Bitdefenderの研究者は、数百の不正ウェブサイトを巻き込んだ大規模キャンペーンにより、サブスクリプション詐欺が規模・巧妙さの両面で急増していることを突き止めました。
このキャンペーンが際立っているのは、偽サイトを本物らしく見せるためにサイバー犯罪者が相当な投資を行っている点です。
怪しいメールやSMS、単純なフィッシングリンクで簡単にユーザーをだませた時代は終わりました。人々の警戒心とサイバーリテラシーが高まるにつれ、詐欺師も手口を高度化させています。彼らはすでに、疑念をすり抜けて被害者を誘い込み、機微情報、とりわけクレジットカード情報を差し出させるための、より複雑で説得力のあるスキームを作り始めています。
主な調査結果
- 靴や衣類から多様な電子機器まであらゆる商品を販売する、驚くほど本物らしいウェブサイトが、人々をだまして月額サブスクリプション料金を支払わせ、進んでクレジットカード情報を提供させています。
- 多くのウェブサイトがキプロスの単一住所に紐づいており、オフショア企業の所在地である可能性があります。
- この詐欺は200以上の異なるウェブサイトに及び、その多くが現在も稼働しています。
- 犯罪者はFacebookページを作成し、全面広告を出して、すでに古典的となった「ミステリーボックス」詐欺やその派生版を宣伝しています。
- 「ミステリーボックス」詐欺は進化し、さまざまなショップのウェブサイトへのリンクとともに、ほとんど見えない形での継続課金(定期支払い)を含むようになりました。
- Facebookが、これら新型・強化型ミステリーボックス詐欺の主要プラットフォームとして利用されています
コンテンツクリエイターがなりすましに利用され、ミステリーボックスを宣伝させられたり、詐欺師が元のページに酷似した新しいページを作成したりしています。
詐欺師は人々の注意不足につけ込もうとする
詐欺師は、被害者が支払いの段階に到達した時点で、すでに詐欺が本物だと信じ込んでいることを知っています。その時点ではためらいが少なく、批判的思考も働きにくくなっています。
そこで詐欺師は再び攻撃し、被害者がお金を渡す直前に、第二の詐欺を滑り込ませます。その段階で重要なのは単に取引を成立させることではなく、詐欺を積み重ねることなのです。.
ミステリーボックス詐欺とは?
現実世界では、棚に置かれた中身不明の箱を、数ドルで誰かが拾っていくのを待つ――そんな話は、まず成立しない詐欺のように思えます。しかしインターネット上では実際に成立しています。そうでなければ、詐欺師がこれほど宣伝に労力をかけるはずがありません。
これらの詐欺には、郵便局に置き去りにされた箱から、空港に置き去りにされたバッグ、さらには大型ショッピングセンターの在庫一掃セールに至るまで、さまざまなバリエーションがあります。共通する決定的な特徴は、被害者が支払うのはごく少額でよい、という点です。
目的はもちろん、個人情報と金融情報の収集です。被害者は「素晴らしい買い物をした」と信じ込み、その貴重な情報を自ら進んで提供してしまいます。以下は、ルーマニアのFacebookユーザーを標的にした、こうした詐欺キャンペーンの一例です。
ミステリーボックス詐欺は進化している
多くの詐欺と同様に、こうした不正スキームは人々が慣れてくるにつれて魅力が薄れ、被害に遭う人も減っていきます。これにより犯罪者は、金銭や金融情報を得るための新たな方法を考案せざるを得なくなります。
この進化の最初の段階は、詐欺師が「あなたが本物の人間で、ボットではないことを確認するため」と称してアンケートを追加した時でした。企業がそのような手順を踏んでいるのを見ると、ユーザーは事業がより正当なものに見えてしまいます。
そして今、ミステリーボックス詐欺は新たな形で進化しました。金銭と金融情報を渡すことに同意する直前に、(極小の文字で書かれた)サブスクリプションモデルにも同意させられ、現在のミステリーショッピング体験が継続課金へと変わってしまうのです。
もちろん、他の国も標的になっています。こちらはカナダまたは米国向けの例です。
当社の過去の調査が示すとおり、これらの詐欺はソーシャルメディアに氾濫しており、その背景にはスポンサー広告があります。
支払いページが、naillr[.]comというウェブサイトにも言及していることに気づくでしょう。そこでは、割引や特典が得られるロイヤルティ会員カードを入手できます。しかし、ここから調査は別の方向へと進むことになりました。
ミステリーボックス詐欺は新たな領域へ拡大している
ミステリーボックスをうたう広告の中には、衣類、電子機器、美容製品など、さまざまな商品を扱う各種オンラインショップへ誘導するものがあります。ある時点で、同じビジネスモデルを共有する約140のウェブサイトを特定しました。これはその一例です。
細字の注意書きには、「会員価格で購入し、44.00ユーロ/14日ごとのアカウントチャージで、ヨーロッパの最安値への無料アクセスを獲得。チャージはスキップまたは利用可能」と書かれていました。
このオンラインショップは、さまざまな特典を備えた多数の階層(ティア)を提供しているように見えます。トラッカーIDに紐づくURLを追跡したところ、Bitdefenderの研究者はこのキャンペーンで200以上のウェブサイトを発見し、その多くが現在もオンラインのままです。
基本的に、人々はこれらのサブスクリプションのいずれかを支払えば、サイト全体で割引が受けられると信じてしまう可能性があります。ショップ運営者は複数のサブスクリプション階層を用意していますが、金額はウェブサイトごとに異なります。
これらのウェブサイトの一つにおけるVIPティアは次のようなものです。
提示される割引はストアクレジットに基づいており、1:1の比率で換算されます。つまり、€68を投資すると68クレジットが得られます。たとえば家具のようなものを購入したい場合、次のように表示されます。
ストアクレジット、割引、14日ごとにチャージできるクレジットなど、追うのが非常に複雑です。基本的な狙いは、手続きをできるだけ入り組ませ、同時に良いアイデアのように聞こえさせることです。被害者が実際にサブスクリプション料金を支払う頃には、それはすでに「投資」のように見えてしまいます。
彼らはしばしば「お金で買える最高の商品」を約束しますが、提示内容はばかげています。この電子機器店は、古いケーブル、時代遅れの技術、その他の機器を販売しており、中国のショップならその何分の一の価格で買えるようなものばかりでした。
また、現在も稼働しているこれら数百のウェブサイトの大半に記載されている連絡先住所(Andrea Kalvou 13, 3085 Limassol)が、パラダイス文書漏えいに関連する国際調査報道ジャーナリスト連合(ICIJ)のOffshore Leaks Databaseにあるキプロスの記録と併記されている点も重要です。
サブスクリプションの誘惑は強すぎる
犯罪者は、なりすましたコンテンツクリエイターを宣伝する広告に資金を投下し続けており、これらの詐欺の収益源として現在主流になりつつある同じサブスクリプションモデルを利用しています。
詐欺師はなりすますブランドを頻繁に変え、既存のミステリーボックスの枠を超えて拡大し始めています。現在は、低品質の商品や模倣品、偽の投資、サプリメントなど、さらに多くのものを売ろうとしています。
自動検知を回避するために用いられる複数の手法を確認しました。
- 広告を複数バージョン用意し、そのうち1つだけを悪性にして、他はランダムな商品画像を表示する。
- Google Driveから画像を直接アップロードする(後で差し替えられるように)。
- 画像をトリミングして視覚パターンを変える。
- 広告では画像のみに依存し、説明文にテキストを入れない(テキストは画像内にのみ表示される)。
- 古典的なホモグリフ手法。
これらのアカウントページの一部は、アルゴリズムで生成された名前を使ってゼロから作成されることもあれば、ハッキングされて乗っ取られた後に改名されることもあります。
これらのストアは一見すると共通点がないように見えますが、ほとんどの場合、同じデザイン、同じテーマ、同じAIエージェント、そしてキプロスを指し示す類似の登録情報を使用しています。
ミステリーボックス詐欺とこのウェブサイト群の間に直接的な関連を見出すのは難しいものの、一部のミステリーボックスの支払い画面に、キプロス登録のサブスクリプション型ショップへのリンクが含まれている事実は、控えめに言っても疑わしいものです。特に、これらの詐欺が同じサブスクリプションの発想を共有している点を踏まえると、なおさらです。
結論
これらの詐欺の多くは同一の運営者に結び付いているように見える一方で、サブスクリプションが新たな常態であることに気づいた別の詐欺師も数多く存在します。
広告への資金投入、本物らしく見えるウェブサイト、人やブランドのなりすまし、そしてその他あらゆる攻撃経路を通じて、こうした詐欺がオンライン世界に氾濫するのは避けられないでしょう。
IOC:
‘bestsoundclub[.]com’,
‘egadgets[.]club’,
‘betrendy[.]site’,
‘allbuysport[.]com’,
‘alltv[.]store’,
‘allgamesinone[.]com’,
‘allmakeup[.]vip’,
‘dom.attentiontamers[.]com’,
‘bol.bluedeutsch[.]com’,
‘d.strideoflife[.]com’,
‘bestkitchens[.]store’,
‘aul.hyperhorizon[.]org’,
‘click.purebudgets100[.]com’,
‘decorstore[.]club’,
‘amazitech[.]com’,
‘decorhome[.]vip’,
‘abeautybuffet[.]com’,
‘buygadgets[.]site’,
‘decorsolutions[.]online’,
‘devicesair[.]com’,
‘aul.honeymusic[.]org’,
‘allfree[.]me’,
‘aul.stellafromvalhalla[.]org’,
‘dealmeon[.]club’,
‘clicks.dyslexicsonfire[.]com’,
‘aul.intothestory[.]org’,
‘alljewellery[.]store’,
‘cosykitchen[.]store’,
‘apps.risetotheoccasions[.]org’,
‘accelredirect[.]com’,
‘clicks.ahauntedcastleuponahill[.]com’,
‘dom.highoctaneavenger[.]com’,
‘afterhourshobby[.]com’,
‘click.maestrolanding[.]com’,
‘beoutdoors[.]site’,
‘beachitem[.]com’,
‘brandclothesshop[.]site’,
‘bestcosmetic[.]club’,
‘best-dealclub[.]com’,
‘email.all4tech[.]site’,
‘clicks.sightseeingdragon[.]com’,
‘bestlook[.]store’,
‘alltoys[.]store’,
‘altaprotect[.]com’,
‘beoutdoors[.]club’,
‘decorworld[.]shop’,
‘clicks.feelthesummervibe[.]com’,
‘designerhome[.]store’,
‘0dgwn.bemobtrcks[.]com’,
‘aul.twotearsandamoon[.]com’,
‘aul.magneticstormcatcher[.]com’,
‘cookskitchen[.]club’,
‘clicks.offtheworld[.]org’,
‘bestylish[.]club’,
‘cosmeticshop[.]store’,
‘clicks.hellobatchsix[.]com’,
‘craftcraze[.]shop’,
‘coolgarden[.]club’,
‘d.snowflakepipeline[.]com’,
‘clickgadgets[.]club’,
‘agamingportal[.]com’,
‘bestclothes[.]club’,
‘alldaysgift[.]co’,
‘cooltv[.]shop’,
‘allyours[.]vip’,
‘clotheszone[.]club’,
‘beauty365[.]site’,
‘daysgiftrewards[.]com’,
‘clicks.stalingradrailstation[.]com’,
‘belovedaroma[.]com’,
‘electronicsgo[.]club’,
‘allelectronics[.]club’,
‘electronicshop[.]store’,
‘allincosmetics[.]club’,
‘cuteclothes[.]club’,
‘aromascent[.]club’,
‘alltechinone[.]com’,
‘decor-muse[.]com’,
‘bechic[.]club’,
‘amazingfashion[.]club’,
‘artifactenergy[.]org’,
‘buzzok[.]com’,
‘d.crossingthesummers[.]com’,
‘allgifts[.]site’,
‘allclothes[.]club’,
‘clothesday[.]com’,
‘electriz[.]club’,
‘clicks[.]clubmastersrecordsartist[.]com’,
‘adstrikers[.]com’,
‘amazingtttt[.]com’,
‘cheapluxery[.]com’,
‘direct.newchiefdandy[.]com’,
‘email.bechic[.]club’,
‘allkitchen[.]shop’,
‘alittledonation[.]com’,
‘customer.mammothdandy[.]com’,
‘sporty-you[.]club’,
‘aprilhasteplus[.]com’,
‘click.cookingbeasts[.]com’,
‘allthegiftsforthewhole.world’,
‘d.stockingfillers.net’,
‘beautybuys[.]store’,
‘elitesportshouse[.]com’,
‘email.allclothes[.]club’,
‘alladventure[.]club’,
‘befantastic[.]club’,
‘185[.]142[.]236[.]187’,
‘bigstoregaming[.]com’,
‘crazygames[.]shop’,
‘clothesontherun[.]club’,
‘decorinterior[.]club’,
‘echo.bluehornet[.]com’,
‘clicks.frenchcanadianspacemermaid[.]com’,
‘dom.thecakewasdelicious[.]com’,
‘bestwear[.]club’,
‘alldaysgifts[.]club’,
‘cutepets[.]site’,
‘dreamwardrobe[.]online’,
‘bestprogift[.]com’,
‘buyjewellery[.]club’,
‘bloomszone[.]com’,
‘bestmakeup[.]club’,
‘buyclothes[.]vip’,
‘all4me[.]cc’,
‘clubbestdeal[.]com’,
‘dom.mirrormirroronthewall[.]net’,
‘allpetstore[.]club’,
‘cosmeticcareclub[.]com’,
‘best-onlinedeal[.]club’,
‘adventureactivities[.]club’,
‘decorationdeal[.]com’,
‘dom.icanseeforever[.]org’,
‘accessories-world[.]club’,
‘bebeautiful[.]club’,
‘activestore[.]club’,
‘allbeactive[.]com’,
‘all4tech[.]site’,
‘buypresents[.]store’,
‘coolgifts[.]shop’,
‘bestoutfit[.]store’,
‘aul.onlineworkshopsandevents[.]org’,
‘allgadget[.]club’,
‘designdecor[.]store’
翻訳元: https://www.bitdefender.com/en-us/blog/labs/active-subscription-scam-campaigns-flooding-the-internet
