>
Insiktレポート

年次不正支払いインテリジェンスレポート:2022年

投稿: 2023年1月17日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

編集者注:これは完全なレポートの抜粋です。 文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

このレポートは、2022年の決済カード不正使用の状況の傾向と指標を提供し、最も頻繁に侵害または悪用された加盟店をテスター加盟店として特定します。 このレポートの対象読者は、金融機関やマーチャントサービス会社の詐欺およびサイバー脅威インテリジェンス(CTI)チームです。

Executive Summary

2022年はシステムショックの年であり、決済カード詐欺市場は無傷で生き残ったわけではありません。 ロシアのサイバー犯罪の取り締まりと、2022年2月のウクライナへの本格的な侵攻により、今年の残りの期間はカードの量が減少しました。 2022年には、合計で4,560万件の非対面カード(CNP)と1,380万件のカード非提示(CP)支払いカード記録がダークウェブ上のカードショップに販売目的で投稿されました。 これらの数字は、2021年に販売された6,000万枚のCNPと3,600万枚のCPレコードよりもかなり低いものでした。 まとめると、この供給、供給、および売上高の減少は、2022年の決済カード詐欺市場と脅威の状況を定義しました。

それにもかかわらず、カード詐欺市場とそこに参入する脅威アクターは、驚くべき回復力を示しました。 Magecartの攻撃者は、偽のペイメントカードフォームを使用し、正規のマーチャントWebインフラストラクチャを悪用してeスキマーを展開し、HTTPリファラーヘッダーを使用してセキュリティアナリストによる修復を妨害するキャンペーンを開始しました。 これらのキャンペーンの1つは、2つのオンライン注文プラットフォームの侵害につながり、プラットフォームを使用するマーチャントを侵害されるリスクにさらすトレンド戦術です。 一方、知名度の高い加盟店は、盗まれたカードの有効性を確認するために、ダークウェブ上の個々の脅威アクターやチェッカーサービスによってますます悪用されるようになりました。 そして最後に、ウクライナでの戦争によりサイバー犯罪者がカード詐欺を行う能力が妨げられたため、ある一流のカードショップは、供給の停滞を利用して、リサイクルされた支払いカードレコードを市場に氾濫させました。 これらの記録の品質の低さに不満を抱いているものの、機知に富んだ脅威アクターは、被害者に対して標的型アカウント乗っ取り(ATO)攻撃を実行するために武器化できる個人を特定できる情報(PII)の安価なソースとしてそれらを使用する可能性があります。

金融機関とカード発行会社は、決済不正のライフサイクル全体からのインテリジェンスを統合するプロアクティブな不正防止戦略を採用することで、2023年にカード不正使用による損失を減らすことができます。 2023年のカード詐欺活動の全体的なレベルは、ロシアのウクライナでの戦争が続くかどうかに大きく依存します。もしそうなら、脅威アクターがカード詐欺に関与する能力は低下したままになる可能性があります。 しかし、戦争が終われば、支払いカード詐欺が再開または増加する可能性があります。

主な調査結果

  • 2022年には、ダークウェブのカードショップに4,560万件のCNP決済カード記録が掲載され、2021年から24%減少しました。 今年のCNPの件数が比較的少ないのは、2022年初頭のロシアのサイバー犯罪の取り締まりと、それに続くウクライナへの全面侵攻の結果である可能性が高いです。 2022年、最も影響を受けたCNPの侵害は、オンライン注文プラットフォームに影響を与えました。
  • 2022年には、ダークウェブのカーディングショップに1,380万件のCPペイメントカードレコードが掲載され、2021年から62%減少しました。 この減少につながったのは、その年の出来事が要因である可能性もありますが、より安全な対面決済手段の世界的な採用が進んでいるため、CPの数量も年々着実に減少しています。 2022年、CP違反は小さなレストランやバーに圧倒的な影響を与えました。
  • Recorded Future® Magecart Overwatchプログラムは、2022年の任意の時点で、9,290の一意のeコマースドメインの感染に関与する1,520の一意の悪意のあるドメインを発見しました。
  • 少なくとも2,050万枚の侵害された支払いカードの完全なプライマリアカウント番号(PAN)が、ダークウェブフォーラム、ペーストビン、ソーシャルメディアなどのさまざまなリソースにプレーンテキストまたは画像として投稿されました。
  • Recorded Futureが監視する21のカードチェッカーサービスは、660の一意の加盟店識別番号(MID)に関連付けられた2,953の一意の加盟店を不正なカードチェックに悪用しました。
  • 脅威アクターは、3Dセキュア(3DS)プロトコルによって提供される保護を回避または回避することに焦点を当て、攻撃を容易にする手段としてカスタマーサービスコールセンターの悪用について議論することが多くなりました。 さらに、2022年を通じて投稿された安価な再投稿された支払いカード記録が急増したことで、ATO攻撃の攻撃対象領域が拡大しました。
  • 不正決済のライフサイクルは、サプライチェーン、買い手と売り手の間の調整された交換、チェッカーなどのサービスの提供に支えられた現実世界の市場によく似ています。 この高度な組織化は、カード詐欺の機会と影響を増大させますが、データ豊富な環境も生み出します。 したがって、カード発行会社、アクワイアラー、マーチャントサービスプロバイダーは、不正使用のライフサイクル全体からインテリジェンスを組み込んで統合し、不正使用に積極的に対処する必要があります。

背景

支払いカード詐欺は、洗練された地下経済の一部として存在します。 プロダクションネットワーク、サプライチェーン、ダークウェブのカードショップは、脅威アクターに、犯罪サービスや商品を同業者に売り込んだり、盗んだデータをカード詐欺に従事するエンドユーザーに提供したりする手段を提供します。 この影の経済の中で、ペイメントカード詐欺は、下の図1に見られるように、特定の「ライフサイクル」に準拠しています。

annual-payment-fraud-intelligence-report-2022-fig1.png 図 1: 支払いカード詐欺は、一般的なライフサイクルに準拠しています(出典:Recorded Future)

ライフサイクルの初めに、物理的な侵害は、加盟店のカード提示(CP)取引から支払いカードデータを盗むことを容易にします。 一方、サイバー犯罪者は、オンラインのカード非提示(CNP)トランザクションからカードデータを盗むために、デジタル侵害(多くの場合、Magecartのeスキマー感染)を制定します。 これらの盗まれたカード記録は、ダークウェブに売りに出され、犯罪者の購入者が「ウィンドウショッピング」できるように、支払いカードデータの一部が表示されます。 時折、カーディングショップは盗んだペイメントカードデータ全体をプロモーション目的で公開し、犯罪者が完全なプライマリアカウント番号(PAN)を盗む多くの機会の1つを提供します。 カーディングショップは、販売する前に、適切な名前のチェッカーを使用して、盗まれたカードセットを評価します。個々の犯罪者は、購入前または購入後に同じチェッカーを使用して記録の有効性を確認します。 「エンドユーザー」の不正使用者は、希望する決済カードデータを取得すると、通常は不正な取引を通じてそれを収益化します。 攻撃者が被害者の個人を特定できる情報(PII)を十分に取得できれば、アカウント乗っ取り(ATO)攻撃を試みて被害者の銀行口座を現金化することさえできます。

2022年を通じて、Recorded Futureはこのシャドーエコノミーを監視し、クライアントが決済カード詐欺のライフサイクルのあらゆる段階で不正を阻止できるようにしました。 モニタリングの過程で、2021年から続く傾向と、2022年の出来事から有機的に成長した新しい傾向の両方が観察されました。

編集者注:これは完全なレポートの抜粋です。 文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

関連