ターンキー型フィッシング

年々驚異的に増加するフィッシング攻撃。最近の詐欺グループは、ターンキー型のフィッシングサービスを他の詐欺師に販売しています。その仕組みを説明します。

最近の詐欺師は、マルウェアのコード作成の専門的な知識や、洗練された詐欺の手口を考える必要もありません。今日の詐欺行為は、サービスとしての詐欺(FaaS:Fraud-as-a-Service)という形式でパッケージ化されています。そのため一般的な詐欺師は、標的を探し、財布からお金を盗むだけでいいのです。その後の作業はサービス運営者が引き受けます。

今回は、クラシファイドサイト詐欺に特化したグループを題材に、ターンキー型フィッシングとは何か、そしてそれに対する最善の防御方法について説明します。

誰がサービスを提供しているのか

犯罪組織のキーパーソンは、創設者、またはトピックスターターと呼ばれています。この人物がその他のメンバーをすべて管理します。

  • コーダー:Telegramチャネル、チャット、ボットを管理します
  • リファンダー:偽のサポートエージェント
  • カーダー:被害者の銀行口座からお金を引き出します
  • ワーカー:広告を見つけ、応答し、被害者がフィッシングリンクを開くように説得します

これらのポジションは、ほぼすべての犯罪組織の中心メンバーです。特に洗練された組織には、マーケターモチベーターメンターなどもいます。これらのメンバーはプロジェクトの宣伝キャンペーンを実施し、ワーカーに対する精神的なサポートやトレーニングを提供します。

詐欺グループのメンバーは、主にTelegramのプライベートグループやチャットを通じて連絡を取り合います。当社が調査したチャンネルには約15,000人のメンバーが存在し、そのうちメンターはわずか5人でした。それ以外は事実上全員がワーカー、つまりこの詐欺計画における「駒」です。詐欺グループのメンバーが担うその他の役割の詳細は、Securelistの調査記事(英語)をご一読ください。

ワーカーの主な武器としてのTelegramボット

ボットは、詐欺行為のプロセスの自動化に役立ちます。たとえば、詐欺師はこれを使用して独自のパーソナライズされたフィッシング広告を作成することができます。当社が発見したTelegramボットは、一度に48件もの広告を、4種類の言語で、6か所のクラシファイドサイト用に、販売者詐欺(2.0)と購入者詐欺(1.0)の2つのバージョンで作成します。

ボットが一度に2種類の詐欺のリンクを作成:販売者詐欺(2.0)と購入者詐欺(1.0)

ボットが一度に2種類の詐欺のリンクを作成:販売者詐欺(2.0)と購入者詐欺(1.0)

次に、ワーカーがTelegramボットを使用して、リンクを被害者の電子メール、メッセージアプリ、または携帯メール(SMS)に自動的に送信します。フィッシングリンクが開かれるとすぐに、ボットは「Mammoth online」というメッセージを表示します。これは、被害者が保護されていないため、その時点で詐欺がほぼ成功したことをワーカーに告げるものです。

ボットは被害者の行動すべてを詳細にワーカーに伝達する

ボットは被害者の行動すべてを詳細にワーカーに伝達する

何が起こっても即座に通知してくれる機能は、Telegramボットの優れた機能の1つです。したがって、被害者がこのおとりに引っ掛かって「商品」や「配達」の代金を支払うと、ワーカーはすぐにそれを知らされます。ボットはワーカーの分け前を計算し、資金を引き出すカーダーの名前を共有します。

「また1人引っ掛かった!」-ワーカーが新たな勝ち鬨を上げる

「また1人引っ掛かった!」-ワーカーが新たな勝ち鬨をあげる

ワーカーがすることと言えばこの程度で、お金は自動的に彼らの口座に振り込まれます。ただし、ワーカー自身が所属する犯罪組織の詐欺の餌食となっている場合は話は別です。これは珍しいことではありません。

詐欺グループの収入

ワーカーは犯罪集団の資金源です。彼らは首謀者、メンター、カーダー、リファンダーに手数料を支払っています。このプロジェクトは間違いなくドル箱と言ってよいでしょう。犯罪組織が、2023年8月から2024年4月の間に稼いだ額は、200万米ドル以上にもなります。これはあくまで詐欺師が言っているだけのことです。しかし詐欺師はどんな数字でも好きなように公表することができます。ワーカーのやる気を刺激するためなら、どんなに誇張された数字でも組織内のチャットで口にすることでしょう。

詐欺師にとって不幸な日は、人類全体にとっては幸せな日

詐欺師にとって不幸な日は、人類全体にとっては幸せな日

詐欺業者の利益は、銀行の取引限度額によって制限されています。当社が調査しているグループはスイスで活動していますが、現地の銀行規則により、一度に盗める額は15,000スイスフラン(約16,700米ドル)未満となっています。ワーカーの最低引き出し額は決まっています。関連口座の残高が300スイスフラン(333米ドル)未満であれば、カードは使いません。そうしないと、コストが収益を上回ってしまうからです。

被害に遭わないために

ターンキーフィッシング(「通常の」フィッシングとは対照的)の手法で攻撃されても、標的にとっては何も変わりません。詐欺師は詐欺師であることに変わりはなく、被害者からお金を巻き上げようとあらゆる方法を試みます。しかし、FaaSによって詐欺師の作業が非常に容易になるため、この種の詐欺は増加傾向にあります。この種類のフィッシング詐欺から身を守るヒントは、他の種類のフィッシング詐欺と同様に下記のとおりです。

  • 信頼性が高いセキュリティを使用し、フィッシングリンクをクリックしたりタップしないようにしましょう。
  • 安全なオンライン販売のルールに関する投稿をご一読ください。
  • 販売者や購入者とのチャットは、クラシファイドサイトに実装された機能でのみ行いましょう。ワーカーに個人データの詳細を見られないように、インスタントメッセージアプリに切り替えてチャットするのはやめましょう。
  • オンラインショッピングの支払いは、取引限度額が設定されたバーチャルカードでのみ行い、そのカードにリンクされた口座に多額のお金を保管しないようにしましょう。
  • 他の詐欺の手口に関する投稿を読み、詐欺の最新の動向を把握しておきましょう。
ヒント
新着記事をメールでお知らせします