現代の詐欺師の適切な例えは「キャンディショップにいる子供」です。彼らは、説明責任や結果の脅威が最小限のツールとターゲットに囲まれています。デジタル詐欺は現在、リスクが低くなり、よりシンプルになり、よりアクセスしやすくなりました。また、金銭的な動機もかつてないほど明確になっています。サイバー犯罪者は常に金融業界をターゲットにしてきましたが、現代の詐欺師はコードを1行も学ぶことなく、脆弱な銀行口座から金を稼ぐことができます。
オンラインバンキングの普及(米国だけで71% 、 Z世代の95%を含む)に伴い、詐欺師の潜在的な標的の選択肢が急激に増加しています。たった 1 回の攻撃でも莫大な利益が得られ、累積的なビジネス コストは驚異的なレベルにまで上昇します。ジュニパーリサーチの推定によると、サイバー犯罪による全世界の損失は2024年に5兆ドルを超えると予想されています。
この金額は恐ろしい額かもしれませんが、今日では簡単にアクセスできる詐欺ツールのおかげで、この金額は十分に信じられるものとなっています。サイバーセキュリティ監視団体は、デジタルインフラの脆弱性を発見し、悪用しようとする「詐欺コミュニティ」の発展を目撃している。脆弱性が発見されると、それを自動化し、パッケージ化して販売(または無料で配布)することができます。こうしたコミュニティは非常に一般的になりつつあるため、技術的な知識のない犯罪者でもチュートリアルに従うだけでかなりの収入を得ることができます。
この記事では、これらのコミュニティが、最小限の技術的知識で詐欺師が攻撃を展開するのをどのように支援しているかを明らかにします。ただし、注意してください。デジタル詐欺がいかに簡単であるかを概説しますが、重要な詳細は意図的に省略しています。
当社は新たな詐欺師を教育したり奨励したりすることを拒否します。詐欺は罪のない人々を犠牲にする犯罪です。以上です。ここでの私たちの目的は、企業と顧客が直面している脅威について皆さんに知っていただくことです。
そうは言っても、詐欺師がどのように詐欺行為を習得するのか、そしてこれらのツールがより利用しやすくなるにつれて詐欺が悪化する理由について、さらに詳しく知るために読み進めてください。
現実の詐欺には技術的なスキルは必要ない
一般の人々はハッカーについての知識を映画やテレビから得ています。一部のメディアでは本物のハッキングやソーシャルエンジニアリングの手法を描写するかもしれないが、一般の人々は依然として、詐欺師はパーカーを着た技術の達人がリアルタイムでコードを量産している姿を想像している。
ハッカーの中には優れたコーディング能力を持つ人もいますが、アカウントを攻撃するのにトレーニングやスキルは必要ありません。ツールやハウツーガイドをどこで入手できるかを知るだけで十分です。初心者ハッカー向けの情報やダウンロードは、Telegram グループ、ダークネット マーケットやフォーラム、Discord サーバー、さらには表面的な Web サイトなど、多くのソースに保存されています。
これらのコミュニティは、サイバー犯罪エコシステムに関する一般的な知識を提供し、盗まれた認証情報の購入、フィッシングツールの入手、成功率の向上、従来のセキュリティ対策の回避、当局による検出の回避に関するステップバイステップのレッスンを提供します。
新米詐欺師の立場になって考えてみよう
あなたが道徳心を捨ててハッカーになることを選んだとしましょう。あなたがフィンテックの世界に目を向けたのは、(当然ながら)現金が大量に入っている、セキュリティが不十分な口座がたくさんあると想定したからです。成功とは、ただ彼らを見つけてお金を持って逃げることだということをあなたは知っています。
まず、詐欺行為について詳しく学ぶ必要がありますが、心配しないでください。それほど時間はかかりません。簡単に現金化できることを確かめるだけでよく、おそらく、自分の足跡を目立たないようにする方法を考え出す必要があるでしょう。幸いなことに、あなたの新しい詐欺師のペルソナにとって、この情報はすぐに入手できます。
最も速くて最大の情報源は Google です。覚えておいてください、あなたは技術の専門家ではないので、おそらく「銀行口座をハッキングする方法」を Google で検索することから始めるでしょう。見つかる知識は限られているか、実用的なものを見つけるには非常に深く掘り下げる必要があります。さらに、Google のセーフサーチ機能により、主題に関連するいくつかの結果がブロックされる可能性があります。しかし、新しい職業に進むには十分なものが見つかるでしょう。Google の検閲は障害ではありません。
表面的なウェブサイトからのガイダンスのおかげで、詐欺を学ぶのに最もアクセスしやすいプラットフォームは Telegram であることがすぐにわかります。Telegram をご存じない方のために説明すると、これはセキュリティ アーキテクチャとコンテンツ モデレーションの欠如で評判を得たメッセンジャー アプリです。
Telegram は、Google が隠している可能性のあるトピックを検索でき、当局からほとんど隠されているため、サイバー犯罪について学ぶには最適な場所です。Telegram のエンドツーエンドの暗号化により、最小限の設定で新進のサイバー犯罪者に簡単に匿名性を提供できます。
一部のグループは見つけるのが少し難しいですが、「詐欺」、「詐欺チュートリアル」、「銀行ログ」、「カードドロップ」などの簡単な検索語を使用して、ツールを探し始めることができます。そこから、より詳しい情報のあるグループを詳しく調べることができます。
入って、詐欺師、買い物に行くぞ
それで、あなたはダークサイドに屈することを決心しましたが、手元に現金が欲しいのです。Telegram グループで簡単に検索した後、好みの攻撃ベクトルについて考えます。ATM から現金を引き出すことは、特に自国で発行されていないクレジットカード番号を使用する場合は、必ずしもうまくいかない可能性があることに気付きます。
電子商取引をターゲットにすることを検討しています。入手したものはすべて収益化する必要があります。つまり、入手した物理的な商品や電子製品を販売する必要があります。通常、合法的なものも違法なものも含め、オンライン マーケットプレイスで販売することで、法定通貨に変換できます。しかし、それは余分な作業なので、ソースに直接アクセスすることをお勧めします。
少し考えた後、銀行口座に対して「クイックヒット」(アカウント乗っ取りとも呼ばれる)を実行することにしました。アカウントにアクセスし、被害者から自分に資金を送金して姿を消します。あなたは Telegram グループを徹底的に調べているので、そのためのツールやチュートリアルがどこにあるかは既にご存知でしょう。
下の画像のグループは、「銀行ログ」、つまり送金できる資金が入っている銀行口座の認証情報を購入する方法と場所を示しています。
このグループは、大手の電子商取引 Web サイトに似た UI デザインを備えたマーケットプレイスを紹介します。
店頭を散策すると、購入時に得られるすべてのものを紹介するビデオ ガイドが表示されます。ログイン詳細に加えて、デジタル セキュリティ ベンダーによる検出を回避するのに役立つインスタント クッキーも受信します。
その後、スムーズに購入できれば、盗まれた銀行認証情報の自慢の所有者になります。次は何をする?もちろん、ログインに成功するにはガイドに従ってください:
次に、被害者の口座からお金を引き出す方法について賢明に考える必要があります。盗まれた口座に関連するデビットカードやクレジットカードがないため、その口座から直接引き出すことはできません。お金をあなたの個人口座に振り込むと、当局はすぐにあなたに連絡するでしょう。どうやってお金を引き出すのですか?
「銀行ドロップ」が必要です。バンクドロップは、疑いを持たれることなく送金できるクリーンな口座です。これはミュールまたは仲介人として機能し、ダミー アカウント間を数回経由した後、資金を自分のアカウントに移動できるようにします。痕跡を隠すために、少なくともいくつかの銀行口座の引き落とし口座を使用することになるでしょう。
銀行口座振込口座は通常、オンライン銀行を通じて開設されます。このタイプの不正アカウントは「悪質なアカウント」と呼ばれます。詐欺師は、疑惑を避けるために、一見正当なアカウントを開設し、しばらくの間、犯罪行為を行わないようにします。そして、警戒信号が上がる前に、盗んだ資金を相互にやり取りするのです。それで、銀行のドロップはどこで手に入りますか?
次の 2 つのオプションがあります。
最初の選択肢は、第三者(通常は有料サービス、または私たちに代わってそれを実行する別の詐欺師)を使用することです。以前と同じ手法で、関連するベンダーやサービスを提供している詐欺師を探し出すことができます。
2 番目のオプションは、銀行ドロップのログイン詳細を購入して自分で行うことです。
キャンディーショップにいる子供のように
最後に、最終エンドポイントに資金を送金します。これは、個人使用のために開設した銀行口座、またはカードなしで現金を引き出せる別の銀行の口座である可能性があります。さあ、パーカーを着て、地元の ATM に行き、現金を引き出す時間です。
銀行や金融機関の顧客は常に攻撃者の標的となっています。ここで見たように、サイバー詐欺のエコシステムへの参入障壁が低いことが差し迫った脅威となっています。急速に変化する攻撃ベクトルと傾向に追いつくには、脅威インテリジェンスと継続的な調査が不可欠です。残念ながら、詐欺が今後も増加し続けることは間違いありません。
認証情報、ツール、チュートリアルを販売するだけで詐欺を助長することに満足しているハッカーも少数いますが、技術的な知識がほとんどない者も含め、さらに多くの犯罪者がデジタル詐欺エコシステム内で拡大するチャンスに飛びつくでしょう。必要なのは時間と少しの幸運、そして法律を破る意欲だけです。
