チャットボット、セレブ、繰り返し狙われる被害者:暗号資産プレゼント詐欺がいまだに横行する理由
編集・協力:Tricia Howard
エグゼクティブサマリー
Akamai の研究者は、Elon Musk 氏とその関連企業などのセレブやブランドになりすます、さまざまな暗号資産プレゼント詐欺キットを監視してきました。こうした詐欺行為は、各種ソーシャル・メディア・プラットフォームや WhatsApp、Telegram などのダイレクト・メッセージング・アプリを通じて行われています。
詐欺キットは、カウントダウンタイマー、ライブチャット機能、ボットなど、ありとあらゆるソーシャルエンジニアリング手法を悪用して、「入力を補助する」ボットから「プレゼント」へと誘導します。
IP アドレスに基づくと、キットの大部分はロシアやその他のヨーロッパの一部から発信されていると見られます。
キットの中には被害者の情報や被害者の訪問先サイトに関する情報を攻撃者に提供する機能を持つものもありました。
大半のキットは技術的な仕組みが比較的シンプルであるにもかかわらず、詐欺のさまざまな角度における巧妙さのレベルが高いことから、こうした暗号資産詐欺の収益性が依然として高い理由がうかがい知れます。
はじめに
フィッシングなどの詐欺を阻止するために、長年にわたる戦いが続いています。市井の セキュリティ弱者 から IRS(アメリカ合衆国内国歳入庁)まで、攻撃者の標的はその都度変わりますが、詐欺の基本的な仕組みは 20 年前と変わっていません。フィッシングの被害者は、 時事問題や個人の状況、感情的な反応を利用しようとする詐欺師の、まさに餌食となっています。
こうした詐欺は広く知られているにもかかわらず、被害は一向になくなる気配を見せません。暗号資産詐欺の被害額だけでも 2021 年以降、10 億ドルを超えており、暗号資産が今以上に社会に定着すれば、この額はさらに増えると予想されています。
ここ数年、暗号資産とソーシャルメディアは、詐欺師にとって格好の狩場となっています。攻撃者はブランド、有名人、その他の人々になりすまして偽のアカウントを作成します。そこで、Akamai では人々やブランドになりすまして楽観的な被害者から暗号資産を盗むことに成功した詐欺キットを分析し、暗号資産プレゼント詐欺の標的にならないためにできることをまとめました。この記事では、技術的な観点から詐欺キットを調査し、注意を喚起したいと思います。
暗号資産プレゼント詐欺とは
暗号資産プレゼント詐欺とは、ソーシャルメディアやフィッシングキャンペーンを悪用し、暗号資産愛好家に信頼させる詐欺の一種です。一般的な方法としては、莫大な資産のある著名人になりすますことが知られています。たとえば、 Elon Musk 氏は多くのフォロワーを持ち、暗号資産コミュニティーにおいて大きな存在感を示していることが知られています。
詐欺を合法的に見せるためのテクニックはいくつかあります。例としては、その時々でのコインの人気を利用する、有名人やブランドを不正に利用する、 YouTube アカウントを乗っ取る、 偽コインを作る、さらには 直接会って話をする、などが挙げられます。
暗号資産プレゼント詐欺の仕組み
詐欺に使用される媒体はさまざまですが、詐欺の基本的な方法は同じで、大抵は標的をキットサイトに誘い込み、暗号資産を詐欺師の懐に転送するように誘導します。
詐欺の実行
暗号資産詐欺のやり口にも、さまざまなレベルがあります。最も一般的なのは、Twitter、Telegram、YouTube などのソーシャル・メディア・プラットフォームを利用する方法です。攻撃者が悪用する手法とソーシャルエンジニアリングが双方進化した結果、大勢のオーディエンスに働きかけることができるようになり、攻撃の成功率がますます高まっています。
狙いは、正当性を自分自身で確認しなくてもいいと被害者に思わせるほど十分な信頼関係を築くことです。
その一例が図 1 です。このスクリーンショットを見ると、詐欺師がなりすましている人物(Elon Musk 氏)が、詐欺師が誘導するリンクに太鼓判を押しているかのように思えてしまいます。ただし、Twitter アカウントを見れば、それがウソであることがすぐに分かります。そこで、標的となる被害者にアカウントのチェックをさせない工夫をするのです。
図 1:暗号通貨詐欺が合法であるかのように見せかけるツイートのスクリーンショット
正規の人物や団体が作成した長いスレッドに返信するのも、一般的な詐欺の手口として知られています。最初のツイートが暗号資産とまったく関係のない内容だったとしても、偽装の標的となった人物が暗号資産に熱心であることで有名なら、そのフォロワーも自然と暗号資産に関心を持ちやすくなります。正規のツイートへの返信には、フォロワーの多さを利用して幅広く拡散する、なりすました人物や団体との関係者であることを装う、という 2 つの目的があります(図 2)。
図 2:詐欺をさらに拡散させるツイートの例
また、WhatsApp や Telegram などのダイレクト・メッセージング・プラットフォームを介して拡散する手口もよく用いられます。こうしたアプリケーションのプラットフォームでは、さまざまな関心を持つ大きなグループがあり、暗号資産はその中でも人気のテーマとなっています。攻撃者はこうしたグループに侵入し、参加者、関連する有名人、またはその周辺にいる人物を装って、詐欺のリンクを投稿します(図 3)。そうした投稿は非常にうまく偽装されています。中には「入力を補助する」ボットが仕込まれていることもあります。
図 3:WhatsApp や Telegram を通じて拡散される詐欺の例
詐欺キットサイト
攻撃者はソーシャルエンジニアリングと人々の暗号資産に対する大きな期待感を悪用し、詐欺の収益性を高めてきました。攻撃者は、コインの人気、有名人などの知名度、特定の組織との関係性といった業界の既成事実を悪用し、非常にリアルなフィッシングキットを作成します(図 4)。
図 4:暗号資産詐欺キットサイトの例
こうしたサイトは、アクセスしてきた人間の信頼を勝ち得るように仕組まれています。図 4 は、英語の表現がぎこちないことを除けば、正当なサイトに見えます。従来のテキストメール詐欺とは大きく異なり、「コンテストに参加する」ユーザーのためにライブチャットボットによる「技術サポート」まで用意されています。
こうした詐欺の手口の中には、正規のマーケティングキャンペーン用ランディングページを魅力的な外観で偽装する方法、「リアルタイムのカウントダウンタイマー」で人々に取り残されるプレッシャーを掛ける方法、関連するセレブの「お墨付き」を見せる方法など、さまざまなレベルが存在します。これは、いかに詐欺の収益性が高いかという証しでもあります。
慣れた人なら、すぐに詐欺だと気づくかもしれません。しかし、平均的なソーシャル・メディア・ユーザーは容易にだまされるでしょう。詐欺自体、見る者を信じ込ませるように巧妙に作られています。このキットでは、コンテストに一度だけ参加できるようにするために「認証」が必要です。被害者は、認証フェーズが完了したらすぐにお金を受け取れると思い込み、暗号資産を送ってしまいます。攻撃者はその資産を奪い取り、次の被害者に標的を移します。
ダーク Web 上で配布された詐欺キットの技術的な分析結果
こうしたキットは見た目こそ非常に洗練されていますが、その背後にあるコードは非常に単純です。私たちが観察したキットは、機能セットに多少の差異はありましたが、バックエンドが比較的シンプルなものばかりでした。キットには HTML と JavaScript が混在し、次の要素が含まれています。
Web サイトで Smartsupp Live Chat サービスを初期化してセットアップするスクリプト(図 5)
ビットコインアドレスと Ethereum アドレスの 2 つの値を非表示で入力
ライブデータを表示してもっともらしさを演出することを目的とした「coinlib.io」の暗号通貨ウィジェット用インラインフレームをはじめとする、スタイリングと表示のための HTML 要素
分析したキットの中には、被害者の情報を収集し、攻撃者が所有する Telegram チャネルにプッシュするものもありました。これは、次回の詐欺で被害者をもう一度標的にするための方法と考えられます。
図 5:Smartsupp ウィジェット
図 6:Telegram ボットのコード
図 6 に示すように、攻撃者は IP API 情報アトリビューションを使用して、自分の Telegram ボットにプッシュします。よく見ると、ロシア語で「Tesla の Web サイトにアクセスしました」というメッセージが記載されています。
キットに含まれるビットコインと Ethereum のアドレスを調べたところ、 被害者からの支払いを受けるために使用されていた可能性が高いことがわかりました。 図 7 と図 8 にあるように、ウォレットを見ると、受け取った資金が合計 0.3BTC(検証時は 0.31ETH)となる少額取引を複数回行っていることがわかります。
図 7:暗号資産詐欺キットでビットコインを詐取したウォレットのスクリーンショット
図 8:複数の暗号資産詐欺からウォレットに取り込むイメージ
この数か月は、Smartsupp Live Chat サービスで詐欺キットが悪用されるケースが目立ってきています。これは、Web サイトの所有者が(ニセの)カスタマーサポートを提供しようとしていることを示し、ユーザーからの信頼を得ようとする手口です。たとえ被害者がこのサービスを利用しなくても、その存在を知ることで無意識に信頼が生まれます。最近では、サイト訪問者向けのタッチポイントとしてチャットボットやライブチャットを設置することが一般的になっているため、Tesla を名乗る組織が同様のものをサイトに設置していれば、怪しいと疑われない可能性が高くなります。標的の被害者が過去に正規のサイトを訪問した際、チャット機能が備わっているのを見たことがあれば、なおさらです。
このようなキットの中には、被害者がこれまでアクセスしたサイトの情報を攻撃者に送信するものもあります。これは、攻撃者が複数の詐欺を実行中で、「顧客ベースの構築」を進めていることを意味します。そうすることにより、被害者をまた別の詐欺で標的にしたり、被害者の情報を他の攻撃者に渡したりすることができるのです。また、複数の詐欺サイトを追跡して、最も利益の出やすいサイトを特定することもできます。このような詐欺は合法的なマーケティング慣行を模倣しているため、それと似た運用方法になるのも当然と言えます。
実際に発見された攻撃者のキット
IP アドレスに基づくと、私たちが観察した詐欺キットのほとんどはヨーロッパから発信されており、発信元は主にロシアに集中していました(図 9)。この方法では、攻撃の発信元を特定することはできませんが、その地域で観察された他のサイバー活動と相関していると思われます。また、オランダ、オーストリア、イタリア、ドイツ、ウクライナから発信されていると思われるものもいくつかあります。これは社内のデータソースと Shodan.ioなどのスキャンツールによって検知されました。
図 9:観察された詐欺キットの発信元はほとんどがヨーロッパで、主にロシアに集中
暗躍しているキットの例
https://tesla-show{.}net
https://elongivex{.}space
https://teslaevent{.}tech
https://tesla-m{.}com
https://spaceX-crew6{.}com
暗号資産プレゼント詐欺の被害を受けない方法
こうした詐欺キットは、成功が続く限り次々と現れます。被害者にならないためには、不正サイトに対して警戒するしかありません。図 10 のような 暗号資産プレゼント詐欺を見破る目が、詐欺に対抗する決め手となります。注意すべき危険信号をいくつかご紹介します。
無償のプレゼントなど有り得ない!何かを無償提供すると書かれているサイトには細心の注意を払ってください。正規のサイトでも、真の意味で無償プレゼントを配ることはありません。話がうますぎる、と思ったときは、十中八九詐欺です。
見知らぬ人に暗号資産を送信しない:ソーシャルメディアで誰かが暗号通貨と引き換えに報酬を約束しても、資産を送信してはいけません。ほぼ詐欺で間違いありません。
アカウントの検証ステータスを何度も確認する:最近、Twitter では検証方法が変更され、プラットフォーム上で人物や団体が正規のものか不正なものかを見きわめることが難しくなりました。青のチェックマークだけでは不十分ですが、まずはそこからチェックしてください。Twitter の 検証ポリシー ウェブサイトで詳細を確認できます。
ユーザー名を確認する:有名人のなりすまし + 「ソーシャルメディア」で検索するだけで、公式アカウントが表示されます。公式アカウントのユーザー名と、あなたとやり取りしているユーザー名が異なるなら、そのユーザーは偽物です。
アカウントが新しい:セレブな人たちは、何年も積極的にソーシャルメディアを利用しています。表示されているアカウントが新しいものである場合は、偽のアカウントの可能性があります。
自分で調べる:正規のプレゼントも無いことはありませんが、常に疑ってかかることをお勧めします。規模の大きな団体が正当なプレゼントを提供する場合、複数のプレスリリースとアナウンス記事が公開されるはずです。それが見つからなければ、詐欺の可能性があります。また、Google でアカウントや電話番号を検索し、他の誰かがそれを詐欺だと報告しているかどうかを確認することも良い方法です。
プレゼント詐欺に遭遇した場合は、プラットフォームと当局に報告してください。不正行為を報告することで、他の人がだまされるのを防ぐことができます。
図 10:暗号資産詐欺ページの例
結論
プレゼント詐欺は、ソーシャルメディア上で大きな問題になりつつあります。詐欺は主に 2 つの感情要素に訴えます。1 つは FOMO(有益なことを見逃しているのではないかという焦燥感)、もう 1 つは 大きなチャンス、たとえば人生を変えるような金銭的な利益などです。さまざまなソーシャルエンジニアリングの手口と組み合わせた詐欺を見ると、人はオンライン上で警戒すべき点を無視してしまうのが常のようです
しかし、よく目をこらせば、こうしたキットを見破るのは比較的容易です。詐欺にだまされるのを回避し、暗号通貨の安全を保つためには、攻撃者が使う新しい手口についての知識を常に取り入れることが不可欠です。思い出してください。話がうますぎる、と思ったときは、十中八九詐欺です!
さらに詳しく
Akamai の研究者は、こうした詐欺や悪性のアクティビティを常に探しています。セキュリティ領域での最新の調査について知りたい方は、 Twitter で Akamai をフォローしてください。
侵害インジケーター:
