Insiktレポート

犯罪地下における失業詐欺[レポート]

投稿: 2021年1月14日
作成者 : Insikt Group

Primary Logo - Insikt - Digital (RGB).png

Click Here をクリックして、完全な分析をPDFとしてダウンロードします。

このレポートは、クローズドソースとアンダーグラウンドレポート内の米国における失業詐欺の現在の脅威の状況をレビューします。 これには、Recorded Future® Platformを使用して収集された情報のほか、追加のオープンソースインテリジェンス(OSINT)、ダークウェブソース、アンダーグラウンドフォーラムの調査が含まれています。 犯罪の地下組織における失業保険詐欺をよりよく理解しようとしている組織や、そのような攻撃を実行する脅威アクターの調査員にとって興味深いものになるでしょう。

Executive Summary

COVID-19のパンデミックにより、もともとはウイルスによって生活が混乱した人々に配布されるはずだった失業救済をテーマにしたさまざまな刑事サービスが商品化されました。 最近、失業詐欺は脅威アクターにとってますますアクセスしやすくなっており、駆け出しのサイバー犯罪者にとって参入障壁が低くなっています。 COVID-19パンデミックと戦うための救援活動をテーマにした今年の詐欺キャンペーンの成功は、ソーシャルエンジニアリングキャンペーンの成功、米国全土で活動するマネーミュールの使用、データ侵害中に流出した脅威アクターによるログイン情報または個人を特定できる情報(PII)の使用などの要因が組み合わさった結果である可能性があります。 ダンプ、または漏れ。 失業給付制度を標的とする詐欺師の中には、企業の経営幹部に向けられた標的型フィッシングメールなど、従来のソーシャルエンジニアリングに頼る傾向がある人もいます。 この詐欺行為に関連してマネーミュールを使用した疑いなど、他の戦術は、さまざまな種類の詐欺を専門とする他のサイバー犯罪グループ、特にビジネスメール詐欺(BEC)スキームを専門とするクルーの戦術と重複しています。

失業保険詐欺のチュートリアルの販売に関するアンダーグラウンドの参照の量と、これらの方法が生み出す閲覧数を考えると、多くの詐欺師は、この形式の詐欺を行うことにまだ慣れていない可能性があります。 Recorded Futureは、攻撃者が政府システムの脆弱性を悪用していると疑う証拠はなく、代わりに、以前に公開された情報を収集することで、全国のできるだけ多くの被害者を日和見的に標的にする能力に依存しています。 2020年を通じての失業詐欺の一般的な増加は、失業申請者のデータを仮想的および物理的に保護する責任を負う複数の政府機関のセキュリティ衛生のギャップによっても悪化した可能性があります。 これは、失業保険申請に関連する個人情報を含む物理的なメールを傍受しようとしていると考えられている一部の州のアクターによって証明されています。 多くの州で公務員を圧倒している不正な失業保険申請の一般的な洪水は、盗まれたアカウントを購入したり、同様の詐欺を行う方法に関する安価なチュートリアルや方法を購入したりできるサイバー犯罪者の参入障壁が低いことによっても可能になっています。

主な判断と調査結果

  • 過去6か月間のクローズドソースレポートにおける不正な失業サービスの促進は、大きく2つのカテゴリに分けることができます。

  • 不正な請求を行うためのチュートリアルまたは方法の販売

  • 既存の資金残高を含むことが多い失業救済口座への直接アクセスの売却

  • 過去6か月間、サイバー犯罪者は、犯罪フォーラム、ショップ、マーケットプレイス、特にTelegramよりも、メッセージングプラットフォームを介して失業保険詐欺のチュートリアルやサービスを宣伝することを好むことを示しました。

  • 失業保険詐欺サービスを宣伝する地下の情報源は、通常、クレジットカード詐欺や税金詐欺など、他のさまざまな形態の詐欺を同時に専門としています。

  • 米国内の不正な失業保険申請の規模は、ここ数か月で十分に広まっており、単一の脅威エンティティに起因する可能性は低いです。

  • 数百万ドルと評価された失業詐欺活動に起因する報告された損失に関するオープンソースの報告は、アンダーグラウンドの脅威アクターの関心の高まりに貢献している可能性が非常に高いです。

  • マネーミュールは、地下の売り手がアップロードした不正な失業方法の画像や、2020年を通してミュールの容疑者の逮捕をめぐるオープンソースのレポートからも明らかなように、失業詐欺のサプライチェーンの重要な要素であり続ける可能性があります。

背景

COVID-19のパンデミックが始まって以来、全米で失業詐欺が横行していることが報告されており、各州がさまざまな程度で影響を受けています。 これは、盗んだPIIを使用して失業保険を申請している脅威アクターから、海外で活動する詐欺的な脅威アクターに盗まれた資金を注ぎ込むマネーミュールの報告に対抗する州当局者まで、さまざまな形で現れています。

  • 2020年1月、連邦捜査局(FBI)は、サイバー犯罪者がなりすましWebサイトを使用してPIIを収集し、金銭を盗んで偽の雇用詐欺をますます複雑化させ、合法的な雇用主や職業紹介会社と一緒に広告を出して、あらゆるスキルと収入レベルの被害者を標的にする方法 を詳しく説明し ました。 失業詐欺を行うためにPIIを狙う犯罪者は、以前に報告されたデータダンプや侵害、または低コストで情報を販売する他の犯罪市場( 多くの場合は自動化)から情報を収集し続ける可能性があります。
  • 4か月後、米国シークレットサービス(USSS)は、州の失業保険プログラムを標的とした詐欺の報告の増加を、「よく組織された」ナイジェリアの詐欺組織と 関連付け ました。 Agariの研究者は、当時発生していたこのナイジェリアの詐欺の一部を、Scattered Canaryと呼ばれるサイバー犯罪者のグループに帰属させる情報 を公開し ました。 過去数年間のグループの活動の結果としての潜在的な損失は、数億ドルに上ると 評価 されています。 USSS は、 詐欺ネットワークには数百人のマネーミュールが含まれていると考えられており、詐欺的な金融取引の収益を洗浄するために採用された自発的または無意識的な個人を表すために使用される用語であると述べました。

横行する失業詐欺の報告は、複数ので続いています。Recorded Futureでは、政府システムに固有の脆弱性に起因する失業詐欺の事例は見られません。むしろ、報告には、州ごとに個々の詐欺師が使用するさまざまな手法が詳述されているため、今年発生した失業詐欺の報告のすべてが、1つの包括的な脅威エンティティによるものである可能性は低いです。 2020年を通じて失業詐欺が全般的に増加したのは、失業申請者データの保護を担当する複数の政府機関のセキュリティ衛生状態の失敗によって悪化した可能性があります。 セキュリティの専門家は、COVID-19のパンデミック以前から、複数のが、この特定の形態の不正行為に対抗する能力に関連する既存の問題を抱えていた可能性が高いと考えています。

  • 本人確認ソフトウェアを実装または更新して、申し立てが広まる前に確認する
  • 刑務所の受刑者死亡者として記載されている個人、州外の居住者など、他の個人の個人データに対する給付金請求の照合
  • 社会保障番号(SSN)などの申請者のPIIが、物理的な盗難の影響を受けやすいメール通信に含まれていないことを確認してください

新興のサイバー犯罪者は、失業制度に関する予備知識がなくてもこのような不正行為を行うことがいかに簡単であるかを詳述したオープンソースのレポートと、彼らの活動を促進するためのチュートリアルや方法の購入が比較的安価であることに勇気づけられている可能性が非常に高いです。

脅威分析

過去6か月間のクローズドソースレポートにおける不正な失業サービスの促進は、大きく2つのカテゴリに分類できます。

  • 失業救済を支援する政府のシステムまたはプラットフォームに不正な請求を提出するためのチュートリアルまたは方法の販売
  • 既存の資金残高を含むことが多い失業救済口座への直接アクセスの売却

2020年3月、米国の議員はコロナウイルス支援、救済、経済安全保障(CARES)法を 可決 し、パンデミック失業支援(PUA)プログラムを確立しました。 このプログラムは、失業保険の受給資格を、コロナウイルスの影響を受けた自営業者、フリーランサー、独立請負業者、パートタイム労働者に拡大します。 PUAプログラムは、パンデミックに対応して米国内の政府機関が提供する失業救済の1つの要素にすぎませんが、失業詐欺に関連するアンダーグラウンド広告の量の増加に不可欠な要素であり続けています。

unemployment-fraud-in-criminal-underground-1-2.png

Figure 1: PUA program mentions within dark web sources (Source: Recorded Future)

下の画像は、複数の形態の不正行為に特化した1つのTelegramチャネルのメンバーに提供された調査結果を示しています。 PUA情報の販売は調査では最下位でしたが、調査に含まれていること自体が、この不正行為の要素がサイバー犯罪者の間で十分な需要を生み出し、クローズドソース内で独自の販売カテゴリを保証することを示しています。 Recorded Futureは、失業救済を取り巻く条項が2020年末に期限切れになると予想された結果、少なくとも1つのTelegramチャンネルが「作戦」を実施していることを知っており、PUAプログラムやその他の失業救済の提供が突然停止された場合に、できるだけ多くの収益を上げようとするチャンネルの管理者にとって、不正なPUA請求が優先されます。

unemployment-fraud-in-criminal-underground-2-1.png

Figure 2: November 2020 survey in Telegram channel dedicated to fraud activities (Source: Telegram)

過去 6 か月間、サイバー犯罪者は、犯罪フォーラム、ショップ、マーケットプレイスよりも、メッセージング プラットフォームを介して失業保険詐欺のチュートリアルやアカウント情報を宣伝することを好むことを示しました。 ただし、従来の市場内の需要は依然として高く、管理者は失業詐欺に関連するさまざまなサービスをサポートし続けることができます。

この形式の詐欺のもう一つの魅力的な側面は、チュートリアルやアカウント情報が比較的安価であることです。 Recorded Futureは、対象となる州に応じて、5ドルから100ドルの間で販売する失業詐欺の実施に関連するチュートリアルと方法を観察しました。 PUA情報や、既存の救済資金残高を含む州政府のプラットフォームへのアクセスの価格は、通常、高かったのです(下の図3に示すように、一部の脅威アクターは、ニューヨーク州とウィスコンシン州の失業保険申請に関連するPUA情報に対して80ドルから100ドルを要求していました)。

この情報を販売する脅威アクターは、アンダーグラウンドビジネスモデルの長期的な成功を確実にするために、数千ドル相当の救済残高を持つアカウントを見送る意思を示しました。 さらに、チュートリアルとは対照的に、既存の残高のある口座への直接アクセスの価格が高いのは、買い手が別のベテラン俳優がすでに調達した可能性のある資金により簡単にアクセスできる立場にあるためである可能性があります。 これは、法執行機関からの注意を避けながら、利益を得るために被害者のアカウントを取得する最終的な責任が購入者にあるチュートリアルとは対照的です。

unemployment-fraud-in-criminal-underground-3-2.png

Figure 3: Sale of access to “random” PUA account information

失業保険詐欺に関連する他の詐欺手法には、サイバー犯罪者が不正な請求を提出する際に成功する可能性を高めるための有用なヒントであると考えていたものが含まれていました。 複数のチュートリアルで詐欺師が推奨するヒントには、次のようなものがあります。

  • COVID-19のパンデミックがいつあなたの雇用活動に影響を与えたかについて申請書で尋ねられた場合は、CARES法が議会によって施行されるわずか2日前の2020年3月25日と記入してください。

  • 可能な場合は「自営業者」として請求を提出すると、申請者は別の会社で働いていると申告した人よりも多くのお金を稼ぐことができます。

  • この同じガイドは、後に他の詐欺師に、請求を提出する際にどの仕事で成功したかをアドバイスしました。 このチュートリアルの場合、著者は「プロの写真家」のふりをしたり、リモート環境内では実現するのがより難しい別の仕事をしたりすることを推奨しています。

  • 2019年に年間いくら稼いだかを尋ねられた場合、不正な請求を提出するときは、16,850ドルから42,100ドルの間の金額を記載してください。 このケースの著者は、特定の基準を超える給与を提供することで、法執行機関の調査官や個々の請求を検討する州当局者によってフラグが立てられる可能性が高くなると考えていた可能性があります。

  • ソーシャルエンジニアリングのテクニックも、複数のチュートリアルで奨励されました。 あるガイドでは、著者らは、PUAの「請求ライン」に電話し、別の情報源から取得した社会保障番号(SSN)を入力すると、その個人がすでに未解決の失業救済請求を持っているかどうかが確認されると報告しました。 まだ申し立てが行われていない場合は、VerifiedやTruthfinderなどの公的記録集約Webサイトが、ターゲットに関する追加のPIIのソースとして推奨されました。 アクターは、ターゲットの「良い」SSNと生年月日(DOB)情報を使用して、これらの公的記録集約サイトでさらに調査を行うよう特にアドバイスしました。 しかし、このガイドでは、アクターはある程度の偏見も示しており、最終的には、提携している特定のアンダーグラウンドマーケットプレイスを訪れて追加情報を購入することを推奨しています。

不正な失業救済チュートリアルや口座情報を販売するアンダーグラウンドソースは、通常、クレジットカードや税金詐欺など、他の形態の詐欺を専門としています。 さらに、この種の詐欺の売り手は、一度に1つの州の失業制度を標的にすることにすべてのリソースを割いているようには見えません。 代わりに、クライアントの需要と特定の州内の失業救済口座へのアクセスの難しさのレベルに基づいて、さまざまな州の情報に同時にアクセスするサービスを提供しています。

unemployment-fraud-in-criminal-underground-4-1.png

Figure 4: Screenshot of state PUA offerings from a single underground actor (Source: Telegram)

エンドユーザーの閲覧履歴や「デジタルフットプリント」の販売を専門とするGenesis StoreやRussian Marketなどの犯罪店にも、2020年を通じて失業救済に関連する州政府のドメインのログイン情報が定期的に含まれています。 Recorded Futureは、州政府のログイン情報を含むこれらの「ボット」が失業詐欺行為を犯すために特別に購入されたという兆候やコメントをサイバー犯罪者の間で確認していませんが、これらのショップ内にディスカッション機能がないため、これらのソースからの購入の背後にある具体的な動機を特定することは困難です。

政府による監視の変更に対するアラート

全米で失業保険詐欺の報告が着実に増加した結果、各州は程度の差こそあれ、この形態の不正行為によってもたらされる脅威を緩和しようと試みてきました。 2020年11月の時点で、USSSは、給与保護プログラムと失業救済保険プログラムを対象とした詐欺に関連する700件の未解決の調査 を報告しました 。 この横行する詐欺に対抗するために、各州がより強力なセキュリティ体制を開発し続ける中、失業保険の詐欺方法や口座情報を宣伝するサイバー犯罪者も、これらの変化を監視し続け、それに応じて調整しています。

  • 下の図5は、詐欺行為を専門とするテレグラムチャンネルの管理者が、金銭的救済を配布していないと信じている米国の7つの特定の州にリンクされている失業プラットフォームを購入したり、アクセスしようとしたりしないようにメンバーにアドバイスしていることを示しています。
  • 個々のTelegramチャンネルは、どの州が理想的なターゲットであるか、またはそうでないかについて、常にさまざまな推奨事項を持っているようです。 たとえば、2020年11月に最初にアップロードされた図5のTelegramの投稿から2週間以内に、脅威アクターは、チャネル管理者による事前の警告にもかかわらず、同じチャネル内でオハイオ州の州システムに関連する方法またはアカウント情報の販売を再開しました。
  • また、これらのメッセージングプラットフォームチャネル内の脅威アクターは、一部の州が他の州よりも自分の場所を特定する能力が高いことに懸念を表明しています。 あるシナリオでは、Recorded Futureは、追跡アプリケーションを使用して不正な請求を監視している可能性が高いと思われる米国の4つの特定の州に近づかないようにユーザーにアドバイスするユーザーからのコメントを観察しました。 プロキシIPアドレスの使用は、このような形式の追跡を防ぎ、政府機関が発信元のIPアドレスに疑わしいとフラグを立てる場合に、ユーザーが失業プラットフォームからロックアウトされないようにするために、クローズドソース内で使用することを強くお勧めします。

unemployment-fraud-in-criminal-underground-5-1.png

Figure 5: Threat actor advising channel members to avoid targeting certain states (Source: Telegram)

unemployment-fraud-in-criminal-underground-6-1.png

Figure 6: Warning from admin about government efforts to spy on Telegram channels (Source: Telegram)

この不正行為の拡散を助長した政府または企業のシステム内のセキュリティの脆弱性は認識されていません。 脅威アクターは、公開されたログイン情報を収集したり、地下ソース内で販売するためにPIIのバンドルを購入したりすることで、日和見的に失業救済プラットフォームを標的にし続ける可能性が高くなります。

他の詐欺師の支援

一般的に、失業保険詐欺を専門とするメッセージングプラットフォーム内のチャネルを維持している管理者は、チャネルの需要を生み出し、収益を増やすことができるパートナーとの長期的な関係を築こうとするため、新しいユーザーを指導するというアイデアを受け入れていました。 サイバー犯罪者が失業保険詐欺で互いに協力しようとする姿勢は、サイバー犯罪者のフォーラムにも引き継がれ、長期的な詐欺行為のために「真剣な」パートナーを求めるユーザーからのリクエストが繰り返し寄せられていることが確認されました。 これらのスレッドは、利害関係者がプライベートチャネルを介してベンダーに連絡することを奨励したため、これらのパートナーシップの潜在的な成功に対するRecorded Futureの可視性は限られています。

unemployment-fraud-in-criminal-underground-7-1.png

_図7:失業給付パートナーの申請_

雇用詐欺やPUA詐欺の手法のベンダーは、災害救援詐欺、社会保障詐欺、税金詐欺、クレジットカード詐欺など、複数の異なる詐欺に同時に関与していることがよくあります。 これは、さまざまな収益源を提供できる複数のサービスを運用できるサイバー犯罪組織にとっては当たり前のことです。

Recorded Futureは、PUAまたは一般的な失業詐欺手法の組み合わせに関して、犯罪の地下組織内で出回っているいくつかのチュートリアルと方法をレビューしました。 宣伝されている方法の大部分では、サイバー犯罪者は盗まれたPIIまたは「fullz」をすでに所有しており、ガイドを利用して利益を上げる立場にあると予想されていました。 Fullzは、PIIを盗んだ犯罪者が、個人の名前、住所、生年月日、社会保障番号、運転免許証番号、家族のPII、その他の利用可能なその他の情報(犯罪歴や雇用記録など)など、詐欺の被害者になりそうな人に関する一連の情報を指すために使用する「完全な情報」の俗語です。

PUA詐欺手法の同じ販売者は、追加料金でこの情報を個別に販売することをいとわないことが非常によくありました。 これは、この種の詐欺行為に不慣れな駆け出しの犯罪者を喜んで支援する善良なサマリア人として自分たちを描写しようとするベンダーの試みにもかかわらず、経済的な成功が根本的な動機であり続けていることを示しています。

unemployment-fraud-in-criminal-underground-8-1.png

Figure 8: Underground forum member discussing how to apply for fraudulent claims in Washington and Massachusetts

unemployment-fraud-in-criminal-underground-9-1.png

Figure 9: Underground member requesting a fake ID to commit Massachusetts unemployment fraud

失業詐欺のターゲティングとアトリビューション

2020年5月、セキュリティ会社Agariの研究者は、米国全土で不正な失業保険とCARES法の請求を犯している「散在するカナリア」として追跡されているナイジェリアのサイバー犯罪グループに関する調査結果 を発表しました 。サイバー犯罪グループ「Scattered Canary」は、メールのなりすましやフィッシングなどの詐欺を利用して、企業を操作して偽の契約書やその他の偽の請求書を支払わせる、フルサービスのビジネスメール詐欺(BEC)オペレーションとして活動しています。 アガリの テレメトリーに基づくと、標的のほとんどは、フロリダ州、マサチューセッツ州、ノースカロライナ州、オクラホマ州、ロードアイランド州、ワシントン州、ワイオミング州の7つの米国州にあった。 Scattered Canaryに関連する脅威アクターは、プリペイドカードを組み合わせて支払いを受け取り、電子メールアカウントを大量に作成したと報告されています。

  • 全体として、Scattered CanaryはGreen Dotの少なくとも47のプリペイドカードアカウント を使用して 不正な支払いを受け取っていた。

  • Scattered Canaryは、Gmail アカウント を使用して、ターゲットとなる各Webサイトにアカウントを大量に作成しました。 GoogleはGmailアドレスを解釈する際にピリオドを無視するため、Scattered Canaryは、州の失業保険のウェブサイトや、非納税申告者向けのCARES法の支払いを処理するためのIRSのウェブサイトに数十のアカウントを作成できたと考えられています(freefilefillableforms[.]com)です。

  • Scattered Canaryが失業支援のフィッシングメールを送信するために使用するGmailのドットフォーマット構造の例:

  • badactor2021@gmail[.]コム

  • badactor202.1@gmail[.]コム

  • badactor202.21@gmail[.]コム

  • この戦術を使用することで、Scattered Canary はすべての通信を 1 つの Gmail アカウントに転送することで、業務をより効率的に拡大することができました。 Agari氏によると、これにより、Webサイトで作成するすべてのアカウントに対して新しい電子メールアカウントを作成および監視する必要がなくなり、最終的にトランザクションがより迅速かつ効率的になります。

州の失業手当の対象は、2020年5月の時点で9つのIDを持つテキサス州の失業制度を特に対象としていたグループにとって興味深いものであるとAgari氏は報告しました。 現時点では、Recorded Futureは、Scattered Canaryに関連する不正請求のうち、個々の州からどれだけ支払われているかについて、それ以上の洞察を持っていません。 しかし、州の失業救済情報を販売するメッセージングプラットフォームにアップロードされたビデオのレビューでは、西アフリカに拠点を置く事業者とのつながりが明らかになりました。

  • 詐欺メッセージプラットフォームにアップロードされたある動画では、英国からガーナへの輸送(ドア・ツー・ドア)のために商品を受け入れる配送会社であるSamamiah (Shipping) Enterprise Limitedから小包を受け取っていると思われる人物が、チャンネルのメンバーと思われる人物であることが明らかになりました。 Agari氏によると、BEC詐欺の10%は、2019年5月から2020年7月の間にガーナから発生しました。

Recorded Futureが入手した被害者の報告によると、依頼者は通常、ターゲットの名前、SSN、勤務先を知っていましたが、それ以外のデータはすべて静的です。 Recorded Futureに報告されたいくつかのシナリオでは、依頼者はターゲットの名前、SSN、および勤務先を知っており、幹部や富裕層をターゲットにしようとしている可能性があります。 これは、Scattered Canaryのような脅威エンティティによって組織化されたBECキャンペーンで一般的な 手法 であり、脅威エンティティが最高財務責任者を標的とした電子メールでAgariの幹部になりすました結果として、Agariによって最初に特定されました。

米国内での不正な失業保険申請は十分に広まっており、単一の脅威エンティティから発生する可能性は低いです。 脅威アクターは、不正な失業保険申請が引き続きもたらす金銭的影響に関するオープンソースの報告に勇気づけられた可能性があります。

このレポートは、クローズドソースのレポート内で流通している失業詐欺に特に焦点を当てていますが、運用上のセキュリティの維持をほとんど考慮していない日和見的なアクターも、従来のソーシャルメディアプラットフォームで広告を出しているのが観察されています。 数百万ドルと推定される失業詐欺活動と損失をテーマにした大量のオープンソースレポートが、アンダーグラウンドの脅威アクターの関心とモチベーションの高まりに貢献している可能性が非常に高いです。

unemployment-fraud-in-criminal-underground-10-1.jpg

Figure 10: Social media ad for unemployment methods/tutorials

この関心の高さは、2020年12月初旬以降、州政府と地方政府の両方で報告された複数の統計に反映されています。

  • 2020年8月のKrebsOnSecurityによる追跡 調査 では、詐欺師のグループが無料の電子メールサービスを介してアメリカ人の非常に詳細な個人および財務記録を共有していた可能性が高いことが再確認されました。 別の非公開の情報筋は、KrebsOnSecurityに、グループの通信を数週間監視し、詐欺行為を阻止するために米国の州および連邦当局と情報を共有していたと伝えました。 これらの失業詐欺キャンペーンの規模に関する以前の報告と同様に、この脅威グループは、米国中小企業庁(SBA)への偽のローン申請や、米国のいくつかの州に対して行われた不正な失業保険請求を通じて、米国の州および連邦財務省から数千万ドルを盗んだ数百人の個人で構成されているようだと情報筋は述べています。

  • 米国SBAに提出された偽のローン申請とのこの関連性は、2020年5月にAgariが詳述したScattered Canaryの運用の手法と重複していることを考えると、注目に値します。

  • バンク・オブ・アメリカは、2020年12月に州議会議員に 警告 を発し、カリフォルニア州の失業手当制度の不正だけでも合計20億ドルの損失を被る可能性があると推定しました。 バンク・オブ・アメリカは、疑わしい活動のある640,000の口座を特定し、それらが偽物であり、閉鎖されるべきかどうかを判断するために調査する必要があると述べました。

  • 失業詐欺に専念する地下チャンネルに登録されているメンバーの総数は増加傾向にあります。 Recorded Futureのアナリストが監視している1つのチャネルには、2020年11月初旬に約7,500人のメンバーがいました。 1か月後、総会員数は18,000人を超え、チャンネルの管理者が定期的にアップロードする新しいメッセージは、平均して数千回の閲覧数を獲得しました。

unemployment-fraud-in-criminal-underground-11-1.png

Figure 11: States referenced in unemployment fraud ads in the underground since November 2020 (Source: Recorded Future)

マネーミュールへの依存

マネーミュールは、地下の売り手がアップロードした不正な失業方法の画像や、2020年を通してミュールの容疑者の逮捕をめぐるオープンソースのレポートからも明らかなように、失業詐欺のサプライチェーンの重要な要素であり続ける可能性があります。 COVID-19のパンデミックにより、再出荷ミュールオペレーターは今年、ビジネス戦略の変更を余儀なくされました。 USSSの勧告によると、これらの申請の背後にいる詐欺容疑者は、今年初めに観察された大量の申請を提出するための実質的なPIIデータベースをすでに所有していました。さらに、USSSは、詐欺ネットワークは数百のマネーミュールで構成されていると考えられていると述べました。

ミュールは、商品をある場所から別の場所に物理的に移動する必要がある場合や、不正な資金を口座間で移動する必要がある場合など、詐欺師にとって不可欠です。 マネーミュールスキームでは、詐欺師は、詐欺取引から直接預金を受け取るために個人を募集し、違法な資金の大部分を加害者に転送し、彼らの努力に対する支払いとして一定の割合を保持することもよくあります。 また、失業保険の不正請求に関連して全米で逮捕者が増えていることから、複数の詐欺師が海外事業との直接的なつながりがなく、独立して活動している可能性が高いことが明らかになりました。

  • 2020年9月、ペンシルベニア州(ペンシルベニア州)のジョシュ・シャピロ司法長官(AG)は、ペンシルベニア州中部と東部の3つの州刑務所で失業詐欺を犯したとして起訴された20人の受刑者と共犯者を起訴すると 発表 しました。 司法長官事務所は、リングとのつながりが知られていない6人の受刑者が逮捕されたと述べた。

  • 2020年10月に観察されたアンダーグラウンドマーケットプレイスベンダーからの投稿は、マネーミュールがダークウェブソースで宣伝されている操作を支援する上で不可欠な役割を果たしている可能性が高いことを明らかにしています。

  • 2020年10月25日、フォーラムのメンバーであるオメルタは、米国での不正な失業保険申請に対するキャッシュアウトサービスの広告を開始しました。脅威アクターは、マネーミュール(「銀行のドロップ」)が、銀行振込の別途交渉された割合で失業資金を現金化できると述べています。

unemployment-fraud-in-criminal-underground-12-1.png

Figure 12: Unemployment fraud 2020 arrest timeline (mainstream news sources) (Source: Recorded Future)

軽減策

2020年5月に匿名を条件にKrebsOnSecurityと した連邦詐欺調査官は、米国の多くの州では、同じIPアドレスや銀行口座を含む複数の申請を探すなど、不正な失業申請をより適切に選別するのに役立つ可能性のあるパターンを検出するための十分な制御が実施されていないと述べました。 調査員はさらに、米国の一部の州では、詐欺師は誰かの名前、SSN、およびその他の基本情報を提出するだけで請求が処理されることを明らかにしました。 調査員は、一部の機関では、認証目的での原告の以前の雇用主に関する質問のリストが、パンデミックの結果として減少したか、完全に削除されたことを示唆したと 報告 されています。

州は、この形態の不正行為によってもたらされるリスクに対処するために、独自の対策を採用し始めています。 マサチューセッツ州などの州議会議員は以前、多くの失業保険申請の支払い期間を一時的に遅らせる追加の身元確認措置の実施を開始した と述べ ていました。 これらの措置の結果として、特定の失業保険請求者は、請求の有効性を確認するために、追加の身元情報の提供を求められる場合があります。

従業員が失業詐欺の被害に遭った疑いのある組織は、次のことを行うことができます。

  • この詐欺に関する情報を、地元の州レベルの適切な事務所とUSSSフィールドオフィスに伝えてください。 USSSはまた、被害者に対し、地元の金融機関と連絡を取り合い、ラバや押収の可能性を特定するよう奨励している。
  • アプリでの支払いの潜在的なスパムや詐欺にフラグを立て、詐欺の疑いを検出したときにユーザーにテキストメッセージを送信できる監視ソフトウェアまたはアプリケーションの機能を使用します。 請求者の身元を確認するためのツールとデータセットを使用して潜在的な犯罪行為にフラグを立てることで、不正行為を未然に防ぐことができます。

今後の展望

多くの場合、失業保険や保険金請求詐欺の最も重要な要素は、被害者のPIIへのアクセスです。 この種の情報は、アンダーグラウンドソースにアカウントを設定するのに十分な知識を持っている人なら誰でも、多くのダークウェブマーケットプレイス、ショップ、フォーラムでかなり低価格でアクセスおよび購入できます。 入手可能なデータに基づいて、これらの不正の種類のうち、どれが最も頻繁に実行されているかを判断することは困難です。 ただし、PIIに依存する詐欺活動は、いくつかの大規模なデータダンプ、特に広く公開され、簡単にアクセスできるダンプのリリース後も急増し続ける可能性があります。

関連ニュース&研究