中国のスミッシング犯罪組織が、2023年7月から2024年10月の間に米国で最大1億1500万枚の決済カードを侵害した可能性があります。
SecAllianceの研究者は、これらの被害によって数十億ドル規模の経済的損失が発生したと推定しています。
SecAllianceのレポートは、これらのキャンペーンが高度に洗練されており、特にApple PayやGoogle Walletなどのデジタルウォレットのトークン化を戦略的に悪用し、従来の不正検知メカニズムを回避している点を強調しています。
「これらのオペレーションは、先進的なSMS、RCS、iMessageベースのソーシャルエンジニアリングと、高度なフィッシングインフラ、リアルタイムの多要素認証(MFA)バイパス技術を組み合わせた、決済カード詐欺のパラダイムシフトを示しています」と研究者は述べています。
約2年にわたる調査の中で、これらのキャンペーンは中国のサイバー犯罪組織によって組織的に運営されており、2023年初頭から世界中の被害者を体系的に標的にしていることが観察されました。
独立系セキュリティ研究者の調査およびSecAllianceによるドメイン活動パターンの分析によると、米国ではこれらのキャンペーンによって1,270万枚から1億1,500万枚の決済カードが侵害されたとされています。
フィッシングインフラの大きな進化
8月5日に公開された本レポートでは、これらのキャンペーンが単純な宅配便詐欺から、高度なフィッシング・アズ・ア・サービス(PaaS)プラットフォーム、偽のECサイト、そして最近では証券口座乗っ取りスキームへと進化してきた様子が示されています。
調査の初期段階では、「Lao Wang」という名前で活動する中国語話者の開発者が特定されており、デジタルウォレットの悪用をサポートする統合機能を持つ最初の人気PaaSオペレーションの一つを設立したと考えられています。
「dy-tongbu」と呼ばれるTelegramチャンネルも同じ人物によって運営されており、2023年2月に設立されました。
このチャンネルは、2023年8月時点で約2,800人だったメンバーが2025年初頭には4,400人を超えるなど、フィッシングサービスの巨大なマーケットプレイスへと成長しています。
このプラットフォームで入手できるフィッシングキットには、高度な防御機能が搭載されており、主にセキュリティ研究者によるフィッシングページの解析や分類を妨げること、さらにテイクダウンへの耐性を高めることを目的としています。
これらの対策には、標的となる地理的地域へのアクセスを制限するジオフェンシング機構、既知のホスティングプロバイダーやTor出口ノードのIPブロック、モバイルデバイスのみがフィッシングページとやり取りできるようにするユーザーエージェントの強制などが含まれます。
この手法により、被害者が最終的にワンタイムパスワード(OTP)メッセージを受け取る同じモバイルデバイス上でフィッシングが行われることが保証されます。
被害者データや設定パラメータの保存にはMySQLがデータベースとして使用されています。
Lao Wangのスミッシングプラットフォームの成功を受けて、多くの中国語話者のアクターが独自のデジタルウォレット特化型スミッシングプラットフォームを開発するようになったと研究者は指摘しています。
スミッシング攻撃の手口
攻撃は、SMS、iMessage、またはRCSメッセージを被害者に送信することから始まります。これらのメッセージは、宅配便の配達、料金所の支払い、税金の還付、車両登録など、即時対応が必要な緊急性のある内容を装ったソーシャルエンジニアリングの誘導を利用しています。
これらのメッセージ内のリンクは、被害者をモバイル最適化されたフィッシングページに誘導します。これらのページでは、サービスの確認や配達の調整を装い、氏名、住所、メールアドレス、電話番号などの個人情報の入力を求めます。
次のステップでは、再配達料金や通行料、手数料などの名目で、決済カード情報の入力を求められます。
最終的に、フィッシングページは被害者からOTPコードを取得します。これは、攻撃者が盗んだカード情報を攻撃者が管理するデバイスのデジタルウォレットに登録しようとする際に発生します。
デジタルウォレット侵害へのシフト
研究者によると、これらのオペレーションがデジタルウォレットのトークン化システムの悪用に注力していることは、決済カード詐欺の手法における「根本的な変化」を示しています。
従来の「カード非対面」詐欺は、盗まれたカード番号を不正検知システムのあるプラットフォームで直接使用することに依存していました。
デジタルウォレットのトークン化では、決済カード情報が盗まれると、攻撃者は直ちにこれらのカードを攻撃者が管理するデバイスのデジタルウォレットに登録します。
この方法により、個々の取引ごとの追加認証が不要となります。初回登録時にMFAバイパスを通じてカード所有者の本人確認が行われるためです。
「この手法によって生まれる収益化の機会は非常に多岐にわたります。実店舗の非接触型決済端末での支払いにより、正規の小売チャネルを通じて購入が可能となります。デジタルウォレット決済に対応したアプリケーションを通じたオンライン購入により、さらなる商品やサービスへのアクセスも得られます。一部の地域では、タップ・トゥ・ペイ対応ATMから物理カードなしで現金を直接引き出すこともできます」と研究者は説明しています。
攻撃者は、Stripe、PayPal、HitPay、Flutterwaveなどの正規の決済プロセッサーで不正な加盟店アカウントを作成していることも確認されています。
スミッシングを超えて拡大するシンジケート
犯罪エコシステムは進化し、複数の盗難カードが登録されたデバイスの販売も行われるようになっています。
SecAllianceの研究者によると、この動きは、デバイス上で登録済みカードを収益化することに特化した下流の犯罪ネットワークの存在を示唆しています。
これらの犯罪活動におけるもう一つの大きな進化は、2024年8月に偽のECサイトが登場したことです。従来のスミッシングキャンペーンが未承諾メッセージによる誘導に依存していたのに対し、これらの偽ショッピングサイトは、正規に見えるチャネルを通じて商品やサービスを積極的に探しているユーザーを標的にしています。
攻撃者は、Meta、TikTok、Googleなどのプラットフォームで広告枠を購入するなど、これらの偽ショップのために高度な広告戦略を採用しています。
最近観察された進化としては、世界的な大手証券会社を標的とし、カード窃盗ではなく金融分野でのアカウント乗っ取りを目的としたフィッシングページの作成が挙げられます。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-smishing-us-payment-cards/