Insiktレポート

年次不正支払いインテリジェンスレポート:2024年

投稿: 2025年1月21日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

概要

Recorded Futureの2024年不正支払いインテリジェンスレポートは、2025年の課題に向けて、詐欺の状況が大きく進化した1年であったことを明らかにしています。主な調査結果には、カードデータの盗難が急増し、ダークウェブとクリアウェブのプラットフォーム全体で2億6900万件のレコードが投稿されたこと、CosmicStingのような脆弱性によるMagecartのeスキマー感染が3倍になったことが含まれます。詐欺電子商取引とダークウェブでのカード検証活動も、脅威アクターの高度化を反映して顕著に増加しました。

新たな傾向は、詐欺師が最新の決済テクノロジーやソーシャルエンジニアリングを悪用して 不正防止対策を回避する傾向が強まっていることを示しています。2025年の予測には、デジタルeスキミングや詐欺的な電子商取引の増加、ダークウェブ市場での活動の継続、米国での小切手詐欺の継続が含まれます。このレポートでは、金融機関、マーチャント、決済プロバイダーが不正に効果的に対抗するために、フュージョンインテリジェンス戦略と厳格な検証プロセスを採用する必要性を強調しています。

2024年の重要なハイライト

盗難データの急増

In 2024, 269 million card records and 1.9 million stolen US bank checks were posted on dark and clear web platforms. This surge reflects a combination of increased data compromise events and rampant reposting. Notably, card-not-present (CNP) data dominated, signaling the growing impact of e-commerce fraud.

Magecart E-スキマー感染

The volume of Magecart e-skimmer infections surged, reaching nearly 11,000 unique e-commerce domains—a threefold increase from 2023. This spike was driven by the CosmicSting vulnerability (CVE-2024-34102), alongside the use of out-of-the-box e-skimmer kits like “Sniffer by Fleras.”

詐欺的な電子商取引ウェブサイト

約1,200件の詐欺ドメインが不正なマーチャントアカウントにリンクされており、その多くは英国と香港で登録されています。これらの詐欺の運営者は、ソーシャルエンジニアリングの手法を駆使し、マーチャントアカウントをリンクさせて被害者を欺き、盗まれたデータを収益化しました。

ダークウェブのアクティビティ

ダークウェブのマーケットプレイスは、盗まれたカードデータを提供し、不正行為のワークフローを助長する、不正行為のエコシステムの中心であり続けました。Telegramは、最近の混乱にもかかわらず、独自の詐欺データのソースであり続けています。

デジタルeスキミングと詐欺的なeコマース

詐欺師は、高度なeスキマー戦術や詐欺ウェブサイトを使用してeコマースプラットフォームを標的にすることが増えています。デジタルウォレットの採用は、特にOTP傍受技術を通じて、決済エコシステムの脆弱性をさらに露呈させるでしょう。

ダークウェブマーケットプレイス

法執行機関の努力にもかかわらず、ダークウェブ市場は匿名性とスケーラビリティを提供し続け、繁栄するでしょう。Telegramのようなプラットフォームは引き続きアクティブですが、経験の浅い脅威アクターがこれらのチャネルを支配する可能性があります。

永続的な小切手詐欺

アメリカ合衆国における小切手詐欺の急増は、2025年になっても収まる見込みはありません。しかし、インテリジェンス主導の戦略を含む予防方法の進歩は、金融機関が損失を削減するのに役立つでしょう。

緩和戦略

  • 買収した販売者に、脅威アクターがMagecartのeスキマー感染を仕掛けるために悪用する可能性のあるeコマースWebサイトの脆弱性を特定し、解決するよう奨励してください。
  • マーチャントのオンボーディングプロセスの厳格化を強化して、マーチャントアカウントを不正に取得しようとする脅威アクターを阻止します。
  • デジタルウォレットのプロビジョニング試行の検証要件を強化します。
  • オンラインバンキングアプリケーションを通じてプッシュプロビジョニングを実装します。
  • Recorded Futureのインテリジェンスを活用します。
    • インテリジェンスフィードバックループを確立して、サイバーセキュリティチームと不正防止チームを連携させ、プロアクティブな不正検出と防止を実現します。
    • Recorded Future のインサイトを活用して、リスクのあるアカウント、侵害されたマーチャント、Magecart eスキマー、詐欺マーチャント、テスターマーチャント、盗難小切手に関わる不正行為を特定します。
    • 構造化データとトランザクション分析を活用してワークフローを自動化し、高リスクのマーチャントをブロックし、不正防止策を導入します。
    • 脅威の状況データと内部からのインプットを活用し、不正防止策を継続的に最適化します。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

Payment Fraud Review 2024 infographic

関連ニュース&研究