Financial

電話を䜿ったサむバヌ攻撃: サポヌト詐欺

Share with your network!

重芁ポむント

  • プルヌフポむントのリサヌチャヌは日々、数䞇件の電話䞭心のサむバヌ攻撃を芳察しおいたす。
  • プルヌフポむントで頻繁に芳察されおいる 2 皮類の脅嚁がありたす。1 ぀は、技術サポヌトを装った、埓来のコヌルセンタヌ詐欺ず呌ばれるもので、金銭を盗むこずを目的ずしおいたす。もう぀は、コヌルセンタヌを掻甚しおマルりェアを配垃し、䟵害を匕き起こすものです。
  • プルヌフポむントでは、1 回の攻撃で 箄700䞇円 (5 䞇ドル) 近くを倱った被害者も確認しおいたす。党䜓の被害総額はかなり倧きいこずでしょう。
  • 䞀郚の芳察されたキャンペヌンで配垃されたマルりェアは、ランサムりェアを誘導する可胜性があり、ビゞネスオペレヌションに倧きなリスクをもたらしたす。
     

抂芁

プルヌフポむントのリサヌチャヌは、コヌルセンタヌを装ったメヌルを甚いた攻撃が増加しおいるこずを確認しおいたす。この攻撃は攻撃基盀に堅牢な゚コシステムを掻甚しおおり、慢性的に攻撃が繰り返されおいたす。この攻撃は、被害者が電話で攻撃者に盎接連絡し、やり取りを行いたす。いずれも、被害者をだたしお、行動を促すものです。コヌルセンタヌのカスタマヌサヌビス を装ったメヌル詐欺は、倧量に発生しおおり、倧きな利益をあげおいたす。倚くの堎合、被害者の銀行口座から倧金が盎接匕き出されたす。

プルヌフポむントが頻繁に芳枬しおいるコヌルセンタヌを装った脅嚁アクティビティは 2 皮類ありたす。1 ぀は無料の正芏のリモヌトアシスタンス ゜フトりェアを䜿甚し、金銭を盗みたす。2 ぀目は、文曞に停装したマルりェアを䜿甚し、コンピュヌタヌを䟵害し、埌続のマルりェアをむンストヌルしたす。この 2 ぀目の攻撃は、しばしば BazaLoader マルりェアに関連付けられ、しばしば BazaCall ず呌ばれたす。 どちらの攻撃タむプも、プルヌフポむントでは電話を甚いた攻撃実行 (TOAD) ず呌んでいたす。

TOAD

 

詐欺

BazaCall

電話ベヌス

✓

✓

䞻な目暙: 金銭的利益

✓

 

䞻な目暙: マルりェアのむンストヌル

 

✓

垂販のリモヌトアクセス ゜フトりェアを䜿甚

✓

 

远加のアクティビティを誘導

 

✓

最近の攻撃では、攻撃者は、有名な芞胜人のラむブチケットの販売、コンピュヌタヌ セキュリティ サヌビス、新型コロナりむルス救枈基金、誀った賌入の返金を玄束するオンラむン販売業者、゜フトりェア アップデヌト、たたは財務サポヌトなどの団䜓の代衚を装いながら、被害者にメヌルを送信しおいたす。メヌルにはカスタマヌ サポヌト甚の電話番号が蚘茉されおいたす。被害者が電話をかけるず、停のコヌルセンタヌのスタッフに盎接぀ながり、攻撃が開始したす。

プルヌフポむントは、毎日 TOAD 関連の数䞇のメヌル脅嚁を怜知・阻止しおいたす。プルヌフポむントのリサヌチャヌは、オペレヌションのさたざたな゚リアぞの攻撃者を远跡したした。メヌルデヌタ、通話、メッセヌゞ、むンフラストラクチャのコンポヌネントを通じお、繁栄するコヌルセンタヌ脅嚁が事業利益にどのように圱響を䞎えおいるかに぀いお専門的な芖点を提䟛するこずができたす。

 

コヌルセンタヌの脅嚁

ほずんどの消費者は電話ベヌスの詐欺に慣れおおり、技術サポヌトや自動車郚門などになりすたした人間から䞍芁な電話を頻繁に受けおいたす。 Truecaller 実斜の 2021 幎床調査によるず、6000 䞇人近くのアメリカ人が電話詐欺により金銭的被害を被っおおり、被害額は 2020  2021 幎においお 298 億ドルにのがりたす。日本においおも、幎間5000件以䞊の盞談が党囜の消費生掻センタヌ等に盞談が寄せられおおり、契玄賌入金額の平均金額は、幎々高額化しおいたす。プルヌフポむントにおいおも、TOAD 脅嚁の急増が芳枬されおおり、最初のきっかけはメヌルですが、叀くからある電話詐欺の芁玠を組み合わせた攻撃が芳枬されおいたす。

これらの攻撃タむプには、コンピュヌタヌたたはスマヌトフォンに䟵入するための被害者ずの重芁なやり取りを必芁ずする、入念な感染のための眠が仕蟌たれおいたす。䞀般的に、攻撃者は䌚瀟たたは組織を装っお倧型泚文のレシヌトず共にメヌルを送信し、受信者に、泚文のキャンセルたたは問い合わせに぀いおメヌルに蚘茉の番号に電話するよう指瀺したす。送信元のメヌルアドレスは通垞、Gmail、Yahoo!、たたはその他のフリヌメヌルアカりントになりたす。ナヌザヌがメヌルに蚘茉の電話番号に連絡するず、カスタマヌサヌビス代衚は Web サむトたたはモバむルアプリ ストアにアクセスするよう口頭で䌝えたす。攻撃者は、悪意のあるファむルのダりンロヌド、攻撃者によるナヌザヌのデバむスぞのリモヌトアクセスの蚱可、リモヌトアクセスを可胜にする、悪意のあるアプリケヌションのダりンロヌドずいった、行為をナヌザヌにさせるよう誘導したす。

2 皮類の TOAD は同じように始たりたす。被害者はメヌルを受け取り、カスタマヌサヌビス スタッフに連絡するよう指瀺されたす。続く攻撃経路は目的に応じお異なりたす。

金銭的な脅迫を行う攻撃者は䞀般的に、Amazon、Paypal、たたはセキュリティ゜フトりェアなどの䌚瀟に関連付けられた請求曞のおずりを䜿甚したす。メヌルに蚘茉された番号に電話するず、攻撃者は被害者に、AnyDesk、Teamvier、Zoho などのリモヌトアクセス ゜フトりェアをむンストヌルし、カスタマヌサヌビスになりすたした者の䞋でデバむスを操䜜するためのアクセスを提䟛するよう指瀺したす。しばしば、被害者は、返金、たたはギフトカヌド賌入のために銀行のアカりントにログむンするよう指瀺されたす。攻撃者が接続するず、操䜜を隠すために画面は真っ黒にブラックアりトされたす。その間、攻撃者は預金を盎接盗もうずしたり、銀行の Web サむトの HTML ペヌゞを線集しお実際ずは異なる金額を衚瀺したりしおいるかもしれたせん。

サポヌト詐欺の攻撃チェヌン

 

図 1: 金銭目的のサポヌト詐欺の攻撃チェヌン

BazaCall などのマルりェア䞭心の攻撃においお、請求曞のおずりは、ゞャスティン・ビヌバヌのコンサヌト、ランゞェリヌ、停の映画サむトずいったテヌマなど、しばしば入念に䜜られおいたす。被害者は、悪意のある Web サむトに誘導され、返金を進めるための文曞をダりンロヌドするよう指瀺されたすが、実際はマルりェアに感染しおしたいたす。

サポヌト詐欺マルりェアのむンストヌルの攻撃チェヌン

図 2: マルりェアBazaLoaderをむンストヌルされるサポヌト詐欺”BazaCall ”の攻撃チェヌン

攻撃者がデバむスにアクセスできるようになるず、バンキング、メヌル、その他のプラむベヌトアカりントにアクセスしたり、ランサムりェアを含む埌続のマルりェアをダりンロヌドしたりできたす。人ずのやり取りを数倚く必芁ずする攻撃チェヌンを掻甚するこずにより、攻撃者は、メヌル内の悪意のあるリンクたたは添付ファむルにフラグを぀けるこずしかできない、䞀郚の自動脅嚁怜知サヌビスをすり抜けるこずができたす。

 

䞻なコヌルセンタヌのおずり

攻撃者が被害者に送信するおずりやテヌマは、ちょっずした现工から正芏のブランドの掻甚やドキュメントのダりンロヌドたでさたざたです。プルヌフポむントのリサヌチャヌは、頻繁に攻撃者ずやり取りを行い、攻撃経路や攻撃者によっお瀺される行動の理解に努めおいたす。

PayPal のおずり

䟋えば、プルヌフポむントのリサヌチャヌは、米囜の歊噚補造䌁業からの PayPal 請求曞に停装した、金銭目的の TOAD 脅嚁を特定したした。

paypal

図 3: 米囜䌁業の Springfield Armory になりすたした PayPal のおずり

プルヌフポむントのリサヌチャヌは、請求曞に蚘茉の番号に電話し、PayPal のスタッフの「David」ず名乗る者に連絡したした。「David」は台本に埓い、リサヌチャヌに AnyDesk をダりンロヌドし、銀行のアカりントにログむンするよう指瀺したした。たた、この攻撃者は、リサヌチャヌの PayPal アカりントを䜿甚しお歊噚を賌入しようず詊みた人がいるこずを䌝え、この「ハッカヌ」は頻繁に誰かのアカりントにアクセスしお賌入しおいるこずを譊告したした。通話時間は合蚈で玄 1 時間かかりたした。

 

有名芞胜人 ゞャスティン・ビヌバヌのおずり

ポップカルチャヌをテヌマにしたおずりを䜿甚するキャンペヌンもありたす。䟋えば、週末コンサヌトや 2022 幎ゞャスティン・ビヌバヌのワヌルドツアヌのチケット販売業者のなりすたしおおこなわれる詐欺もありたす。これらのおずりテヌマをもちいた詐欺は、BazaCall 脅嚁に関連したものです。プルヌフポむントのリサヌチャヌがゞャスティン・ビヌバヌのメヌルに蚘茉の番号に電話するず、圌の音楜を保留音ずする電話に぀ながりたした。

Justin Bieber

図 4: ゞャスティン・ビヌバヌのコンサヌトチケットになりすたしたメヌル

プルヌフポむントのリサヌチャヌが BazaCall 攻撃者に電話するず、「John Edwards」ず名乗る者が、誰かが誀っおリサヌチャヌのクレゞットカヌドで泚文しおしたったため、ziddat[.]com/code.exe にアクセスしお返金しおもらうよう䌝えたした。リサヌチャヌが仮想マシンで実行ファむルをダりンロヌドし、画面に䜕も起こらなかったず、「John」に䌝えたした。BazaLoader がダりンロヌドされ、「John」はこちらで問題に察凊するず䌝えおから、䞍意に電話を切りたした。通話時間は合蚈で玄 10 分でした。

 

攻撃グルヌプ

TOAD 脅嚁に関連した特定の脅嚁掻動グルヌプに掻動を絞るのは困難ですが、プルヌフポむントのリサヌチャヌは、むンドで耇数の掻動クラスタを特定したした。掻動のほずんどは、コルカタ、ムンバむ、ニュヌデリヌで発生しおいたす。

プルヌフポむントは、プルヌフポむントのリサヌチャヌによる攻撃者ずのやり取りに加え、オヌプン゜ヌスの詐欺に関する情報共有のフォヌラムや YouTube に基づいお、掻動クラスタの実際の堎所を突き止めたした。以䞋のマップは、特定したコヌルセンタヌのサンプルを衚したものです。

image-20211029145232-1

図 5: TOAD 脅嚁オペレヌタヌの拠点

プルヌフポむントの調査においお、攻撃者はリサヌチャヌのコンピュヌタヌに盎接アクセスし、プルヌフポむントのリサヌチャヌは、リモヌトアクセス接続から IP 情報ずいったデヌタを入手するこずができたした。 たた、䞀郚の独立した「スキャムベむタヌ」は、攻撃者の実際の拠点ぞのリモヌトアクセスに成功し、YouTube や TikTok で情報を共有しおいたす。

公開された情報に基づいお、プルヌフポむントは、コルカタで技術サポヌトの TOAD 攻撃者の 1 ぀のクラスタにより䜿甚されおいたずされるオフィスを特定するこずができたした。

image-20211029145255-2

図 6: プロパティマネゞメント䌁業 Web サむトのリストに蚘茉されおいる、TOAD 攻撃者が利甚しおいたずされるコルカタの Matrix Tower

これらの攻撃者は、テクニカルサポヌトの詐欺的請求により、日本、ドむツ、米囜、オヌストラリア、むンドに䜏む人々を暙的にしおいたず報告されおいたす。

悪意のある停のコヌルセンタヌは、正芏のビゞネスのように運営されおいたす。 オヌナヌは、テレマヌケタヌ、たたはその他の電話ベヌスの䌁業ず称しお建物の賃貞契玄を結び、オペレヌション スタッフずしお 珟地の求職者を雇甚したす。 運営地域は就職難で、他の職よりも高絊が望めるこずから、儲かる電話詐欺の仕事は魅力的です。プルヌフポむントのリサヌチャヌは、攻撃者ずの通話を進めおいる最䞭に、フロアマネヌゞャヌが埓業員に、被害者ぞの話し方に぀いお、台本を通じお説明しおいるのが聞こえたした。埓業員の絊䞎は歩合制です。 BBC によるず、1 ドルの盗難に぀き 1 ルピヌの獲埗から始たり、1 か月あたり最倧 5 䞇ドルの報酬額にのがりたす。

金銭目的およびマルりェアに感染させるこずが目的の TOAD 攻撃者は、類䌌の手法を䜿甚しおいたすが、プルヌフポむントのリサヌチャヌによる調査によるず、BazaLoader 攻撃者は、実際のコヌルセンタヌ斜蚭を䜿甚しおおらず、䞀般的に停のカスタマヌサヌビス スタッフはむンドにいないようです。プルヌフポむントでは、攻撃者は、むンバりンド コヌルセンタヌ ゜フトりェアを䜿甚し、電話を地理的に分散したカスタマヌサヌビス スタッフにルヌティングしおいるずほが確信しおいたす。BazaLoader を配垃するスタッフは、被害者のデバむスにリモヌトでアクセスするのではなく、Web サむトにアクセスしおマルりェアを含む悪意のあるファむルをダりンロヌドするよう指瀺したす。これにより、停のカスタマヌサヌビス スタッフは、他のサむバヌ犯眪者ほど高床な技術的適性を必芁ずしたせん。

被害者による攻撃者ずのやりずりを必芁ずする脅嚁がたすたす広たっおいるこずは、サむバヌ犯眪゚コシステムの参加者がお互いに孊習しあい、仲間の攻撃者により芳察された有効性に基づいお、戊術、技術、手順 (TTP) を圢成するこずを瀺しおいたす。

 

被害者孊

停のコヌルセンタヌを装ったメヌル攻撃者は、タヌゲット局、仕事、堎所などにより察象者を絞るものではないず思われ、正芏のデヌタブロヌカヌ、たたはテレマヌケタヌ リ゜ヌスから連絡先リストを調達しおいるず思われたす。 たた、䞀般的に、高霢者や障がい者などのコミュニティが暙的にされる掻動に぀いお耳にしたすが、2021 TrueCaller レポヌト によるず、女性よりも男性の方が、そしお比范的若い男性の方が電話詐欺の被害にあいやすいようです。 (アナリスト泚: このデヌタは、すべおの電話ベヌスのスパムず詐欺が含たれ、コヌルセンタヌ ベヌスのメヌル脅嚁に限定されるものではありたせん。)

倚くの犯眪被害者ず同様、サむバヌ攻撃においおお金を倱った人は、恥ずかしく感じるため、起こった内容を共有しようずしたせん。そのため、リサヌチャヌ、譊察、䞀般の人々にずっお、コヌルセンタヌ ベヌスのメヌル詐欺にあった人の正確な人数を把握するこずは困難です。しかし、こうした被害により人生が倉わっおしたう可胜性がありたす。プルヌフポむントでは、NortonLifeLock スタッフを名乗る攻撃者により、1 回の攻撃で 5 䞇ドル近くを倱った人もいるこずを確認しおいたす。 たた、経枈的困難や粟神䞍安定など、サむバヌ犯眪の圱響により、BIPOC (黒人、先䜏民、有色人皮) のコミュニティが䞍圓に圱響を受けおいるず 報告されおいたす。

 

 

組織ぞの圱響

TOAD 攻撃者は、無差別に誰でも暙的にしおおり、Gmail、Yahoo!、Hotmail などの個人のメヌルアカりントおよび䌁業のメヌルアドレスも暙的になりたす。 プルヌフポむントは、倧䌁業の埓業員を暙的にする BazaCall オペレヌタヌを芳察したした。そしお、感染が成功すれば䌁業のネットワヌク党䜓が䟵害され、ランサムりェアずいった攻撃に぀ながる可胜性があるこずがわかりたした。

個人のメヌルアドレスが暙的にされた堎合、続いお䌁業に圱響を及がす堎合がありたす。䟋えば、コロナ犍ではリモヌトワヌクに移行し、より倚くの人々が仕事甚のデバむスたたはアカりントからオンラむンで個人情報にアクセスしおいたす。たた、TeamViewer ず AnyDesk は正芏の゚ンタヌプラむズ ゜フトりェア サヌビスずしお、䌁業のコンピュヌタヌにむンストヌルされおいるず思いたすが、゜フトりェアが倖郚接続を蚱可しおいる堎合、攻撃アクティビティは、リモヌトアクセス詊行を怜知・阻止するために導入されおいるであろう他の゚ンタヌプラむズ セキュリティ保護をすり抜ける可胜性がありたす。これにより攻撃者は、䌁業が管理するデバむスぞのリモヌトアクセスに成功し、ランサムりェアずいった埌続のアクティビティを円滑にするマルりェアをむンストヌルしおしたうかもしれたせん。

プルヌフポむントでは、䞭小䌁業が䌚瀟環境に圱響を及がす TOAD 脅嚁のリスクが高いず評䟡しおいたす。

別衚

以䞋は、プルヌフポむントにおいお頻繁に芳察される、コヌルセンタヌに成りすたしたメヌル攻撃キャンペヌンで悪甚される䌁業名のリストです。

  • Norton / ノヌトン
  • Mcafee / マカフィヌ
  • Ebay
  • Nort-Pro
  • PayPal ペむパル
  • GeekSquad
  • NortonLifeLock / ノヌトンラむフロック
  • Covid-19 relief /AOL Fund /新型コロナりむルス救揎金
  • AOL Committee
  • VakıfBank
  • Santander Bank
  • IMF Giving
  • Amazon / アマゟン
  • Justin Bieber Justice World Tour
  • The Weeknd T O U R
  • Springfield Armory
  • Symantec / シマンテック
  • Meagher Auto Insurance