詐欺師が被害者の銀行および通信会社のアカウントにログインできるよう手助けする高度なスキームを運営していたとして、3人の男がロンドンの裁判所で有罪判決を受けた。
ホーンチャーチ出身のカラム・ピカリ(23)、アリスベリー出身のヴィジャヤシドゥルシャン・ヴィジャヤナサン(21)、ミルトンキーンズ出身のアザ・シディーク(19)は、昨年、「詐欺に使用する物品を作成・供給する共謀」について有罪を認めていた。国家犯罪対策庁(NCA)によると、ピカリはマネーロンダリングについても有罪を認めた。
昨日、スネアズブルック刑事法院で、ピカリには懲役2年8カ月が言い渡された。一方、ヴィジャヤナサンとシディークにはそれぞれ12カ月のコミュニティ・オーダー(社会内処遇命令)が科され、各760ポンドの費用支払いを命じられた。また、それぞれ200時間と160時間の社会奉仕活動を行う必要がある。
3人は www.OTP.Agency というサイトを運営し、多要素認証(MFA)を回避して被害者のアカウントを乗っ取ろうとする詐欺師から月額のサブスクリプション料金を徴収していた。
ビッシングに関する関連記事: 欧州警察が900万ドル規模のビッシング集団を摘発
NCAによれば、週30ポンドの基本パッケージでは、被害者のアカウント保有者をだまして本物のワンタイムパスコード(OTP)を開示させるよう設計された「コールボット」へのアクセスが提供されていた。
月額380ポンドでは、テキスト読み上げ(TTS)サービスにアクセスでき、詐欺師は自動化されたOTP通話を個別にカスタマイズできたほか、ピカリ、ヴィジャヤシドゥルシャン、シディークが作成した事前台本付きの通話も利用できた。
捜査官は、BT、Sky、Virgin Media、HMRC、Mastercard、Visaの担当者になりすます詐欺師が使用するための台本を発見したとされる。
NCAは、2019年9月から2021年3月までの間に、約1万2500人の被害者が標的となり、これらの通話が6万5000件以上行われたと推定している。同サイトは、3人が逮捕された後に閉鎖された。
3000人の加入者から彼らがいくら得ていたのかは、依然として不明だ。NCAは、詐欺師が基本プランを購入していた場合は約9万ポンドだったはずだが、週単位でエリートパッケージを選んでいた場合は最大790万ポンドに達し得たとしている。
ピカリは、同庁により、このビッシング・アズ・ア・サービス・プラットフォームの「所有者、開発者、そして主たる受益者」と説明された。シディークは、詐欺を行うためにウェブサイトを無制限に利用できる見返りとして、サイトを宣伝し、Telegramで技術サポートを提供していたとされる。
NCAによると、ヴィジャヤナサンもウェブサイトを宣伝し、運営管理を手伝っていた。
OTPは現在、MFAの中で最も安全性が低い形態として広く認識されている。Proofpointによれば、2022年の時点ですでに、市販のMFA回避キットが用いられて数百万件のフィッシングメッセージが送信されていた。
翻訳元: https://www.infosecurity-magazine.com/news/british-vishingasaservice-trio/
