サイバーセキュリティ研究者は、ソーシャルメディアのマルバタイジング、企業ブランドの投稿、有名人を起用した人工知能(AI)を活用したビデオ証言を組み合わせて、最終的に金銭やデータの損失につながる新しい種類の投資詐欺に注意を喚起しています。
「詐欺師の主な目的は、被害者をフィッシングWebサイトや個人情報を収集するフォームに誘導することです」と、ESETはThe Hacker Newsと共有した2024年下半期の脅威レポートで指摘しています。
このスロバキアのサイバーセキュリティ企業は、「お金がない」というフレーズをもじったNomaniという名前でこの脅威を追跡しています。同社によると、この詐欺は2024年上半期から下半期にかけて335%以上増加し、2024年5月から11月にかけては平均して毎日100件以上の新しいURLが検出された。
この攻撃はソーシャルメディアプラットフォーム上の不正広告を通じて行われ、いくつかのケースでは、ユーロポールやインターポールに関連した詐欺に遭ったことがある人々をターゲットにしており、助けを求めて連絡したり、リンクをクリックすることで盗まれたお金を返金してもらったりする内容だ。
これらの広告は、中小企業、政府機関、数万人のフォロワーを持つマイクロインフルエンサーに関連する偽のプ�ロフィールと盗まれた正規のプロフィールが混在して掲載されている。その他の配信チャネルには、これらの投稿をMessengerやThreadsで共有したり、Googleで偽の肯定的なレビューを共有したりすることが含まれる。
「Nomaniの広告を頻繁に拡散している別の大きなアカウントグループは、忘れやすい名前、少数のフォロワー、投稿が非常に少ない新しく作成されたプロフィールです」とESETは指摘した。
これらのリンクが誘導するウェブサイトは、連絡先情報を要求し、地元のニュースメディアを視覚的に模倣したり、特定の組織のロゴやブランドを悪用したり、Quantum Bumex、Immediate Mator、Bitcoin Trader など常に変化する名前で暗号通貨管理ソリューションを宣伝したりすることが確認されています。
次のステップでは、サイバー犯罪者はフィッシングドメインから収集したデータを使用して被害者に直接電話をかけ、存在しない投資商品に資金を投資するよう操作します。その商品には、驚異的な利益が偽って表示されています。場合によっては、被害者はローンを組んだり、デバイスにリモートアクセスアプリをインストールしたりするように騙されます。
「これらの被害者の「投資家」が約束された利益の支払いを要求すると、詐欺師は追加料金を支払わせ、ID やクレジットカード情報などの個人情報をさらに提供するよう強要します」と ESET は述べています。 「結局、詐欺師たちは金銭とデータの両方を奪って姿を消す。典型的な豚の屠殺詐欺のパターンだ。」
ソースコードにキリル文字でコメントがあり、訪問者の追跡��にYandexのツールが使われていることから、Nomaniはロシア語を話す脅威アクターの仕業であることを示す証拠がある。
Telekopyeのような大規模な詐欺活動と同様に、攻撃チェーンのあらゆる側面(Metaアカウントと広告の盗難、作成、悪用、フィッシングインフラの構築、コールセンターの運営など)の管理を担当する複数のグループが存在すると疑われています。
「ソーシャルエンジニアリングの手法を使用し、被害者との信頼関係を構築することで、詐欺師は銀行が詐欺を防ぐために使用する承認メカニズムや確認電話さえも巧みにかわすことが多い」とESETは述べています。
この展開は、韓国の法執行当局が、MIDASと呼ばれる作戦の一環として、偽のオンライン取引プラットフォームで被害者から約630万ドルを詐取した大規模な詐欺ネットワークを摘発したと発表したことを受けてのものです。詐欺グループが利用していた20台以上のサーバーが押収され、この計画に関与した32人が逮捕された。
SMSや電話で被害者を誘い込むほか、違法なホームトレーディングシステム(HTS)プログラムのユーザーは、YouTube動画の視聴やカカオトークのチャットルームへの参加によって資金を投資するよう誘い込まれた。
金融セキュリティ協会(K-FSI)は先週のブラックハットヨーロッパカンファレンスでのプレゼンテーションで「このプログラムは実際の証券会社のサーバーと通信してリアルタイムの株価情報を取得し、公開されているチャートライブラリを使用して視��覚的な表現を作成する」と述べた。
「しかし、実際の株式取引は行われません。むしろ、プログラムの中核機能であるスクリーンキャプチャ機能は、ユーザーの画面をスパイし、許可されていない情報を収集し、お金の返還を拒否するために使用されます。」