犯罪地下の失業詐欺

犯罪地下における失業詐欺[レポート]

プライマリ ロゴ - Insikt - デジタル (RGB).png
分析の全文をPDFでダウンロードするには、ここをクリックしてください

このレポートは、クローズドソースとアンダーグラウンドレポート内の米国における失業詐欺の現在の脅威の状況をレビューします。 これには、Recorded Future® Platformを使用して収集された情報のほか、追加のオープンソースインテリジェンス(OSINT)、ダークウェブソース、アンダーグラウンドフォーラムの調査が含まれています。 犯罪の地下組織における失業保険詐欺をよりよく理解しようとしている組織や、そのような攻撃を実行する脅威アクターの調査員にとって興味深いものになるでしょう。

Executive Summary

COVID-19のパンデミックにより、もともとはウイルスによって生活が混乱した人々に配布されるはずだった失業救済をテーマにしたさまざまな刑事サービスが商品化されました。 最近、失業詐欺は脅威アクターにとってますますアクセスしやすくなっており、駆け出しのサイバー犯罪者にとって参入障壁が低くなっています。 COVID-19パンデミックと戦うための救援活動をテーマにした今年の詐欺キャンペーンの成功は、ソーシャルエンジニアリングキャンペーンの成功、米国全土で活動するマネーミュールの使用、データ侵害中に流出した脅威アクターによるログイン情報または個人を特定できる情報(PII)の使用などの要因が組み合わさった結果である可能性があります。 ダンプ、または漏れ。 失業給付制度を標的とする詐欺師の中には、企業の経営幹部に向けられた標的型フィッシングメールなど、従来のソーシャルエンジニアリングに頼る傾向がある人もいます。 この詐欺行為に関連してマネーミュールを使用した疑いなど、他の戦術は、さまざまな種類の詐欺を専門とする他のサイバー犯罪グループ、特にビジネスメール詐欺(BEC)スキームを専門とするクルーの戦術と重複しています。

失業保険詐欺のチュートリアルの販売に関するアンダーグラウンドの参照の量と、これらの方法が生み出す閲覧数を考えると、多くの詐欺師は、この形式の詐欺を行うことにまだ慣れていない可能性があります。 Recorded Futureは、攻撃者が政府システムの脆弱性を悪用していると疑う証拠はなく、代わりに、以前に公開された情報を収集することで、全国のできるだけ多くの被害者を日和見的に標的にする能力に依存しています。 2020年を通じての失業詐欺の一般的な増加は、失業申請者のデータを仮想的および物理的に保護する責任を負う複数の政府機関のセキュリティ衛生のギャップによっても悪化した可能性があります。 これは、失業保険申請に関連する個人情報を含む物理的なメールを傍受しようとしていると考えられている一部の州のアクターによって証明されています。 多くの州で公務員を圧倒している不正な失業保険申請の一般的な洪水は、盗まれたアカウントを購入したり、同様の詐欺を行う方法に関する安価なチュートリアルや方法を購入したりできるサイバー犯罪者の参入障壁が低いことによっても可能になっています。

主な判断と調査結果

背景

COVID-19のパンデミックが始まって以来、全米で失業詐欺が横行していることが報告されており、各州がさまざまな程度で影響を受けています。 これは、盗んだPIIを使用して失業保険を申請している脅威アクターから、海外で活動する詐欺的な脅威アクターに盗まれた資金を注ぎ込むマネーミュールの報告に対抗する州当局者まで、さまざまな形で現れています。

失業詐欺が横行しているという報告は、複数ので続いています。Recorded Future 、政府システム内に固有の脆弱性に起因する失業詐欺の事例は見られませんでした。むしろ、報告書には州ごとに個々の詐欺師が使用するさまざまな手法が詳細に記載されており、今年発生した失業詐欺の報告がすべて 1 つの包括的な脅威によるものである可能性は低いです。 2020年を通じて失業詐欺が一般的に増加したのは、失業申請者のデータの保護を担当する複数の政府機関のセキュリティ衛生の不備によってさらに悪化した可能性が高い。セキュリティの専門家は、複数の州が、COVID-19のパンデミック以前から、この特定の形態の詐欺に対抗する能力に関連する既存の問題を抱えていた可能性が高いと考えています。

新興のサイバー犯罪者は、失業制度に関する予備知識がなくてもこのような不正行為を行うことがいかに簡単であるかを詳述したオープンソースのレポートと、彼らの活動を促進するためのチュートリアルや方法の購入が比較的安価であることに勇気づけられている可能性が非常に高いです。

脅威分析

過去6か月間のクローズドソースレポートにおける不正な失業サービスの促進は、大きく2つのカテゴリに分類できます。

2020年3月、米国の議員はコロナウイルス援助、救済、経済安全保障(CARES)法を 可決 し、パンデミック失業支援(PUA)プログラムを設立しました。このプログラムは、新型コロナウイルスの影響を受けた自営業者、フリーランサー、独立請負業者、パートタイム労働者に失業保険の受給資格を拡大するものです。PUAプログラムは、政府が提供する失業救済の1つの要素にすぎませんが、 エンティティ 米国内 対 パンデミックに対応、失業詐欺に関連するアンダーグラウンド広告の増加の不可欠な要素であり続けています。

unemployment-fraud-in-criminal-underground-1-2.png
図1:ダークウェブ情報源(情報源: Recorded Future)内でPUAプログラムの言及

下の画像は、複数の形態の不正行為に特化した1つのTelegramチャネルのメンバーに提供された調査結果を示しています。 PUA情報の販売は調査では最下位でしたが、調査に含まれていること自体が、この不正行為の要素がサイバー犯罪者の間で十分な需要を生み出し、クローズドソース内で独自の販売カテゴリを保証することを示しています。 Recorded Futureは、失業救済を取り巻く条項が2020年末に期限切れになると予想された結果、少なくとも1つのTelegramチャンネルが「作戦」を実施していることを知っており、PUAプログラムやその他の失業救済の提供が突然停止された場合に、できるだけ多くの収益を上げようとするチャンネルの管理者にとって、不正なPUA請求が優先されます。

unemployment-fraud-in-criminal-underground-2-1.png
図 2: 2020年11月、詐欺行為に特化したテレグラムチャンネルでの調査(情報源:Telegram)

過去 6 か月間、サイバー犯罪者は、犯罪フォーラム、ショップ、マーケットプレイスよりも、メッセージング プラットフォームを介して失業保険詐欺のチュートリアルやアカウント情報を宣伝することを好むことを示しました。 ただし、従来の市場内の需要は依然として高く、管理者は失業詐欺に関連するさまざまなサービスをサポートし続けることができます。

この形式の詐欺のもう一つの魅力的な側面は、チュートリアルやアカウント情報が比較的安価であることです。 Recorded Futureは、対象となる州に応じて、5ドルから100ドルの間で販売する失業詐欺の実施に関連するチュートリアルと方法を観察しました。 PUA情報や、既存の救済資金残高を含む州政府のプラットフォームへのアクセスの価格は、通常、高かったのです(下の図3に示すように、一部の脅威アクターは、ニューヨーク州とウィスコンシン州の失業保険申請に関連するPUA情報に対して80ドルから100ドルを要求していました)。

この情報を販売する脅威アクターは、アンダーグラウンドビジネスモデルの長期的な成功を確実にするために、数千ドル相当の救済残高を持つアカウントを見送る意思を示しました。 さらに、チュートリアルとは対照的に、既存の残高のある口座への直接アクセスの価格が高いのは、買い手が別のベテラン俳優がすでに調達した可能性のある資金により簡単にアクセスできる立場にあるためである可能性があります。 これは、法執行機関からの注意を避けながら、利益を得るために被害者のアカウントを取得する最終的な責任が購入者にあるチュートリアルとは対照的です。

unemployment-fraud-in-criminal-underground-3-2.png
図3:「ランダム」PUAアカウント情報へのアクセス権の販売

失業保険詐欺に関連する他の詐欺手法には、サイバー犯罪者が不正な請求を提出する際に成功する可能性を高めるための有用なヒントであると考えていたものが含まれていました。 複数のチュートリアルで詐欺師が推奨するヒントには、次のようなものがあります。

不正な失業救済チュートリアルや口座情報を販売するアンダーグラウンドソースは、通常、クレジットカードや税金詐欺など、他の形態の詐欺を専門としています。 さらに、この種の詐欺の売り手は、一度に1つの州の失業制度を標的にすることにすべてのリソースを割いているようには見えません。 代わりに、クライアントの需要と特定の州内の失業救済口座へのアクセスの難しさのレベルに基づいて、さまざまな州の情報に同時にアクセスするサービスを提供しています。

unemployment-fraud-in-criminal-underground-4-1.png
図4:単一の地下アクターによる国家PUAオファリングのスクリーンショット(情報源:Telegram)

エンドユーザーの閲覧履歴や「デジタルフットプリント」の販売を専門とするGenesis StoreやRussian Marketなどの犯罪店にも、2020年を通じて失業救済に関連する州政府のドメインのログイン情報が定期的に含まれています。 Recorded Futureは、州政府のログイン情報を含むこれらの「ボット」が失業詐欺行為を犯すために特別に購入されたという兆候やコメントをサイバー犯罪者の間で確認していませんが、これらのショップ内にディスカッション機能がないため、これらのソースからの購入の背後にある具体的な動機を特定することは困難です。

政府による監視の変更に対するアラート

全米で失業詐欺の報告が着実に増加している結果、各州は、程度の差こそあれ、この形態の詐欺行為によってもたらされる脅威を緩和する(リスクを)軽減する、緩和する試みを試みてきました。 2020年11月現在、USSSは給与保護プログラムと失業救済保険プログラムを標的とした詐欺に関連する700件の未解決調査を 報告 した。各州がこの横行する詐欺に対抗するためにより強力なセキュリティ体制を構築し続ける中、失業詐欺の手口や口座情報を宣伝するサイバー犯罪者もこれらの変化を監視し続け、それに応じて調整しています。

unemployment-fraud-in-criminal-underground-5-1.png
図5: チャンネルメンバーに特定の州を標的にしないようにアドバイスする脅威アクター (情報源: Telegram)
unemployment-fraud-in-criminal-underground-6-1.png
図 6: Telegram チャンネルをスパイする政府の取り組みに関する管理者からの警告 (情報源: Telegram)

この不正行為の拡散を助長した政府または企業のシステム内のセキュリティの脆弱性は認識されていません。 脅威アクターは、公開されたログイン情報を収集したり、地下ソース内で販売するためにPIIのバンドルを購入したりすることで、日和見的に失業救済プラットフォームを標的にし続ける可能性が高くなります。

他の詐欺師の支援

一般的に、失業保険詐欺を専門とするメッセージングプラットフォーム内のチャネルを維持している管理者は、チャネルの需要を生み出し、収益を増やすことができるパートナーとの長期的な関係を築こうとするため、新しいユーザーを指導するというアイデアを受け入れていました。 サイバー犯罪者が失業保険詐欺で互いに協力しようとする姿勢は、サイバー犯罪者のフォーラムにも引き継がれ、長期的な詐欺行為のために「真剣な」パートナーを求めるユーザーからのリクエストが繰り返し寄せられていることが確認されました。 これらのスレッドは、利害関係者がプライベートチャネルを介してベンダーに連絡することを奨励したため、これらのパートナーシップの潜在的な成功に対するRecorded Futureの可視性は限られています。

unemployment-fraud-in-criminal-underground-7-1.png

_図7:失業給付パートナーの申請_

雇用詐欺やPUA詐欺の手法のベンダーは、災害救援詐欺、社会保障詐欺、税金詐欺、クレジットカード詐欺など、複数の異なる詐欺に同時に関与していることがよくあります。 これは、さまざまな収益源を提供できる複数のサービスを運用できるサイバー犯罪組織にとっては当たり前のことです。

Recorded Futureは、PUAまたは一般的な失業詐欺手法の組み合わせに関して、犯罪の地下組織内で出回っているいくつかのチュートリアルと方法をレビューしました。 宣伝されている方法の大部分では、サイバー犯罪者は盗まれたPIIまたは「fullz」をすでに所有しており、ガイドを利用して利益を上げる立場にあると予想されていました。 Fullzは、PIIを盗んだ犯罪者が、個人の名前、住所、生年月日、社会保障番号、運転免許証番号、家族のPII、その他の利用可能なその他の情報(犯罪歴や雇用記録など)など、詐欺の被害者になりそうな人に関する一連の情報を指すために使用する「完全な情報」の俗語です。

PUA詐欺手法の同じ販売者は、追加料金でこの情報を個別に販売することをいとわないことが非常によくありました。 これは、この種の詐欺行為に不慣れな駆け出しの犯罪者を喜んで支援する善良なサマリア人として自分たちを描写しようとするベンダーの試みにもかかわらず、経済的な成功が根本的な動機であり続けていることを示しています。

unemployment-fraud-in-criminal-underground-8-1.png
図 8:ワシントン州とマサチューセッツ州で不正請求の申請方法を議論する地下フォーラムメンバー
unemployment-fraud-in-criminal-underground-9-1.png
図 9:マサチューセッツ州失業詐欺を犯すために偽の身分証明書を要求する地下組織員

失業詐欺のターゲティングとアトリビューション

2020年5月、セキュリティ会社Agariの研究者は、「Scattered Canary」として追跡されたナイジェリアのサイバー犯罪グループが、米国全土で不正な失業保険金とCARES法の請求を行っていることに関する調査結果を 発表しました 。Scattered Canary サイバー犯罪グループは、フルサービスのビジネス電子メール侵害、詐欺 (BEC) 電子メールのなりすましやフィッシングなどの詐欺を使用して、企業を操作して偽の契約書やその他の偽の請求書を支払わせる操作です。 アガリ氏の テレメトリに基づくと、ターゲットのほとんどは、フロリダ州、マサチューセッツ州、ノースカロライナ州、オクラホマ州、ロードアイランド州、ワシントン州、ワイオミング州の米国の7つの州に位置していた。Scattered Canary に関連する脅威アクターは、支払いを受け取り、電子メール アカウントを大量に作成するためにプリペイド カードを組み合わせて使用したと報告されています。

州の失業手当の対象は、2020年5月の時点で9つのIDを持つテキサス州の失業制度を特に対象としていたグループにとって興味深いものであるとAgari氏は報告しました。 現時点では、Recorded Futureは、Scattered Canaryに関連する不正請求のうち、個々の州からどれだけ支払われているかについて、それ以上の洞察を持っていません。 しかし、州の失業救済情報を販売するメッセージングプラットフォームにアップロードされたビデオのレビューでは、西アフリカに拠点を置く事業者とのつながりが明らかになりました。

Recorded Future が入手した被害者の報告書によると、要求者は通常、ターゲットの名前、SSN、勤務先を知っていましたが、その他のデータはすべて静的です。Recorded Futureに報告された一部のシナリオでは、要求者はターゲットの名前、SSN、および勤務先を知っており、役員または富裕層の個人をターゲットにしようとしている可能性があります。これは BEC キャンペーン によって組織された脅威 エンティティ Scattered Canary のような、脅威の結果として Agari によって最初に特定されました 役員 最高財務責任者を標的とした電子メールで Agari で。

米国内での不正な失業保険申請は十分に広まっており、単一の脅威エンティティから発生する可能性は低いです。 脅威アクターは、不正な失業保険申請が引き続きもたらす金銭的影響に関するオープンソースの報告に勇気づけられた可能性があります。

このレポートは、クローズドソースのレポート内で流通している失業詐欺に特に焦点を当てていますが、運用上のセキュリティの維持をほとんど考慮していない日和見的なアクターも、従来のソーシャルメディアプラットフォームで広告を出しているのが観察されています。 数百万ドルと推定される失業詐欺活動と損失をテーマにした大量のオープンソースレポートが、アンダーグラウンドの脅威アクターの関心とモチベーションの高まりに貢献している可能性が非常に高いです。

unemployment-fraud-in-criminal-underground-10-1.jpg
図10:失業方法/チュートリアルのソーシャルメディア広告

この関心の高さは、2020年12月初旬以降、州政府と地方政府の両方で報告された複数の統計に反映されています。

unemployment-fraud-in-criminal-underground-11-1.png
図 11: 2020年11月以降、地下の失業詐欺広告で言及された州(情報源: Recorded Future)

マネーミュールへの依存

マネーラバは、失業詐欺の重要な要素であり続ける可能性が高い サプライチェーン 地下の売り手がアップロードした画像や、2020 年を通じてラバ容疑者の逮捕をめぐるオープンな情報源の報告。 新型コロナウイルス感染症(COVID-19)のパンデミックにより、今年は再出荷ラバ事業者が事業戦略の変更を余儀なくされました。USSSの勧告によると 、これらの申請の背後にいる詐欺組織の疑いは、今年初めに観察された大量の申請を提出するための実質的なPIIデータベースをすでに所有していたという。さらに、USSSは、詐欺ネットワークは数百頭のマネーラバで構成されていると考えられていると述べた。

ミュールは、商品をある場所から別の場所に物理的に移動する必要がある場合や、不正な資金を口座間で移動する必要がある場合など、詐欺師にとって不可欠です。 マネーミュールスキームでは、詐欺師は、詐欺取引から直接預金を受け取るために個人を募集し、違法な資金の大部分を加害者に転送し、彼らの努力に対する支払いとして一定の割合を保持することもよくあります。 また、失業保険の不正請求に関連して全米で逮捕者が増えていることから、複数の詐欺師が海外事業との直接的なつながりがなく、独立して活動している可能性が高いことが明らかになりました。

unemployment-fraud-in-criminal-underground-12-1.png
図 12:2020年失業詐欺逮捕タイムライン(中庸ニュース情報源)(出典:Recorded Future)

軽減策

2020年5月に匿名を条件にKrebsonSecurityと話をした連邦詐欺捜査官によると、米国の多くの州では、同じIPアドレスや銀行口座を含む複数の申請書を探すなど、不正な失業申請をより適切に排除するのに役立つパターンを検出するための十分な管理が行われていないとのことです。調査員はさらに、米国の一部の州では、詐欺師が請求を処理するために誰かの名前、SSN、その他の基本情報を提出するだけでよいことを明らかにしました。調査員は、パンデミックの結果、一部の機関で、認証を目的とした申立人の以前の雇用主に関する質問のリストが減少したか、完全に削除されたことをほのめかしたと報告されています

各州は、この形態の不正行為によってもたらされるリスクに対処するために、独自の個別の対策を採用し始めています。マサチューセッツ州などの州の代表者は以前、多くの失業保険申請の支払い期限を一時的に遅らせる追加の本人確認措置の実施を開始したと 述べた 。これらの措置の結果、特定の失業保険申請者は、請求の有効性を確認するために追加の身元情報の提供を求められる場合があります。

従業員が失業詐欺の被害に遭った疑いのある組織は、次のことを行うことができます。

今後の展望

多くの場合、失業保険や保険金請求詐欺の最も重要な要素は、被害者のPIIへのアクセスです。 この種の情報は、アンダーグラウンドソースにアカウントを設定するのに十分な知識を持っている人なら誰でも、多くのダークウェブマーケットプレイス、ショップ、フォーラムでかなり低価格でアクセスおよび購入できます。 入手可能なデータに基づいて、これらの不正の種類のうち、どれが最も頻繁に実行されているかを判断することは困難です。 ただし、PIIに依存する詐欺活動は、いくつかの大規模なデータダンプ、特に広く公開され、簡単にアクセスできるダンプのリリース後も急増し続ける可能性があります。