犯罪地下における失業詐欺[レポート]

分析の全文をPDFでダウンロードするには、ここをクリックしてください。

このレポートは、クローズドソースとアンダーグラウンドレポート内の米国における失業詐欺の現在の脅威の状況をレビューします。これには、Recorded Future® Platformを使用して収集された情報のほか、追加のオープンソースインテリジェンス(OSINT)、ダークウェブソース、アンダーグラウンドフォーラムの調査が含まれています。犯罪の地下組織における失業保険詐欺をよりよく理解しようとしている組織や、そのような攻撃を実行する脅威アクターの調査員にとって興味深いものになるでしょう。

Executive Summary

COVID-19のパンデミックにより、もともとはウイルスによって生活が混乱した人々に配布されるはずだった失業救済をテーマにしたさまざまな刑事サービスが商品化されました。最近、失業詐欺は脅威アクターにとってますますアクセスしやすくなっており、駆け出しのサイバー犯罪者にとって参入障壁が低くなっています。 COVID-19パンデミックと戦うための救援活動をテーマにした今年の詐欺キャンペーンの成功は、ソーシャルエンジニアリングキャンペーンの成功、米国全土で活動するマネーミュールの使用、データ侵害中に流出した脅威アクターによるログイン情報または個人を特定できる情報(PII)の使用などの要因が組み合わさった結果である可能性があります。ダンプ、または漏れ。失業給付制度を標的とする詐欺師の中には、企業の経営幹部に向けられた標的型フィッシングメールなど、従来のソーシャルエンジニアリングに頼る傾向がある人もいます。この詐欺行為に関連してマネーミュールを使用した疑いなど、他の戦術は、さまざまな種類の詐欺を専門とする他のサイバー犯罪グループ、特にビジネスメール詐欺(BEC)スキームを専門とするクルーの戦術と重複しています。

失業保険詐欺のチュートリアルの販売に関するアンダーグラウンドの参照の量と、これらの方法が生み出す閲覧数を考えると、多くの詐欺師は、この形式の詐欺を行うことにまだ慣れていない可能性があります。 Recorded Futureは、攻撃者が政府システムの脆弱性を悪用していると疑う証拠はなく、代わりに、以前に公開された情報を収集することで、全国のできるだけ多くの被害者を日和見的に標的にする能力に依存しています。 2020年を通じての失業詐欺の一般的な増加は、失業申請者のデータを仮想的および物理的に保護する責任を負う複数の政府機関のセキュリティ衛生のギャップによっても悪化した可能性があります。これは、失業保険申請に関連する個人情報を含む物理的なメールを傍受しようとしていると考えられている一部の州のアクターによって証明されています。多くの州で公務員を圧倒している不正な失業保険申請の一般的な洪水は、盗まれたアカウントを購入したり、同様の詐欺を行う方法に関する安価なチュートリアルや方法を購入したりできるサイバー犯罪者の参入障壁が低いことによっても可能になっています。

主な判断と調査結果

過去6か月間のクローズドソースレポートにおける不正な失業サービスの促進は、大きく2つのカテゴリに分けることができます。
不正な請求を行うためのチュートリアルまたは方法の販売
既存の資金残高を含むことが多い失業救済口座への直接アクセスの売却
過去6か月間、サイバー犯罪者は、犯罪フォーラム、ショップ、マーケットプレイス、特にTelegramよりも、メッセージングプラットフォームを介して失業保険詐欺のチュートリアルやサービスを宣伝することを好むことを示しました。
失業保険詐欺サービスを宣伝する地下の情報源は、通常、クレジットカード詐欺や税金詐欺など、他のさまざまな形態の詐欺を同時に専門としています。
米国内の不正な失業保険申請の規模は、ここ数か月で十分に広まっており、単一の脅威エンティティに起因する可能性は低いです。
数百万ドルと評価された失業詐欺活動に起因する報告された損失に関するオープンソースの報告は、アンダーグラウンドの脅威アクターの関心の高まりに貢献している可能性が非常に高いです。
マネーミュールは、地下の売り手がアップロードした不正な失業方法の画像や、2020年を通してミュールの容疑者の逮捕をめぐるオープンソースのレポートからも明らかなように、失業詐欺のサプライチェーンの重要な要素であり続ける可能性があります。

背景

COVID-19のパンデミックが始まって以来、全米で失業詐欺が横行していることが報告されており、各州がさまざまな程度で影響を受けています。これは、盗んだPIIを使用して失業保険を申請している脅威アクターから、海外で活動する詐欺的な脅威アクターに盗まれた資金を注ぎ込むマネーミュールの報告に対抗する州当局者まで、さまざまな形で現れています。

2020年1月、連邦捜査局(FBI)は、サイバー犯罪者がなりすましウェブサイトを使用してPIIを収集し、金銭を盗み、ますます複雑化する偽の採用詐欺を行い、合法的な雇用主や職業紹介会社と協力してあらゆるスキルや収入レベルの被害者をターゲットに広告を掲載している様子を詳述しました。失業詐欺を行うためにPIIを求める犯罪者は、以前に報告されたデータダンプや侵害、ハッキング、または低コストで情報を販売する他の犯罪市場( 多くの場合自動化)から情報を収集し続ける可能性があります。
4か月後、米国シークレットサービス(USSS)は、州の失業保険プログラムを標的とした詐欺の報告の増加を、「よく組織された」ナイジェリアの詐欺組織と結びつけた。アガリの研究者らは、当時発生したナイジェリアの詐欺の一部が「スキャッタード・カナリア」と呼ばれるサイバー犯罪者グループによるものであるという情報を発表した。過去数年間のグループの活動の結果として生じる潜在的な損失は、数億ドルに達すると評価されています。USSS によると、詐欺ネットワークには数百匹のマネーラバが含まれていると考えられており、これは詐欺的な金融取引の収益洗浄を支援するために採用された意欲的または無意識の個人を表すために使用される用語である。

失業詐欺が横行しているという報告は、複数の州で続いています。Recorded Future 、政府システム内に固有の脆弱性に起因する失業詐欺の事例は見られませんでした。むしろ、報告書には州ごとに個々の詐欺師が使用するさまざまな手法が詳細に記載されており、今年発生した失業詐欺の報告がすべて 1 つの包括的な脅威によるものである可能性は低いです。 2020年を通じて失業詐欺が一般的に増加したのは、失業申請者のデータの保護を担当する複数の政府機関のセキュリティ衛生の不備によってさらに悪化した可能性が高い。セキュリティの専門家は、複数の州が、COVID-19のパンデミック以前から、この特定の形態の詐欺に対抗する能力に関連する既存の問題を抱えていた可能性が高いと考えています。

本人確認ソフトウェアを実装または更新して、申し立てが広まる前に確認する
刑務所の受刑者、死亡者としてリストされている個人、州外の居住者など、他の個人の個人データに対する給付金の請求をクロスチェックします
社会保障番号(SSN)などの申請者のPIIが、物理的な盗難の影響を受けやすいメール通信に含まれていないことを確認してください

新興のサイバー犯罪者は、失業制度に関する予備知識がなくてもこのような不正行為を行うことがいかに簡単であるかを詳述したオープンソースのレポートと、彼らの活動を促進するためのチュートリアルや方法の購入が比較的安価であることに勇気づけられている可能性が非常に高いです。

脅威分析

過去6か月間のクローズドソースレポートにおける不正な失業サービスの促進は、大きく2つのカテゴリに分類できます。

失業救済を支援する政府のシステムまたはプラットフォームに不正な請求を提出するためのチュートリアルまたは方法の販売
既存の資金残高を含むことが多い失業救済口座への直接アクセスの売却

2020年3月、米国の議員はコロナウイルス援助、救済、経済安全保障(CARES)法を可決し、パンデミック失業支援(PUA)プログラムを設立しました。このプログラムは、新型コロナウイルスの影響を受けた自営業者、フリーランサー、独立請負業者、パートタイム労働者に失業保険の受給資格を拡大するものです。PUAプログラムは、政府が提供する失業救済の1つの要素にすぎませんが、エンティティ米国内対パンデミックに対応、失業詐欺に関連するアンダーグラウンド広告の増加の不可欠な要素であり続けています。

図1:ダークウェブ情報源(情報源: Recorded Future)内でPUAプログラムの言及

下の画像は、複数の形態の不正行為に特化した1つのTelegramチャネルのメンバーに提供された調査結果を示しています。 PUA情報の販売は調査では最下位でしたが、調査に含まれていること自体が、この不正行為の要素がサイバー犯罪者の間で十分な需要を生み出し、クローズドソース内で独自の販売カテゴリを保証することを示しています。 Recorded Futureは、失業救済を取り巻く条項が2020年末に期限切れになると予想された結果、少なくとも1つのTelegramチャンネルが「作戦」を実施していることを知っており、PUAプログラムやその他の失業救済の提供が突然停止された場合に、できるだけ多くの収益を上げようとするチャンネルの管理者にとって、不正なPUA請求が優先されます。

図 2: 2020年11月、詐欺行為に特化したテレグラムチャンネルでの調査(情報源:Telegram)

過去 6 か月間、サイバー犯罪者は、犯罪フォーラム、ショップ、マーケットプレイスよりも、メッセージングプラットフォームを介して失業保険詐欺のチュートリアルやアカウント情報を宣伝することを好むことを示しました。ただし、従来の市場内の需要は依然として高く、管理者は失業詐欺に関連するさまざまなサービスをサポートし続けることができます。

この形式の詐欺のもう一つの魅力的な側面は、チュートリアルやアカウント情報が比較的安価であることです。 Recorded Futureは、対象となる州に応じて、5ドルから100ドルの間で販売する失業詐欺の実施に関連するチュートリアルと方法を観察しました。 PUA情報や、既存の救済資金残高を含む州政府のプラットフォームへのアクセスの価格は、通常、高かったのです(下の図3に示すように、一部の脅威アクターは、ニューヨーク州とウィスコンシン州の失業保険申請に関連するPUA情報に対して80ドルから100ドルを要求していました)。

この情報を販売する脅威アクターは、アンダーグラウンドビジネスモデルの長期的な成功を確実にするために、数千ドル相当の救済残高を持つアカウントを見送る意思を示しました。さらに、チュートリアルとは対照的に、既存の残高のある口座への直接アクセスの価格が高いのは、買い手が別のベテラン俳優がすでに調達した可能性のある資金により簡単にアクセスできる立場にあるためである可能性があります。これは、法執行機関からの注意を避けながら、利益を得るために被害者のアカウントを取得する最終的な責任が購入者にあるチュートリアルとは対照的です。

図3:「ランダム」PUAアカウント情報へのアクセス権の販売

失業保険詐欺に関連する他の詐欺手法には、サイバー犯罪者が不正な請求を提出する際に成功する可能性を高めるための有用なヒントであると考えていたものが含まれていました。複数のチュートリアルで詐欺師が推奨するヒントには、次のようなものがあります。

COVID-19のパンデミックがいつあなたの雇用活動に影響を与えたかについて申請書で尋ねられた場合は、CARES法が議会によって施行されるわずか2日前の2020年3月25日と記入してください。
可能な場合は「自営業者」として請求を提出すると、申請者は別の会社で働いていると申告した人よりも多くのお金を稼ぐことができます。
この同じガイドは、後に他の詐欺師に、請求を提出する際にどの仕事で成功したかをアドバイスしました。このチュートリアルの場合、著者は「プロの写真家」のふりをしたり、リモート環境内では実現するのがより難しい別の仕事をしたりすることを推奨しています。
2019年に年間いくら稼いだかを尋ねられた場合、不正な請求を提出するときは、16,850ドルから42,100ドルの間の金額を記載してください。このケースの著者は、特定の基準を超える給与を提供することで、法執行機関の調査官や個々の請求を検討する州当局者によってフラグが立てられる可能性が高くなると考えていた可能性があります。
ソーシャルエンジニアリングのテクニックも、複数のチュートリアルで奨励されました。あるガイドでは、著者らは、PUAの「請求ライン」に電話し、別の情報源から取得した社会保障番号(SSN)を入力すると、その個人がすでに未解決の失業救済請求を持っているかどうかが確認されると報告しました。まだ申し立てが行われていない場合は、VerifiedやTruthfinderなどの公的記録集約Webサイトが、ターゲットに関する追加のPIIのソースとして推奨されました。アクターは、ターゲットの「良い」SSNと生年月日(DOB)情報を使用して、これらの公的記録集約サイトでさらに調査を行うよう特にアドバイスしました。しかし、このガイドでは、アクターはある程度の偏見も示しており、最終的には、提携している特定のアンダーグラウンドマーケットプレイスを訪れて追加情報を購入することを推奨しています。

不正な失業救済チュートリアルや口座情報を販売するアンダーグラウンドソースは、通常、クレジットカードや税金詐欺など、他の形態の詐欺を専門としています。さらに、この種の詐欺の売り手は、一度に1つの州の失業制度を標的にすることにすべてのリソースを割いているようには見えません。代わりに、クライアントの需要と特定の州内の失業救済口座へのアクセスの難しさのレベルに基づいて、さまざまな州の情報に同時にアクセスするサービスを提供しています。

図4:単一の地下アクターによる国家PUAオファリングのスクリーンショット(情報源:Telegram)

エンドユーザーの閲覧履歴や「デジタルフットプリント」の販売を専門とするGenesis StoreやRussian Marketなどの犯罪店にも、2020年を通じて失業救済に関連する州政府のドメインのログイン情報が定期的に含まれています。 Recorded Futureは、州政府のログイン情報を含むこれらの「ボット」が失業詐欺行為を犯すために特別に購入されたという兆候やコメントをサイバー犯罪者の間で確認していませんが、これらのショップ内にディスカッション機能がないため、これらのソースからの購入の背後にある具体的な動機を特定することは困難です。

政府による監視の変更に対するアラート

全米で失業詐欺の報告が着実に増加している結果、各州は、程度の差こそあれ、この形態の詐欺行為によってもたらされる脅威を緩和する(リスクを)軽減する、緩和する試みを試みてきました。 2020年11月現在、USSSは給与保護プログラムと失業救済保険プログラムを標的とした詐欺に関連する700件の未解決調査を報告した。各州がこの横行する詐欺に対抗するためにより強力なセキュリティ体制を構築し続ける中、失業詐欺の手口や口座情報を宣伝するサイバー犯罪者もこれらの変化を監視し続け、それに応じて調整しています。

下の図5は、詐欺行為を専門とするテレグラムチャンネルの管理者が、金銭的救済を配布していないと信じている米国の7つの特定の州にリンクされている失業プラットフォームを購入したり、アクセスしようとしたりしないようにメンバーにアドバイスしていることを示しています。
個々のTelegramチャンネルは、どの州が理想的なターゲットであるか、またはそうでないかについて、常にさまざまな推奨事項を持っているようです。たとえば、2020年11月に最初にアップロードされた図5のTelegramの投稿から2週間以内に、脅威アクターは、チャネル管理者による事前の警告にもかかわらず、同じチャネル内でオハイオ州の州システムに関連する方法またはアカウント情報の販売を再開しました。
また、これらのメッセージングプラットフォームチャネル内の脅威アクターは、一部の州が他の州よりも自分の場所を特定する能力が高いことに懸念を表明しています。あるシナリオでは、Recorded Futureは、追跡アプリケーションを使用して不正な請求を監視している可能性が高いと思われる米国の4つの特定の州に近づかないようにユーザーにアドバイスするユーザーからのコメントを観察しました。プロキシIPアドレスの使用は、このような形式の追跡を防ぎ、政府機関が発信元のIPアドレスに疑わしいとフラグを立てる場合に、ユーザーが失業プラットフォームからロックアウトされないようにするために、クローズドソース内で使用することを強くお勧めします。

図5: チャンネルメンバーに特定の州を標的にしないようにアドバイスする脅威アクター (情報源: Telegram)

図 6: Telegram チャンネルをスパイする政府の取り組みに関する管理者からの警告 (情報源: Telegram)

この不正行為の拡散を助長した政府または企業のシステム内のセキュリティの脆弱性は認識されていません。脅威アクターは、公開されたログイン情報を収集したり、地下ソース内で販売するためにPIIのバンドルを購入したりすることで、日和見的に失業救済プラットフォームを標的にし続ける可能性が高くなります。

他の詐欺師の支援

一般的に、失業保険詐欺を専門とするメッセージングプラットフォーム内のチャネルを維持している管理者は、チャネルの需要を生み出し、収益を増やすことができるパートナーとの長期的な関係を築こうとするため、新しいユーザーを指導するというアイデアを受け入れていました。サイバー犯罪者が失業保険詐欺で互いに協力しようとする姿勢は、サイバー犯罪者のフォーラムにも引き継がれ、長期的な詐欺行為のために「真剣な」パートナーを求めるユーザーからのリクエストが繰り返し寄せられていることが確認されました。これらのスレッドは、利害関係者がプライベートチャネルを介してベンダーに連絡することを奨励したため、これらのパートナーシップの潜在的な成功に対するRecorded Futureの可視性は限られています。

_図7:失業給付パートナーの申請_

雇用詐欺やPUA詐欺の手法のベンダーは、災害救援詐欺、社会保障詐欺、税金詐欺、クレジットカード詐欺など、複数の異なる詐欺に同時に関与していることがよくあります。これは、さまざまな収益源を提供できる複数のサービスを運用できるサイバー犯罪組織にとっては当たり前のことです。

Recorded Futureは、PUAまたは一般的な失業詐欺手法の組み合わせに関して、犯罪の地下組織内で出回っているいくつかのチュートリアルと方法をレビューしました。宣伝されている方法の大部分では、サイバー犯罪者は盗まれたPIIまたは「fullz」をすでに所有しており、ガイドを利用して利益を上げる立場にあると予想されていました。 Fullzは、PIIを盗んだ犯罪者が、個人の名前、住所、生年月日、社会保障番号、運転免許証番号、家族のPII、その他の利用可能なその他の情報(犯罪歴や雇用記録など)など、詐欺の被害者になりそうな人に関する一連の情報を指すために使用する「完全な情報」の俗語です。

PUA詐欺手法の同じ販売者は、追加料金でこの情報を個別に販売することをいとわないことが非常によくありました。これは、この種の詐欺行為に不慣れな駆け出しの犯罪者を喜んで支援する善良なサマリア人として自分たちを描写しようとするベンダーの試みにもかかわらず、経済的な成功が根本的な動機であり続けていることを示しています。

図 8:ワシントン州とマサチューセッツ州で不正請求の申請方法を議論する地下フォーラムメンバー

図 9:マサチューセッツ州失業詐欺を犯すために偽の身分証明書を要求する地下組織員

失業詐欺のターゲティングとアトリビューション

2020年5月、セキュリティ会社Agariの研究者は、「Scattered Canary」として追跡されたナイジェリアのサイバー犯罪グループが、米国全土で不正な失業保険金とCARES法の請求を行っていることに関する調査結果を発表しました。Scattered Canary サイバー犯罪グループは、フルサービスのビジネス電子メール侵害、詐欺 (BEC) 電子メールのなりすましやフィッシングなどの詐欺を使用して、企業を操作して偽の契約書やその他の偽の請求書を支払わせる操作です。アガリ氏のテレメトリに基づくと、ターゲットのほとんどは、フロリダ州、マサチューセッツ州、ノースカロライナ州、オクラホマ州、ロードアイランド州、ワシントン州、ワイオミング州の米国の7つの州に位置していた。Scattered Canary に関連する脅威アクターは、支払いを受け取り、電子メールアカウントを大量に作成するためにプリペイドカードを組み合わせて使用したと報告されています。

全体として、Scattered Canary は Green Dot の少なくとも 47 のプリペイドカードアカウントを使用して不正な支払いを受け取りました。
Scattered Canary は Gmail アカウントを使用して、ターゲット Web サイトごとにアカウントを大量作成しました。Google は Gmail アドレスを解釈する際にピリオドを無視するため、Scattered Canary は州の失業 Web サイトと、非納税申告者に対する CARES 法の支払い処理専用の IRS Web サイトに数十のアカウントを作成できたと考えられています (freefilefillableforms[.]com)に入力します。
Scattered Canaryが失業支援のフィッシングメールを送信するために使用するGmailのドットフォーマット構造の例:
badactor2021@gmail[.]コム
badactor202.1@gmail[.]コム
badactor202.21@gmail[.]コム
この戦術を使用することで、Scattered Canary はすべての通信を 1 つの Gmail アカウントに転送することで、業務をより効率的に拡大することができました。 Agari氏によると、これにより、Webサイトで作成するすべてのアカウントに対して新しい電子メールアカウントを作成および監視する必要がなくなり、最終的にトランザクションがより迅速かつ効率的になります。

州の失業手当の対象は、2020年5月の時点で9つのIDを持つテキサス州の失業制度を特に対象としていたグループにとって興味深いものであるとAgari氏は報告しました。現時点では、Recorded Futureは、Scattered Canaryに関連する不正請求のうち、個々の州からどれだけ支払われているかについて、それ以上の洞察を持っていません。しかし、州の失業救済情報を販売するメッセージングプラットフォームにアップロードされたビデオのレビューでは、西アフリカに拠点を置く事業者とのつながりが明らかになりました。

詐欺メッセージプラットフォームにアップロードされたある動画では、英国からガーナへの輸送(ドア・ツー・ドア)のために商品を受け入れる配送会社であるSamamiah (Shipping) Enterprise Limitedから小包を受け取っていると思われる人物が、チャンネルのメンバーと思われる人物であることが明らかになりました。 Agari氏によると、BEC詐欺の10%は、2019年5月から2020年7月の間にガーナから発生しました。

Recorded Future が入手した被害者の報告書によると、要求者は通常、ターゲットの名前、SSN、勤務先を知っていましたが、その他のデータはすべて静的です。Recorded Futureに報告された一部のシナリオでは、要求者はターゲットの名前、SSN、および勤務先を知っており、役員または富裕層の個人をターゲットにしようとしている可能性があります。これは、 BEC キャンペーンによって組織された脅威エンティティ Scattered Canary のような、脅威の結果として Agari によって最初に特定されました役員最高財務責任者を標的とした電子メールで Agari で。

米国内での不正な失業保険申請は十分に広まっており、単一の脅威エンティティから発生する可能性は低いです。脅威アクターは、不正な失業保険申請が引き続きもたらす金銭的影響に関するオープンソースの報告に勇気づけられた可能性があります。

このレポートは、クローズドソースのレポート内で流通している失業詐欺に特に焦点を当てていますが、運用上のセキュリティの維持をほとんど考慮していない日和見的なアクターも、従来のソーシャルメディアプラットフォームで広告を出しているのが観察されています。数百万ドルと推定される失業詐欺活動と損失をテーマにした大量のオープンソースレポートが、アンダーグラウンドの脅威アクターの関心とモチベーションの高まりに貢献している可能性が非常に高いです。

図10:失業方法/チュートリアルのソーシャルメディア広告

この関心の高さは、2020年12月初旬以降、州政府と地方政府の両方で報告された複数の統計に反映されています。

2020年8月のKrebsOnSecurityによる追跡調査では、詐欺師のグループが無料の電子メールサービスを介してアメリカ人の非常に詳細な個人記録と財務記録を共有している可能性が高いことが再確認されました。別の非公開情報源は、KrebsOnSecurityに対し、詐欺行為を阻止するために、グループの通信を数週間監視し、米国の州および連邦当局と情報を共有していたと伝えた。これらの規模に関する以前の報告と同様に失業詐欺キャンペーン、情報源脅威グループは、米国中小企業庁(SBA)への偽のローン申請や、米国のいくつかの州に対して行われた不正な失業保険請求を通じて、米国の州および連邦財務省から数千万ドルを盗んだ数百人の個人で構成されているようだと述べた。
米国SBAに提出された偽のローン申請とのこの関連性は、2020年5月にAgariが詳述したScattered Canaryの運用の手法と重複していることを考えると、注目に値します。
バンク・オブ・アメリカは、2020年12月に州議会議員に宛てた警告の中で、カリフォルニア州の失業手当制度だけでも、合計で20億ドルの損失が発生する可能性があると推定しました。バンク・オブ・アメリカは、疑わしい活動が行われている口座を640,000件特定しました。偽物ではないかを調査し、閉鎖すべきだと述べています。
失業詐欺に専念する地下チャンネルに登録されているメンバーの総数は増加傾向にあります。 Recorded Futureのアナリストが監視している1つのチャネルには、2020年11月初旬に約7,500人のメンバーがいました。 1か月後、総会員数は18,000人を超え、チャンネルの管理者が定期的にアップロードする新しいメッセージは、平均して数千回の閲覧数を獲得しました。

図 11: 2020年11月以降、地下の失業詐欺広告で言及された州(情報源: Recorded Future)

マネーミュールへの依存

マネーラバは、失業詐欺の重要な要素であり続ける可能性が高いサプライチェーン地下の売り手がアップロードした画像や、2020 年を通じてラバ容疑者の逮捕をめぐるオープンな情報源の報告。新型コロナウイルス感染症(COVID-19)のパンデミックにより、今年は再出荷ラバ事業者が事業戦略の変更を余儀なくされました。USSSの勧告によると、これらの申請の背後にいる詐欺組織の疑いは、今年初めに観察された大量の申請を提出するための実質的なPIIデータベースをすでに所有していたという。さらに、USSSは、詐欺ネットワークは数百頭のマネーラバで構成されていると考えられていると述べた。

ミュールは、商品をある場所から別の場所に物理的に移動する必要がある場合や、不正な資金を口座間で移動する必要がある場合など、詐欺師にとって不可欠です。マネーミュールスキームでは、詐欺師は、詐欺取引から直接預金を受け取るために個人を募集し、違法な資金の大部分を加害者に転送し、彼らの努力に対する支払いとして一定の割合を保持することもよくあります。また、失業保険の不正請求に関連して全米で逮捕者が増えていることから、複数の詐欺師が海外事業との直接的なつながりがなく、独立して活動している可能性が高いことが明らかになりました。

2020年9月、ペンシルベニア州(PA)のジョシュ・シャピロ司法長官(AG)は、ペンシルベニア州中部と東部の3つの州立刑務所で失業詐欺を犯した罪で起訴された20人の受刑者と共犯者を起訴すると発表した。AGの事務所は、指輪との関連性が知られていない状態で逮捕された受刑者も6人いたと述べた。
2020年10月に観察されたアンダーグラウンドマーケットプレイスベンダーからの投稿は、マネーミュールがダークウェブソースで宣伝されている操作を支援する上で不可欠な役割を果たしている可能性が高いことを明らかにしています。
2020年10月25日、フォーラムのメンバーであるオメルタは、米国での不正な失業保険申請に対するキャッシュアウトサービスの広告を開始しました。脅威アクターは、マネーミュール(「銀行のドロップ」)が、銀行振込の別途交渉された割合で失業資金を現金化できると述べています。

図 12：2020年失業詐欺逮捕タイムライン（中庸ニュース情報源）（出典：Recorded Future）

軽減策

2020年5月に匿名を条件にKrebsonSecurityと話をした連邦詐欺捜査官によると、米国の多くの州では、同じIPアドレスや銀行口座を含む複数の申請書を探すなど、不正な失業申請をより適切に排除するのに役立つパターンを検出するための十分な管理が行われていないとのことです。調査員はさらに、米国の一部の州では、詐欺師が請求を処理するために誰かの名前、SSN、その他の基本情報を提出するだけでよいことを明らかにしました。調査員は、パンデミックの結果、一部の機関で、認証を目的とした申立人の以前の雇用主に関する質問のリストが減少したか、完全に削除されたことをほのめかしたと報告されています。

各州は、この形態の不正行為によってもたらされるリスクに対処するために、独自の個別の対策を採用し始めています。マサチューセッツ州などの州の代表者は以前、多くの失業保険申請の支払い期限を一時的に遅らせる追加の本人確認措置の実施を開始したと述べた。これらの措置の結果、特定の失業保険申請者は、請求の有効性を確認するために追加の身元情報の提供を求められる場合があります。

従業員が失業詐欺の被害に遭った疑いのある組織は、次のことを行うことができます。

この詐欺に関する情報を、地元の州レベルの適切な事務所とUSSSフィールドオフィスに伝えてください。 USSSはまた、被害者に対し、地元の金融機関と連絡を取り合い、ラバや押収の可能性を特定するよう奨励している。
アプリでの支払いの潜在的なスパムや詐欺にフラグを立て、詐欺の疑いを検出したときにユーザーにテキストメッセージを送信できる監視ソフトウェアまたはアプリケーションの機能を使用します。請求者の身元を確認するためのツールとデータセットを使用して潜在的な犯罪行為にフラグを立てることで、不正行為を未然に防ぐことができます。

今後の展望

多くの場合、失業保険や保険金請求詐欺の最も重要な要素は、被害者のPIIへのアクセスです。この種の情報は、アンダーグラウンドソースにアカウントを設定するのに十分な知識を持っている人なら誰でも、多くのダークウェブマーケットプレイス、ショップ、フォーラムでかなり低価格でアクセスおよび購入できます。入手可能なデータに基づいて、これらの不正の種類のうち、どれが最も頻繁に実行されているかを判断することは困難です。ただし、PIIに依存する詐欺活動は、いくつかの大規模なデータダンプ、特に広く公開され、簡単にアクセスできるダンプのリリース後も急増し続ける可能性があります。