Booking.com予約で詐欺にあった

最初のメッセージは2023年11月15日の

we regret to inform you that your booking may be cancelled as your card has not been automatically verified.

というBooking.comの予約済みホテルのBooking.comメッセージだった（冒頭画像）。

普通のメールではなくオフィシャルのメッセンジャーだから疑いもせずにリンクを踏んでしまった。リンク先もBooking.comの見栄えのままで、クレジットカードの変更手続きを行ってしまった。ユーロ建てなのでWISEの会社用アカウントのカードを入れて、支払い処理を行ってしまった。さらに、相手の指示に従って3回もやってしまった。2要素認証でもOKしてしまった。Coworking Europe参加のための宿だったので、泊まれなかったら一大事と思っていたのでガードが緩くなってしまっていたのである。

それでも途中で念のためにBooking.comのページで別ブラウザでログインして確認しようと思ったのだが、なぜかログインできない状態になっていた。今振り返れば、様々な怪しさはあり気が付かなければいけないポイントは複数あったのだが、一度「やらねばスイッチ」が入ってしまうと気がつけなかったのである。恥ずかしいが現実だ。

とにかく何とかやったはずだと思って、宿にBooking.comのメッセンジャーで連絡すると、それはフィッシング詐欺だと返ってきた。同時に、宿の確保に問題がないことがわかったので、やられた感と同時に安堵感を得た。ここでスイッチが切り替わり詐欺対応モードに変わった。英語で戦わなければいけないと思っていたので、電話よりメールやメッセンジャーに頼りたかったが、Booking.comはコンタクトポイントが見つけにくいだけでなく、結局カスタマーサポートにつながるには電話しかなかったのだ。ただ、後でわかったが日本語で大丈夫だった。

ヘルプなどを見て、とりあえずカード会社に連絡すべきと判断して、WISEに連絡した。自動翻訳的な匂いもあったが日本語でやりとりできるのはありがたかった。フィッシング詐欺にあって残念でしたねというメッセージが返ってきた。事後2日めの17日のことである。

TAKAYUKI様、お世話になっております。

ご連絡いただきありがとうございます。お客様が詐欺に遭われたとお聞きし、大変申し訳なく思っております。

これらの取引 1069671309、1069675547、1069681428を報告し、再発を防ぐことをご希望とのこと、承知いたしました。

不正な取引を報告されたい場合は、次の手順に従ってください。

Wiseにログインします
の取引をクリックしまアクティビティページ す
画面の左上にある質問マークをクリックします
「 詐欺であると思 われる」を選択します。
「 詐欺を報告 する」をクリックします。
レポートを提出されましたら、ご提供いただいた情報を確認し、14〜16 営業日以内にメールでご連絡いたします。

ただ、これで報告が通ったわけではなくて「 詐欺を報告 する」をしなければいけなかった。誤振込3件について登録すると、

HAGIHARA様
取引 #1069681428 に関するお客様の報告を受付しました。
お客様の異議申し立てを確認し、次のステップについて改めてメールでご連絡いたします。これには最大7営業日かかる場合があります。
加盟店にお問い合わせされましたか？
まだ加盟店にお問い合わせされていない場合は、できる限り早くご連絡いただくことをおすすめします。加盟店でより早く問題を解決できる場合があります。また、万が一チャージバックを提出する際にも加盟店へのお問い合わせが必要となります。
異議申し立てのステータスを確認するか、キャンセルしますか？

というメッセージが3件返ってきた。その後待っていると12月3日に以下のメールが返ってきた。

Takayuki様、お世話になっております。

ディスピュートフォームにご記入いただきありがとうございます。

ご迷惑をおかけして申し訳ございません。フィッシング詐欺の被害に遭われたようです。
フィッシング詐欺の詐欺師はあなたを騙して、銀行口座番号、パスワード、クレジットカード番号などの個人情報を漏らそうという目的です。

資金を思い出しようとしましたが、失敗しました。

ご報告いただいた取引は 3D セキュア -承認されました。つまり、お客様（カード所有者）は追加のセキュリティを介して承認されたことを意味します。携帯電話に送信されたSMSコード、または登録されたデバイスに発行されたプッシュ通知。これがそれに応じて通過しなかった場合、取引は処理されていないはずです。Send/Flutterwave への支払いを承認しますかというメッセージが明確に示されています。

取引は https://flutterwave.com/usにあり、に関連するものではなく、別の送金サービスでbooking.com す。

彼らに対してチャージバックを提出した場合、彼らがを資金転送するサービスを提供したことを確認することで拒否されます。

最初の手順として、メールで決済処理会社に直接お問い合わせいただくことをお勧めいたします。
https://dispute.flutterwave.com/ 、この事件を不正行為として報告し、取引を取り消すよう依頼してください。

以下をご提供ください。
取引の詳細
取引の詳細

 カード名義人のお名前: Ubiquitous Lifestyle Laboratory.LLC
 カード番号: 5327-75XX-XXXX-9443
 マーチャント名：送信
 ARN:   05316863320000000260499
 承認日: 2023年11月15日 16:57:20 UTC
 獲得金額: 234EUR

取引の詳細

 カード名義人のお名前: Ubiquitous Lifestyle Laboratory.LLC
 カード番号: 5327-75XX-XXXX-9443
 マーチャント名：送信
 ARN:   05316863320000000261174
 認証日: 2023年11月15日 16:59:24 UTC
 獲得金額: 234EUR
取引の詳細

 カード名義人のお名前: Ubiquitous Lifestyle Laboratory.LLC
 カード番号: 5327-75XX-XXXX-9443
 マーチャント名：送信
 ARN:   05316863320000000261935
 Auth日: 2023年11月15日 17:02:17 UTC
 獲得金額: 234EUR

彼らがお手伝いできず、さらに進めたい場合は、お住まいの地域の消費者保護代理店と警察に連絡することをお勧めします。彼らには、資金を取得するために取ることができるより多くの方法がある可能性があります。弊社では常に警察からの連絡がありましたら、調査のお手伝いをさせていただいております。Wise カードに関する詐欺が発生した場合、カード発行会社 Visa または MasterCard に報告します。

また、こちらを Booking.com に報告して、名前が誤って使用されていることをお知らせいただくことをお勧めいたします。

改めまして、今回はこれ以上のお手伝いができなかったことをお詫び申し上げます。

よろしくお願いいたします。

自動翻訳感が半端ない。「資金を思い出しようとしましたが、失敗しました」は、結局取引取消に失敗したということと解釈した。また、メッセージから読めるのは2要素認証で私自身が承認しているのでWISEには責任は無いという主張を理解した。もちろん、自覚しているので異議はないがそれで引き下がる訳にはいかない。私もWISEの責任だとは思っていないが、取引のトレースに協力する義務はあると思っている。ここで、flutterwaveの名前が出たのでググるとほぼドンピシャの記事があった。

Money stolen / Scam via Booking.com / Flutterwave
Hi All,

I had a hotel booking through booking.com, for an hotel in Holbox, Mexico. The hotel was supposed to charge me for the reservation 3 days before arrival, in mid August. On Friday, 23/07, however, I received a message from the hotel via the booking.com messaging platform, asking me to verify my card details via a link, in order to confirm the reservation and that no money would be taken. I was told that I had 24 hours to do it otherwise the reservation would have been cancelled. Note that I had already interacted with the hotel via the messaging platform of booking.com for other purposes so I trusted it. This Saturday morning hence I confirm my card details and as a result I am charged three times on my debit card. Money were sent to "Flutterwave" apparently. Given that I got charged three times I contacted immediately the hotel, booking.com and Revolut (my bank). Hotel confirmed that booking.com had been hacked. For this reason, I immediately blocked my card and asked Revolut for a chargeback given the transaction was fraudulent. Revolut rejected my chargeback request, claiming that they cannot do it given I was the one confirming the transaction via the app / 3DS.

Note that the malicious link where I added my card details already knew details of my reservation, including beginning and end date, reservation code, my name and surname and EUR amount to be paid.

Has anyone been in the same situation and solved the issue / recovered the money? I believe Revolut handled the case really badly and unprofessionally in my case, completely avoiding to cooperate. I already reported the case to Action Fraud as well.

To help other users, the malicious link had the following format https://booking.approve-reservation.info/reservation/ followed by my reservation code.

Any help or advice would be much appreciated.

Thanks!

この記事には、どうやって解決したという記述は見当たらないが、まあ類似の事例があるということで、まだやれることはあるだろうと考え、https://dispute.flutterwave.com/ で報告しようと思うが、上げられない。何度も再挑戦してもだめだったので、メールのコンタクトポイントから送ると、12月4日に返信があった。その後10往復ほどのやりとりがあって、結局12月6日に「Please be informed that we are unable to trace these transactions with the details shared. Kindly lodge a complaint with the card issuer.」ということで再びWISE差し戻しとなった。

WISEに連絡すると、いろいろやりとりを経て、12月13日に「また、 Booking.com にご連絡いただくことをお勧めいたします。彼らから払い戻しを受けることができます。」というメッセージが返ってきた。

Booking.comの電話窓口に連絡すると、もう事態は把握されていて、後必要なのはWISEからの公式文書だけだと言われた。

翌12月14日にはWISEから公式文書（全4ページ）が得られた。

画像

それをBooking.comに提出すると翌12月15日になって返金メッセージが返ってきた。

画像

居住国が日本なので円に換算され、￥109,358となった。為替差益や差損はあるとは言え、約11万円の詐欺被害を何とか回復できたのは幸いであった。

まとめるとBooking.com予約に関する詐欺にあった私の場合は、

1. 受け取り先（ホテル）に確認する
2. カード会社に確認して振込先（責任事業者）を特定する
3. 詐欺への振込に関与した責任事業者に取引を追求してもらう
4. 責任事業者がギブアップ
5. カード会社がギブアップ
6. Booking.comに対応責任を求める
7. 書類を整える
8. 被害額の損失補填をBooking.comから受ける

というステップとなった。

今後類似の詐欺攻撃に会われる人がでないことを願うが、万が一被害にあった人が生まれた時にこの記事が参考になれば良いと思って書いた。