に高額な決済をされてしまう場合もあります。
「スキミング」はカードリーダーなどを悪用して、ショップやレストランの店員が悪用するものですが、カード会社による対策(ICカード化など)により減少してきました。しかしカード自体を見て暗記する・写真を撮るなどの原始的な手口での悪用もあります。
レジバイト中にお客のカード情報を盗んだ高校生
原始的な手口である「カード番号の暗記」の事件としては、2020年に高校生が航空券を不正に購入した事件があります。70代の女性のカード情報を使い、航空券の予約サイトで14万円相当のチケットを購入して逮捕されました。余罪は他にもあり、被害総額は1000万円以上になると報道されています。
手口は単純で「カード情報の盗み見」でした。この高校生はスーパーでレジ係のアルバイトをしており、クレジットカード番号を暗記したと供述しています。
クレジットカード番号は16桁で暗記するには難しいと思う人もいるかしれません。しかし実際には16桁をすべて覚える必要はありません。まずクレカ番号の最初の4桁は、クレジットカード会社を表しています。つまりブランド名やカードの色などを覚えておけばいいのです。さらにクレジットカードの売上票には末尾4桁などが記載されることが多くなっています。この売上票を渡さずに手元に残していた可能性があります。
これがうまくいけば残りは8桁であり、簡単に記憶できたでしょう。有効期限は5年以内の西暦と月ですから覚えることは難しくないはず。暗証番号が問題ですが、こちらは手元を見ていた可能性があります。
この高校生はもうひとつ巧妙な手段を使っています。不正利用する際にオンライン決済、およびアプリ決済を利用していました。クレジットカードをキャッシュレス決済かスマホ決済に登録して使っていたのでしょう。スマホ決済では実カードを持っていなくても、タクシーや店頭などで簡単に決済できるため利用したと考えられます。