詐欺集団、8,400のフィッシングドメインでトルコの銀行利用者を標的に

今回の調査では2025年11月から2026年4月にかけての活動が追跡され、トルコの金融機関数十社になりすました、互いに関連する5つの詐欺スキームが特定されました。

これらのキャンペーンは個別に独立したフィッシング活動ではなく、被害者の獲得から認証情報の窃取、そして暗号資産取引所を通じたマネーロンダリングに至るまで、一貫した犯罪のバリューチェーンとして機能していました。

観測された詐欺活動の80%以上は、FacebookとInstagramを通じて拡散されていました。脅威アクターはMetaの広告を悪用し、偽の銀行、投資、融資、ギャンブル、行政サービスのページへ被害者を誘導していました。

広告は意図的に短命に設定されており、わずか30分程度しか掲載されないまま運営者によって削除・差し替えされるケースもありました。

この急速なローテーションにより、従来のテイクダウンや広告審査のプロセスは効果を発揮しにくくなっていました。

基盤となるフィッシングインフラも毎週変更されており、運営者は同一のテンプレート、情報収集用パネル、バックエンドサービスを維持したまま、キャンペーンをドメイン間で移動させることができていました。

この一連の活動の主要な要素の一つが、商用で販売されているフィッシングキットでした。

Group-IBの調査によると、アンダーグラウンドのチャネルで約250ドルで宣伝されていたあるキットは、トルコの行政サービスポータルおよび幅広いトルコの銀行になりすました6,700以上のドメインを支える目的で使用されていました。

マネーロンダリングの段階は、トルコ市民に対して銀行口座やIBANの「貸し出し」の対価として30,000から50,000トルコリラを提示する募集広告から始まっていました。

こうした口座は一般に「マネーミュール口座」と呼ばれ、犯罪者はこれを利用することで盗んだ資金を受け取りつつ、元の詐欺行為との関連を薄めることができていました。

運営者は送金を3から5個の口座グループに分散させており、これにより追跡が複雑になるとともに、単一のミュール口座から資金の流れ全体が即座に判明するリスクを減らしていました。

その後、資金は暗号資産取引所を経由して移動され、デジタル資産に変換された上でさらに転送されていました。

今回の調査で確認された裁判記録によれば、こうしたネットワークに関与した人物には最大で10年の禁錮刑が科される可能性があります。

それにもかかわらず、募集キャンペーンは口座の「貸し出し」を低リスクあるいは合法的な取り決めであるかのように装い、手早く収入を得たいと考える人々を狙い続けています。

今回の調査は、Group-IBのDigital Risk Protectionプラットフォーム、CERT-GIB、脅威インテリジェンスデータ、オープンソースインテリジェンス、Meta Ad Libraryの分析、フィッシングキットの技術的解析、ハニーポットへの登録記録、裁判記録、さらにトルコの消費者向けプラットフォームŞikayetvarに投稿された23,000件を超える苦情報告をもとに実施されました。

報告された被害者の損失額は、個別の事例で最大16,000ドルに達していました。

トルコの銀行にとって今回の調査結果は、詐欺広告、フィッシングドメイン、複製されたモバイル・Webインターフェース、ミュール口座の募集、そして暗号資産への換金パターンを、一つの連続した脅威モデルの構成要素として監視する必要性を浮き彫りにしています。

利用者は、広告や不審なメッセージを通じて届く銀行関連のリンクを避け、認証情報を入力する前にドメインを確認し、第三者への支払いのために銀行口座情報を提供しないよう注意する必要があります。

翻訳元: https://cyberpress.org/scammers-use-8400-phishing-domains-to-target-turkish-banking-customers/

ソース: cyberpress.org