>
Insiktレポート

「ERIAKOS」詐欺キャンペーン:Recorded Futureの決済詐欺インテリジェンスチームによって検出

投稿: 2024年7月30日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

Recorded FutureのPayment Fraud Intelligenceチームは、Facebookユーザーを標的とした「ERIAKOS」キャンペーンと名付けられた詐欺電子商取引ネットワークを特定しました。 2024年4月17日に検出されたこのキャンペーンには、ブランド偽装とマルバタイジング戦術を使用して個人データと財務データを盗む608の詐欺Webサイトが含まれています。 特に、詐欺Webサイトはモバイルデバイスと広告ルアーを介してのみアクセスでき、自動スキャナーを回避する可能性が高かったです。 Recorded Futureは、疑わしいマーチャントアカウントをブロックリストに登録し、顧客の取引を綿密に監視することを推奨しています。 このキャンペーンで高度なスクリーニング技術を使用することは、現在の検出技術に挑戦する可能性のある成長傾向を示唆しています。

ERIAKOS詐欺キャンペーン:複雑な詐欺の網を解き明かす

2024年4月17日、Recorded Futureの Payment Fraud Intelligence チームは、Facebookユーザーを標的とした、単一の脅威アクターまたはグループによって組織された608の詐欺eコマースWebサイトのネットワークを発見しました。 「ERIAKOS」キャンペーンは、使用されたCDNにちなんで「ERIAKOS」と名付けられました(oss[.]エリアコス[.]com)、 これらの詐欺サイトは、ブランドのなりすましとマルバタイジングの戦術を使用して、被害者の財務データや個人データを盗み出しました。 これらの詐欺サイトは、モバイルデバイスと広告ルアーを介してのみアクセスされていましたが、これは自動検出システムを回避することを目的とした戦術であり、そのようなTTPを初めて直接観察しました。 この洗練されたキャンペーンは、Facebookの広告ルアーを介して詐欺サイトにアクセスしたモバイルユーザーのみを対象としていました。 この戦略的な動きにより、自動スキャナーによる検出の可能性が大幅に減少しました。 これらの詐欺サイトにリンクされたマーチャントアカウントは、主要なカードネットワークや中国のPSPを通じて支払いを処理し、詐欺にさらなる複雑さを加えています。

金融機関は、チャージバックの紛争や回復不能な損失など、金融詐欺のリスクにさらされています。なりすまし企業は、特に詐欺の被害を受けた企業の間で、風評被害に直面しています。 これらのリスクを軽減するために、Recorded Futureは、レポートで特定された疑わしいマーチャントアカウントをブラックリストに登録し、潜在的な 詐欺 指標がないか取引を監視することをアドバイスしています。

緩和戦略

この脅威に対抗するために、金融機関は次のことを行う必要があります。

  • 詐欺ドメインに関連付けられているマーチャントアカウントを特定し、ブラックリストに登録します。
  • これらの加盟店との顧客取引をブロックします。
  • 過去の取引データを監視して、これらの詐欺に遭う可能性を検出します。
  • 不審なウェブサイトや取引を報告するよう顧客に促します。
  • 詐欺 Web サイトのリードを Recorded Future と共有して、より広範な脅威の特定を実現します。
  • Recorded Future Payment Fraud Intelligence(PFI)を活用して、PFI common-point-of-purchase(CPP)データセットを使用して、詐欺の可能性を検出および軽減します。
  • Recorded Future Brand Intelligenceを活用して、ブランド偽装の脅威を検出し、軽減します。

消費者の方は、以下の予防措置をお勧めします。

  • 個人情報と支払い情報は、安全で信頼できるWebサイトでのみ提供してください。
  • 購入する前に、企業を徹底的に調査してください。
  • eコマースWebサイトとその支払いサブドメインの正当性を確認します。
  • 未承諾の通信や広告に注意してください。
  • 詐欺があった場合は、カード発行会社とBetter Business Bureau(BBB)に報告してください。

技術的分析

Recorded Futureは、608のドメインをERIAKOSキャンペーンに結びつける4つの主要な指標を特定しました。

  1. コンテンツ配信ネットワーク: すべての詐欺サイトはoss[.]エリアコス[.]コム。
  2. ドメインレジストラ: ドメインはAlibaba Cloud Computing Ltd.に登録されました。
  3. IPアドレス: 2つの特定のIPアドレス(47[.]251[.]129[.]84 および47[.]251[.]50[.]19) 一貫して使用されていました。
  4. ドメインの設定ミス: 詐欺ドメインは、メインドメインとwwwサブドメインの間で特定の設定ミスを示しました。

これらの指標をマーチャントアカウントのデータと組み合わせることで、Recorded Futureは詐欺ネットワークの全範囲をマッピングすることができました。 支払い処理に中国のPSPを使用したことで、検出と削除の取り組みがさらに複雑になりました。

今後の展望

ERIAKOSキャンペーンが高度なスクリーニング技術を使用して検出を回避していることは、詐欺戦術の潜在的な傾向を示しています。 これらの方法が普及すると、現在の検出技術では同様の脅威を特定して軽減するのが難しくなり、詐欺の寿命が長くなり、被害者の露出が増加する可能性があります。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連