米国は、サイバー犯罪者が米国人の銀行口座に侵入するために使用していたプラットフォームを閉鎖したと発表した。
web3adspanels.org にアクセスしようとすると、現在は法執行機関の差し押さえページが表示される。同サイトは、人々の銀行口座の認証情報を盗むことを目的としたSEOポイズニング(検索汚染)キャンペーンを支援していた。
犯罪者は検索エンジン結果の目立つ枠を購入し、利用者に一見正規の銀行サイトに見えるが実際は偽サイトであるページを表示させていた。そこで事情を知らない利用者がパスワードを入力すると、それはデータベースに投げ込まれる一方で、利用者は口座に到達できない。
司法省は、web3adspanels.org の役割を、犯罪者がこれらの認証情報を保管・操作し、その後、銀行口座へのアクセスや不正送金の承認を試みるために利用するプラットフォームだと説明した。
宣誓供述書によれば、FBIは米国全土で少なくとも19人(うち2社を含む)の被害者がこの特定の手口に陥ったことを把握している。これは、より広範なアカウント乗っ取り問題の中では小規模な作戦にすぎない。
検察は、web3adspanels に関連する不正送金の試行額を2,800万ドルと結び付け、実際の損失総額は1,460万ドルと推定している。
しかしFBIのインターネット犯罪苦情センター(IC3)によると、法執行機関は年初からこの種の苦情を5,100件超受理しており、報告された損失総額は2億6,200万ドルを超える。
司法省はその発表において、犯罪者が口座へ不正アクセスする際に、多要素認証(MFA)などのより厳格なセキュリティ制御をどのように回避したのかについて詳細を示さなかった。先月、この件に関する注意喚起を公表したIC3も同様だった。
同様のキャンペーンは、基本的なフィッシングではなく、ソーシャルエンジニアリングの手口を用いて行われることが多い。犯罪者は被害者を言いくるめて認証情報を渡させ、さらに重要なことに、MFAやワンタイムパスコードまで提供させて口座にアクセスする。
侵入後の典型的な手順では、サイバー犯罪者が資金を自分たちが正当に管理する口座へ移し、その資金で暗号資産を購入する。これにより、異なるブロックチェーン間で追跡することがより困難になる。
また、ソーシャルエンジニアは被害者の銀行口座のパスワードを変更して締め出すことも多いと、FBIは述べた。
IC3の統計 [PDF]によれば、電子犯罪に関連する損失は2020年以降一貫して増加しており、2024年の総額166億ドルのうち83%をサイバーを利用した詐欺が占めた。 ®
