Revolutの物理デビットカードを不正利用された。利用凍結・チャージバック(返金)・再発行するまでの流れをメモしておく。
(2023/05/03追記: リアルカードによる不正利用多発のため、対策を追記)
不正請求の発覚
ある日Revolutの通知を見ると、身に覚えのない請求が来ていた。
請求元を調べてみるとイスタンブールにある5つ星ホテル。まったく記憶にない。リアルカードの現物は日本の手元にある。
もしかすると、トルコ旅行で使った時のカード情報が不正アクセスなりなんなりで流出したのかもしれない。1トルコリラ=8円という少額決済も有効性確認のためと推測。たとえ8円の決済でも、放置したら多額の決済に使われかねない。
不正請求された後にしたこと
1. カードの凍結
まずはカードの凍結。アプリを開きカードタブ→凍結したいカードを開く。凍結ボタンを押せばこれ以上の不正利用はできなくなる。
ワンタップで凍結解除もできる。
2. チャージバック(返金)の請求
チャージバックとは、VisaやMasterといったクレジットカード会社側が売上を取り消して利用者に返金する処理のこと。
チャージバックとは、次のような問題が発生した取引に異議を申し立てるプロセスです。
- ご利用店が、商品またはサービスを説明どおりに提供しなかった(または全く提供しなかった)
- ご利用店とやり取りする際にエラーが発生したため、料金が間違っていた(二重料金や、通貨が間違っているなど)
- 取引が詐欺行為だった
チャージバックは最後の手段であり、解決に時間がかかる傾向があるため、問題を解決するためのその他のオプションをすべて使い果たした後にのみ(ご利用店に連絡するなど)、チャージバックをご依頼ください。VisaとMastercard は、チャージバックを提起するためにご利用店に連絡を試みたという証拠を必要とするため、これは詐欺以外のケースで特に重要です。
チャージバックとは何ですか? | Revolutヘルプセンター | Revolut JP
「最後の手段」と書いてあってびびるけれど、これは実際に店舗とやり取りした場合はカード会社じゃなくて店舗と交渉してね、という意味。
不正利用は詐欺に該当するので、即チャージバック申請していい。
まずアプリの「アカウント」タブから不正請求の履歴を開き、一番下の「問題を報告」に進む。
以前に利用したことのない店舗からの請求であれば、「このオンラインショッピングは、本人の許可なく誰か別の人によって行われました」を選択。
「本当に身に覚えがないか確認してくれ」とのメッセージが出る。過去に決済した心当たりのある事業者であれば連絡したほうが良いだろうと。今回は身に覚えがないし、このホテル名義が本当かどうかも怪しい。なので特に連絡はせずボタンをタップしてチャージバック続行。
「返金手続きを提出した段階でカードは利用停止」になる旨のメッセージ。不正利用されたからには再発行は避けられないのでそのまま「このフォームを提出した時点で、カードが使用停止になることを認めます」で続行。
第三者にカード番号を教えたことはあるかと聞かれる。「いいえ」を押して進む。
追加情報を求めるフォームが出てくる。これが一番迷ったところ。追加情報と言いつつ必須入力というので何を書けばいいのかわからない。請求元に連絡しているのならそのやり取りを書けばよいのだろうけど、今回は連絡していない。
というわけで、「身に覚えのない請求で、誰かに不正利用された」という旨を書くことにした。日本語も通じそうだけれど、少しでも処理が早くなればと英語で。「There is a charge on my card bill that I don't recognize. Someone has made a purchase with my card. 」と記載して提出。
3. カードの再発行申請
利用停止直後から新しいカードの申請がアプリ上でできる。「カード」タブから発行したいカードを新規発行時と同様に申請。
チャージバックのプロセス完了を待つ必要はない。リアルカードの場合はイギリス発送のため1-2週間くらいはかかる。私の場合は9日間で届いた。届くのを待つ間もバーチャルカードは使える。
4. チャージバック(返金)プロセスの確認
チャージバックのプロセスは請求履歴から確認できる。
最大45日かかる、と書いてあって気長に待つかと思っていたけれど。1日で認可され、返金された。8円と少額だったこともあるかも。
不正利用対策 (2023年5月3日 追記)
5月1日頃から大規模な不正請求攻撃が相次いでいる。リアルカードを中心に、バーチャルカードでも被害が出ている。
過去行われたカードの強制再発行時にできた、同時期の有効期限を持つカードに総当りしている可能性が高いとのこと。
取り急ぎの対策をまとめてみた。
使わないときは凍結(最も確実)
アプリのカードタブ→凍結したいカードを開く→凍結ボタン。利用する際は凍結解除ボタンを押す。
特にリアルカードは凍結しておいたほうがよさそう。
再発行まで時間がかかるし、再発行してもまた期限が均一になってしまいかねないので。
オンライン決済の無効化(リアルカードのみ)
アプリのカードタブ→設定したいカードを開く → 設定 → 「オンライン取引」をOFFにする。
リアルカードをリアル決済でしか使わない場合は設定しておいて損はない。
ただし、確実に不正利用を防げるわけではない。実店舗決済扱いで不正利用する場合がある。使わないときには凍結するほうがより確実。
ロケーションベースのセキュリティの有効化(リアルカードのみ)
アプリのカードタブ→設定したいカードを開く → 設定 →「ロケーションベースのセキュリティ」をONにする。
「ロケーションベースのセキュリティ」とは、決済された場所と、現在の位置情報を照らし合わせて不正利用を検知する機能。
ただし、これもオンライン取引の無効化と同様に確実に不正利用を防げる保証はない。
加えて実用的にも若干不便になる可能性あり。支払い時に位置情報がズレてたり、決済住所が店舗ではなく本社等でズレていたりすると決済が却下される場合もあるとのこと。
やはり使わないときに凍結するのがより確実。
感想
不正請求時の凍結・返金・再発行の手続きがアプリですべて完結するのは便利。特に海外旅行中とかで国際電話がままならない時には便利だろう。以前ベトナム旅行中にエポスカードが不正利用された時にSkype経由でコレクトコールだのなんだの苦労したので。
逆に言えば、アプリがない状況になるとちょっと面倒かもしれない。
RevolutのWebアプリからは返金申請はできなさそう。スマホもカードもまとめて紛失したときとかはちょっと大変かもしれない。とはいえ凍結はWebだけでもできるから、盗難とかに遭っても被害を抑えやすいようにはなっている。
Revolutは海外旅行や外貨決済向けのカードとしてこれからも使い続けようと思う。
今日はこのくらい。
◯今日の過去記事◯