詐欺キャンペーンが偽のオリンピックチケットでロシア人を標的に

脅威インテリジェンス提供企業QuoIntelligenceによると、主にロシア語話者を対象に、スポーツおよび音楽イベントの偽チケットを販売するために、708件の不正なウェブドメインからなる広範なネットワークが利用されている。

これらのドメインのうち2つ、「ticket-paris24[.]com」および「tickets-paris24[.]com」は、説得力のあるウェブサイトをホストしており、ユーザーが今後開催される夏季オリンピック期間中に希望するイベントのチケットを購入し、パリでの宿泊先を選べるかのように見せかけている。

脅威インテリジェンス提供企業QuoIntelligenceの研究者は、2023年後半にオリンピックに関連する特定のキーワードをスキャンしていた際に、「Ticket Heist（チケット強奪）」と名付けられたこの作戦を検知した。

本物そっくりのオリンピックチケット販売プラットフォーム、割高なチケット

2023年12月、QuoIntelligenceのチームは、7月26日に開幕するパリ2024夏季オリンピックのチケット購入に関心のある人々を誘い込むことを狙った潜在的な詐欺スキームの調査を開始した。

同社が見つけた2つのオリンピックチケット販売ポータルは、正規サイトに似たユーザーインターフェース（UI）を備えていたが、軽微な綴りや文法の誤りがあり、脅威インテリジェンス企業は、ロシア語から英語への直訳による可能性が高いと述べた。

しかし、ある点が研究者の注意を引いた。表示されているチケット価格が、正規のチケット販売サイトで提示されている価格と比べて水増しされていたのだ。

報告書には「例えば、公式サイトでは任意のイベントと座席位置が100ユーロ未満で購入できる場合がある一方、詐欺サイトでは同じチケットと座席位置が最低でも300ユーロに設定され、しばしば1000ユーロに達していた」とある。

使用されているドメインレジストラとウェブサイトの内容に基づき、QuoIntelligenceは、これらのウェブサイトが世界中のロシア人を主な標的としており、特定のイベントにアクセスするために制裁を回避する必要性につけ込んでいる可能性があると推定した。

研究者は「これらの詐欺ウェブサイトに見られる高度さは予想外であり、このキャンペーンの背後にいる攻撃者が高い動機と細部への綿密な注意を持っていることを示唆している。これは、ファンを標的とした詐欺行為の成功を最大化しようとする意図を示している」と付け加えた。

ニューヨーク登録の企業、トビリシ拠点の運営者

QuoIntelligenceの研究者が詐欺ウェブサイトでチケット購入を試みたところ、決済は正規の決済処理プラットフォームであるStripe経由で行われており、被害者のカードに十分な残高がある場合にのみ取引が許可されることが分かった。

これは、Ticket Heistの動機が銀行口座やクレジットカード情報の収集ではなく、金銭の詐取であることを示唆している。

購入を試みたことで、研究者は詐欺ウェブサイトに関連する企業情報も見つけた。

その企業はVIP Events Team LLCと呼ばれ、2021年11月26日にニューヨークで合法的に設立されていた。

しかし、同社にはウェブサイトがなく、研究者はGoogle、ソーシャルメディア、TrustPilot、その他利用可能なオープンソースインテリジェンス（OSINT）ソース上でも関連情報を見つけられなかった。

VIP Events Team LLCは米国に拠点がある可能性が高いものの、ticket-paris24[.]comの「Contact Us」ページには、詐欺サイトの背後にある企業の所在地がジョージア国であると記載されている。

偽チケット販売サイトは単一のIPアドレスに紐付く

• ドイツで開催されるUEFA Euro 2024
• 著名なミュージシャンやバンド（Twenty One Pilots、Iron Maiden、Bruno Mars、Ludovico Einaudi、Metallica、Rammstein）が出演する各種コンサートやフェスティバル

これらのドメインの一部は、偽オリンピックチケット販売サイトが標的とするロシア語話者の被害者よりも、より広い範囲を標的としているように見える。

Ticket Heistキャンペーンの一部として検知されたすべてのドメインは、同一のIPアドレス179[.]43[.]166[.]54を指している。

続きを読む：Ticketmasterへの恐喝が継続、脅威アクターが新たなチケット流出を主張