詐欺師以上に私を苛立たせるものがあるとすれば、それは詐欺のように振る舞いながら法律の線引きの直前に留まっている企業です。彼らは長年にわたって顧客を失望させ続けることができます。
そのため、Malwarebytes Scam Guardがウェブサイトをフラグ立てする際に過度に慎重である可能性があると考える人もいます。どのサイトが明らかな詐欺なのかを判断するのに、経験豊富な研究者でさえも二度見する必要があるグレーゾーンに位置するサイトもあります。
ちょうどここで起きたのはそれです。
顧客から匿名の報告を受けた後、私はScam Guardが非常に疑わしいものとしてフラグを立てたメールについての調査を開始しました。
メール
メールはanna@cosmosshift[.]orgというアドレスから送信され、Credit Resources Vaultというサービスを宣伝し、受信者にCheck Eligibility Nowというラベルのボタンをクリックするよう促しました。
すぐに警告信号があります:
- 送信者ドメイン(
cosmosshift.org)は、クレジットサービスや金融商品との明確な関係がありません。「Cosmos Shift」という金融機関は存在しません。 - メッセージはクレジット承認に関する緊急性を作り出しており、これは古典的なソーシャルエンジニアリングの圧力戦術です。
- 正規に見える実際の住所とオプトアウトリンクが含まれていますが、これは「正当性のマネーロンダリング」と呼ばれるフィッシングの一般的な技術でもあります。
ほとんどのフィッシングメールと異なり、このメールは受信者のメールアドレスを使用したパーソナライズされた挨拶を含んでいます。受信者が送信者とのやり取りがないと述べているため、これは彼らの詳細がデータブローカーまたは過去のデータ漏洩から来た可能性があることを示唆しています。
ウェブサイトは疑わしい絵を描いています
リンクをクリックするとクレジットサービスを提供しているように見える磨かれたように見えるサイト(yourcreditvault.com)に到達します。
しかし、内部的には、より多くの警告信号が見つかりました:
- ウェブサイトはVite/Reactで構築されており、規制された金融サービスよりもスタートアップの副業プロジェクトに典型的な最新のJavaScriptフレームワークです。
- bolt.newへの参照は、サイトがAIツールを使用して組み立てられた可能性があることを示唆しています
- 銀行グレードのセキュリティの目に見える指標はありません。HTMLソースは、金融セクター暗号化インフラストラクチャの指標がない基本的なアプリシェルのみを示しています。
- ブランディング(ロゴを含む)は急いで組み立てられたように見えます
- 送信フォームの背後にあるJavaScriptバンドル(
index-B54Ghi53.js)は大きく難読化されています。これはサイバー犯罪者が送信されたデータがどこに送信されているかを隠すために使用する技術です。
これらのどれも、それ自体は悪意のある意図を証明するものではありません。しかし、まとめると、堅牢な金融サービスを提供するのではなく、データを収集するために設計された、迅速に構築されたものの絵を描いています。
フォームはデータを収集し、$20/週
最大の懸念はフォームです。これは基本的なクレジット適格性チェックとして提示されているもののための並外れた量のデータを収集しています。
フォーム送信中のネットワークトラフィックを監視することにより、正確にどのフィールドが送信されるかをキャプチャすることができました:
- 個人情報:名、姓、メール、電話
- 住所:街、都市、州、郵便番号
- 完全な銀行の詳細:銀行名、機関番号、トランジット番号、口座番号
- 広告キャンペーンに関連する追跡データ
- 画面上に描かれた署名は、所有者のGoogle Driveにアップロードされます。
あなたの個人データが公開されているかどうかを確認してください。
これはクレジット適格性チェックに必要なものより遥かに多いです。
これらの銀行詳細だけで、誰かが不正な事前承認引き落とし(PAD)を設定できます。PADは請求者が正当に使用する直接銀行引き落としの一形式ですが、悪用される可能性もあります。
そしてそれはまさに起こっているように見えるものです。
小さなチェックボックスは、細字とともに、ターゲットが署名したばかりのPAD契約に従って会社が毎週$20を引き落とすことを認可します。このチェックボックスは2つの目的を果たします。オペレーターに法的カバー(「あなたはそれに同意しました!」)を提供し、フォームが収集したばかりの銀行口座詳細を武器化します。
経済的に脆弱な人々をターゲットにする
このキャンペーンは、信用履歴が悪いまたは限定的な人々を意図的にターゲットにしているようです。「他の人が「いいえ」と言うときの承認」の約束は強力であり、特に財政的圧力下にある人々にとって強力です。
これらはランダムな被害者ではなく、彼らの必要性が彼らがソースを精査することなく機密情報を提供する可能性が高くなるため、ターゲットにされた人々です。
月$20のPAD手数料(年間$1,000以上)は、当座貸越、手数料、およびさらなる経済的害につながる可能性があります。
あなたのデータはどこへ行くのか
当社のネットワークトラフィック分析は、すべてが正当である可能性のある個別コンポーネントを使用する洗練されたマルチサービスバックエンドを明らかにしました。
Supabase: 被害者データはPOSTリクエストを介してSupabaseプロジェクトに送信されます:
POST https://bstvkdzfgpktokbiagsc.supabase.co/rest/v1/vault_memberships
Supabaseは、無料ティアを備えた正当で高く評価されているクラウドデータベースプラットフォームです。
Brevo(旧Sendinblue):これは正当な大量メール配信プラットフォームです。ここで被害者を登録することは、彼らが無期限にフォローアップキャンペーンでターゲットにされることができることを意味します。
POST https://bstvkdzfgpktokbiagsc.supabase.co/functions/v1/add-to-brevo
Google DriveおよびSheets: 署名データフィールドにはsignature_drive_urlが含まれており、被害者の手書き署名がGoogle Driveインフラストラクチャに保存される可能性があることを示しています。google_sheets_syncedフィールドは、受信した被害者レコードがライブGoogle Sheetにミラーリングされることを確認し、オペレーターにフォームを送信したすべての人のリアルタイムダッシュボードを提供します。
個別には、これらは信頼されたプラットフォームです。一緒に、彼らは以下のように設計されたシステムを形成しています:
- 機密個人および銀行データを収集する
- アクセス可能な形式で保存する
- ユーザーを継続的なマーケティングまたはフィッシングキャンペーンに追加する
言い換えれば、フォームを送信することは、あなたの銀行口座を危険にさらすだけでなく、再びターゲットにされる可能性が高い人々のリストに置かれる可能性もあります。
インフラストラクチャ
このキャンペーンの背後にあるインフラストラクチャは複数のドメインにまたがっています:
cosmosshift[.]org(メール送信者)yourcreditvault[.]com(ランディングページ)。yourscore[.]ca(フォーム送信後のリダイレクト)creditresources[.]ca(電話番号1-833-427-1562を含むフォローアップメール)debtlesscredit[.]com(その同じ電話番号を使用している別のウェブサイト)
複数のドメインを使用し、1つの電話番号が複数のドメインに関連付けられていることは、会社の正当性についての警告信号を上げています。
これは詐欺ですか?
それはあなたがそれを定義する方法によります。
これは詐欺の厳密な法的定義を満たさないかもしれませんが、ここで使用されている多くの戦術はフィッシングメールと詐欺ウェブサイトでも見られるため、Scam Guardがなぜそれをフラグ立てたのかを理解できます。
証拠は、これらのサイトが実在の企業によって運営されていることを示唆していますが、彼らはグレーゾーンにしっかり座っています。一方では、企業登録、公開ウェブサイト、そして明らかにいくつかの満足した顧客さえも持っています。一方、ビジネスモデル(クレジットまたは借金の「プログラム」の定期的な手数料)は、消費者の苦情と詐欺告発の継続的な流れを生み出しています。複数のドメイン(Credit Resources、Debtless Credit、Your Credit Vault)の使用は、債務救済スペースで一般的なリード生成戦略も指しています。
これらの企業が購入されたメーリングリストに依存しており、可能な候補のリストで私たちの顧客のメールアドレスを見つけた可能性も高いです。残念なことに、このようなリストは正当なマーケティング担当者とサイバー犯罪者の両方によって買収・販売されています。
メール送信者とCredit Resourcesにコメントについてアプローチしましたが、公開時に回答は受け取りませんでした。
サイバー犯罪者があなたについて何を知っていますか?
Malwarebytesの無料Digital Footprint scanを使用して、あなたの個人情報がオンラインで公開されているかどうかを確認してください。
