国家犯罪庁(NCA)は、アカウント乗っ取りビジネスを営むOTPエージェンシーを運営していた3人の英国人に対する判決を発表する中で、2021年の報告書がいかにして詐欺師たちをパニックに陥れたかを明らかにした。
「おい、俺たちは大変なことになっているぞ」と、情報セキュリティ記者のブライアン・クレブス氏が2021年2月に行われた別のフィッシングキット活動に関する調査でOTPエージェンシーに言及した後、イーストロンドンのホーンチャーチ出身のカラム・ピカリさん(23)は語った。
「お前は俺を袋叩きにするだろう」とピカリは続けた。「チャットを消してやれ」
Picari の崩壊に関するその他のハイライトは次のとおりです。
-
「それは非常に罪を証明している」
-
「『詐欺』を検索してみてください…たくさんの証拠があるはずです」
-
「彼らは私たちの初めてのメッセージに行きました」
-
「私たちは罪を犯しているように見えます」
-
「チャットを削除しましょう」
-
「私たちのチャットは100%詐欺です」
レジスター紙の理解によると、チャットログは、メッセージが送信されてからわずか数か月後にピカリ氏が逮捕された際に、同氏の携帯電話から盗み出されたという。
OTPエージェンシーは、ピカリ氏と2人の友人、バッキンガムシャー州アリスバーリー出身の21歳のヴィジャヤシドハーシャン・ヴィジャヤナサン氏と、バッキンガムシャー州ミルトン・キーンズ出身の19歳のアザ・シディーク氏によって設立され、運営されている。
左から、カラム ピカリ、アザ シディーク、ヴィジャヤシドゥルシャン ヴィジャヤナタン。画像提供:国家犯罪庁
3人はパニック状態のメッセージが交換された直後の2021年3月に逮捕され、その後、この作戦における様々な役割について有罪を認めている。
名前が示す通り、OTPエージェンシーとは、この3人の英国人が提供していたサービスで、有料加入者は、ソーシャルエンジニアリングによって知らないうちに被害者から得たワンタイムパスコード(OTP)やその他の個人情報にアクセスできた。
OTPエージェンシーは、1週間あたりわずか30ポンド(37.30ドル)の会員費で基本プランを提供し、被害者を騙してさまざまなオンラインアカウントのOTPを渡させるように設計された電話ボットへのアクセスを許可していた。
英国法執行機関によると、OTPエージェンシーが商品を宣伝していたテレグラムグループは、3人が逮捕される1か月前の2021年2月に閉鎖された時点で2,200人以上のメンバーを抱えていた。クレブ氏の報告は逮捕にはつながらなかった。NCAは既に2020年6月からOTPエージェンシーの捜査を開始していた。
同庁は、3人が開発した基本的なツールでさえ効果を発揮し、詐欺師らが通信アカウントやオンラインバンキング・プラットフォームのアカウント認証方法を回避し、不正な取引を実行できるほどになったと述べた。
OTP Agencyのエリートプランはかなり高額で、月額380ポンド(472.53ドル)でした。このプランでは、顧客は独自の自動通話メッセージを作成でき、銀行や通信会社のプラットフォームをターゲットに設計された3社が作成したスクリプトにアクセスできました。
捜査官らは、BT、Sky、Virgin Media、HM Revenue & Customs、Mastercard、Visa の顧客をターゲットに作成されたスクリプトを回収した。
このサービスは、ユーザー名やパスワードを含む銀行データをダークウェブから既に入手していた犯罪者によって利用されていました。しかし、OTP Agencyは、犯罪者が最後の多要素認証ステップを突破するのを手助けしました。
アカウントへのアクセスが試みられた後、被害者にはテキストメッセージでOTPが送信されます。犯罪者はそこからOTP Agencyのウェブサイトにログインし、被害者の電話番号を入力し、発信者番号の表示方法を選択し、顧客に読み上げられる自動メッセージを作成しました。
- AIチャットボットスタートアップの創業者と弁護士の妻が、投資家を騙して6000万ドルをだましたとして告発される
- 「ベイン」と改名した北朝鮮の開発者、IT労働者の詐欺容疑で告発される
- 米政府の技術調達詐欺事件で4人が有罪を認める
- 牧師の神聖な「夢」暗号計画が米国政府により起訴される
成功した場合、被害者はキーパッドにワンタイムパスワードを入力し、犯罪者がアクセスできるようになります。有効なワンタイムパスワードを入手した詐欺師は、被害者のアカウントにログインし、取引を開始できます。
NCAは、2019年9月から2021年3月の間に約3,000人がOTP Agencyに登録し、65,000件を超える自動電話が12,500人以上の一般人をターゲットにしていたと推測している。
しかし、捜査官たちはOTPエージェンシーが営業中にどれだけの利益を上げていたのかをまだ把握していない。推定では、3,000人の加入者全員が最低プランを選んだ場合の9万ポンド(11万1,784ドル)、全員がエリートプランを選んだ場合の790万ポンド(980万ドル)とされている。
役割と判決
PicariはOTP Agencyの所有者、開発者、そして主な受益者でした。2019年に同社のTelegramチャンネルに投稿されたメッセージの中で、Picariは登録後数分以内に利益が得られると約束していました。
シディークはOTPエージェンシーに顧客サポートと技術サポートを提供し、そのサービスへの無料かつ自由なアクセスと引き換えに同社を宣伝し、それを自身の詐欺計画に利用していた。
ヴィジャヤナサン氏はサイトの宣伝も担当し、ウェブサイトとテレグラムチャンネルのモデレーションも担当していた。
3人は2023年1月に詐欺に使用する物品の製造および供給の共謀罪で起訴された。全員が最終的にこれらの罪状について有罪を認めたが、シディークは2024年8月まで有罪を認めなかった。
さらに、ピカリは2002年犯罪収益法第327条(犯罪財産の流用)に基づきマネーロンダリングの罪でも起訴され、1月27日にスネアズブルック刑事裁判所で懲役2年8ヶ月の判決を受けた。
ヴィジャヤナサン氏とシディーク氏は共に懲役刑を免れ、代わりに12ヶ月間の社会奉仕活動命令を言い渡された。この命令では、それぞれ200時間と160時間の社会奉仕活動を行う。また、両者とも760ポンド(943.67ドル)の費用を負担しなければならない。
NCAの国家サイバー犯罪対策ユニットのシニアマネージャー、ティム・コート氏は、「今回の件が示すように、NCAはOTP Agencyのような公衆に危害を与えるウェブサイトを妨害・解体し、責任者を裁判にかける力を持っている」と述べた。
オンラインバンキングサービスをご利用の方は、常に警戒を怠らないようお願いいたします。犯罪者は、信頼できる人物や企業を装って電話、メール、メッセージを送信することがあります。個人情報の要求など、不審な点や予期せぬ点がある場合は、各機関の公式ウェブサイトに掲載されている情報に基づいて、直接連絡を取り、ご確認ください。®
