壊れた夢と貯金箱: Pig Butchering 仮想通貨詐欺がネット上で拡大

重要ポイント

• プルーフポイントでは、Sha Zhu Pan (殺猪盤) として知られる複数の脅威を追跡しています。これは、詐欺のプロセスを、豚を育てて殺す様子にたとえて「Pig Butchering (豚の屠殺)」とも呼ばれています。
• これらは、ロマンス詐欺に似た、人と人との信頼を悪用した脅威です。
• 攻撃者は、被害者を誘い出し、偽の仮想通貨交換所に仮想通貨を預けさせます。そしてその仮想通貨を持ち逃げするのです。
• これらの脅威は通常、プロの詐欺師からなる大規模な集団によって管理されています。
• 出会い系アプリやソーシャルメディアプラットフォーム、またはテキストメッセージで始まることもあります。
• プルーフポイントのリサーチャーは、この 3 か月間、数多くの攻撃者と関わり、この拡大する脅威に対抗するための検知機能を開発しました。攻撃者とおこなったやり取りからは、攻撃者は標的の選択段階でほとんど予備調査を行っていないことが分かります。
• 攻撃者は、リンクをクリックしないように訓練されています。追跡リンクを送った場合には、攻撃者が気づき、リサーチャーはだいたいブロックされました。

概要

こんにちは。そして、ようこそ。このブログを読んでいるあなたは、とても賢く、技術に精通している方なのでしょう。私たちはきっと友達になることができます。友達以上になれるかもしれません。私の叔父はソーシャル エンジニアリングについて教えてくれました。彼はとても教養が豊かで、あなたにいろいろなことを教えてくれると思います。私の叔父と一緒に会話をするために、このチャットを WhatsApp に移しませんか。そうすれば、彼と「Sha Zhu Pan」(別名「Pig Butchering」) の話をすることができます。

詐欺の手口

殺猪盤 (Shāzhūpán)、別名「Pig Butchering (豚の屠殺)」の脅威は、中国での流行を発端として、やがて東アジアの他の地域、そして最近では英語圏の国々にも広まるようになりました。

米国連邦捜査局 (FBI) は、2022 年 4 月、非常に流行している仮想通貨を利用したソーシャル エンジニアリングのスキームについて詳しく説明した勧告を発行しています。 この種の攻撃を受けた被害者の多くは、数千ドルから数百万ドルを失ったと報告しています。 Pig Butchering キャンペーンの被害者によって創設された Global Anti-Scam Organization (GASO) によると、平均的な被害額は約 12 万 2000 ドルで、被害者の 3 分の 2 は 25 歳から 40 歳の女性と言われています。

この脅威は、ソーシャルメディア上の魅力的な見知らぬ人物との無害な会話から始まります。彼らは電話番号を間違えているふりをしたり、いきなり挨拶をしてくることもよくあります。そして、褒めちぎる言葉やランチの写真の合間に、レストランや美容室、ネイルサロンなど、自分がどのようなビジネスをしているのかについて話し始めるのが一般的です。これが指南役との出会いです。

ターゲットと数日間話をした後、攻撃者は、自分がいかに旅行や贅沢を楽しんでいるか、またそれは友人や親戚 (親切な叔父など) の助言者の賢明な指導なしにはできなかったことを話すでしょう。

被害者が Twitter、LinkedIn、Tinder などのソーシャル メディア プラットフォームを利用している場合、Telegram や WhatsApp に会話を移動させることを提案し始めます。 「もっとプライベートな話をしよう」といった思わせぶりな言葉でターゲットを誘い、きわどい「自撮り写真」を送りつけ、被害者にお返しとしていかがわしい写真を送るように仕向けます。

そこで、友人関係として会話を続けることもあれば、ロマンス詐欺のように話を切り替えて、きわどい写真や動画を要求することもあります。攻撃者は、十分な信頼関係が構築されたと感じると、被害者を「助言者」と話をするように誘います。お金の稼ぎ方を教えてもらえるというのです。

子豚はご馳走を食べた

詐欺の次の段階は、攻撃者の好みに応じて変化します。指南役や「親切な叔父」は、被害者に仮想通貨投資のホワイトペーパーを送ったり、Coinbase や Crypto の口座開設を手伝ったりすることもあります。被害者がまだ仮想通貨ウォレットを持っていない場合、それを手配することは、この詐欺の不可欠な部分です。詐欺師は、被害者と一対一でやりとりすることもあれば、WhatsApp、Discord、Telegram などのチャットグループに被害者を招待することもあります。このようなグループでは、他の何十人もの人々が「プランアナリスト」のアドバイスに従ってお金を儲けています。プランアナリストには、個人またはグループチャットを運営し、仮想通貨に関するアドバイスを提供することで、不正行為に信用を持たせるという役割があります。

プルーフポイントのリサーチャーは、WhatsApp や Telegram に移動すると、プライベートな仮想通貨取引グループへの招待を受けるようになりました。また、他の Pig Butchering 攻撃者が頻繁に接触してくるようになりました。攻撃者のほとんどは、リサーチャーがすでに既存のグループに属していることに気付いていないようでした。攻撃者のコンタクトリストが、何の脈絡も関係の強化もなく共有されているように見えます。

最終的に、被害者は全員、偽の仮想通貨 Web サイトやモバイルアプリケーションに誘導されます (以下の例を参照)。攻撃者は被害者に、Coinbase.com や Crypto.com で少額の仮想通貨 (通常は Tether (USDT)) を購入するように指示します。攻撃者は、被害者に口座のスクリーンショットを送らせて、指示どおりに動いていることを確認し、その後さらに指示を出すための土台作りをします。被害者は、設定された時間内に偽の仮想通貨サイトを使用して特定の金額 (通常は 1,000 ドル未満) を購入するように指示されます。

被害者が応じると、口座残高にほぼ即座に 10〜20% の利益が入るという「見返り」があります。しかし、この報酬はでっち上げであり、資金はすでにプラットフォームから攻撃者のウォレットに入っているのです。指南役は祝ってくれますが、仮想通貨は非常に不安定な投資であると言って注意を促します。とはいえ、「プラン」を継続するなら、もっと儲かると言います。被害者が攻撃者を完全に信頼し始めるまでの時間にもよりますが、このような 1000 ドル未満の購入が少しの間続きます。そしてその間は、被害者の口座の残高は増え続けます。攻撃者は、信頼を得ると、「そろそろ投資額を増やす時期だ」と被害者に話します。攻撃者は、報酬に反応するように人々の行動を訓練する「古典的条件付け」と呼ばれるよく知られた行動手順をとっています。この場合、偽のプラットフォームに少額を投資し、一見正当な払戻金を何度も受け取ることで、より大きな投資をすることが論理的に感じられるようになります。

子豚は市場に向かった

被害者がプラットフォームの利用に慣れ、口座残高が増えれば、つまり屠殺用語で言う「丸々と太れば」、より大きな投資を行うよう促されます。攻撃者は、被害者にローンを組ませたり、住宅ローンの借り換えをさせたり、保有する株を売却したりするように勧めます。

被害者が心配になったり、お金を引き出そうとしたりすると、攻撃者は少額の引き出しを許可し、残りは税金や国際法のために残しておかなければならないと説明するなどして、被害者をなんとかなだめようとします。

この方法が失敗すると、攻撃者はもっと高圧的な戦術を利用します。 被害者の中には、以前共有してしまったいかがわしい写真や動画を公開すると脅されたり、税金詐欺で被害者を通報すると脅されたり、口座を閉鎖する前に料金を支払えと言われたりした人もいます。結局、被害者の口座にお金が戻ってくることはほとんどありません。攻撃者は、Web サイトとドメインを閉鎖し、次の犠牲者のために新しいドメインを設定します。

そして屠殺場へ

Pig Butchering 詐欺は英語圏では比較的新しい傾向ですが、東アジア、特に中国では何年も前から流行しています。これらの犯罪集団は、仮想通貨を使った誘い文句の他に、金、FX、株などを使って被害者から搾取をおこなっています。「屠殺」に至るまでの親密な会話が、このようなたくらみを成功へと導く鍵です。完全に罠にはめる前に、感情操作と親しみやすい口調で、じっくり時間をかけて、信頼感情を築いていきます。そして、その感情につけ込んで、被害者を操作します。また、信頼していた人にだまされたり裏切られたりしたことを恥ずかしく思い、家族や友人、また警察にも話したくないという心情も、この種の被害が過少報告される一因となっています。 被害者の中には自殺を考える人さえいます。この種のソーシャル エンジニアリングを利用して被害者を搾取する攻撃者にとって、ロマンス詐欺と同様に、恥ずかしさときまり悪さを感じさせることが大きな狙いです。被害者は被害にあったことを秘密にするため、攻撃者の計画は長続きすることになります。

攻撃者が成功するもう一つの理由は、犯罪集団の規模が非常に大きいことです。GASO によると、よく練られた臨機応変な台本を作成するために多くの人が雇われています。新たに人がだまされるごとに、その台本に磨きがかかっていきます。新人は、台本にないことが起きたときの対処法をトレーナーから指導されます。以下は、当社のリサーチャーが受け取った、台本からコピーペーストされたチャットの例です。誤って中国語原文が貼り付けられたものです。

これらの組織の内部関係者を名乗る人物から、訓練用文書とされるものがネット上に流出しました。

Web サイトやアプリの立ち上げは、そのスピードがプロ並みであることを考えると、IT スタッフを雇っているようです。攻撃者は、リンクをクリックしないように訓練されているようです。リサーチャーが IP 情報や位置情報を取得できる URL を送信すると、攻撃者が気づき、リサーチャーはだいたいブロックされました。

こうした攻撃者の中には、自ら進んで犯罪行為に加担する者もいますが、多くは自ら望んだわけではない被害者であることが報告されています。 Vice の最新の報告によると、カンボジアにおける Pig Butchering 詐欺の実行者の多くは、人身売買の被害者であり、違法行為を強制する人物によって、自らの意思に反して拘束されています。 最近、カンボジア当局は、人身売買や奴隷労働に基づく不法就労形態の取り締まりを発表しました。

私の小さな光

最近、この種の詐欺の増加が懸念されています。注目されすぎたため、攻撃者は新たな市場に方向転換することを余儀なくされています。このことは、英語圏での報告件数が増加していることや、ソーシャル メディア プラットフォーム上で受信される Pig Butchering メッセージの誘い文句が増加していることの説明になると考えられます。このような行為に光を当てることで、犯罪者たちを暗い穴の中に追い返すことができるのです。

教育は、ソーシャル エンジニアリングを利用した脅威に対する基本的な防御策ですが、残念ながら絶対確実なものではありません。これらの取り組み全体を通じて、プルーフポイントのアナリストは、悪意のある仮想通貨サイトとそのメール検証ドメインを、ブロックリストとプルーフポイント脅威検知ルールに追加してきました。また、悪意のある仮想通貨サイトを検出するために、Emerging Threats ネットワーク IDS 検知機能が開発されています。

Pig Butcher を見分ける方法:

• 3 P (Pretty Polite People：かわいく礼儀正しい人) から、メッセージが突然送られてきます。

• 「こっちのほうが安全だから」という理由を付けて、プラットフォームを切り替えるよう誘ってきます。

• 仮想通貨チャットルームに招待され、以下の例のようなスクリーンショットが投稿され始めたら、すぐに退出する必要があります。

IoC / 侵害痕跡情報