ISP のサポート担当者を装って決済カードの詳細をフィッシングする詐欺師の正体が明らかになった。英国の情報セキュリティ企業の共同設立者を騙そうとしたのがきっかけだった。
ケンブリッジを拠点とする侵入テスト会社フィダス・インフォメーション・セキュリティーのディレクター、カーティス・バロン氏は本日、エル・レグ紙に対し、同社の共同設立者アンドリュー・マビット氏がツイッター上の正規のヴァージン・メディア顧客サポートアカウントと思われる人物からプライベートメッセージを受け取った経緯を語った。そのメッセージはマビット氏の銀行カードの詳細を収集しようとするものだった。
この詐欺は、マビット氏が英国のブロードバンド大手ヴァージン・メディアに対し、インターネット接続の不具合についてTwitterで公に苦情を申し立てたことから始まりました。ヴァージン・メディアのサポートアカウントを装った詐欺師が彼の苦情に気づき、DMで個人情報を要求しました。提供された情報には、カード番号の確認などが含まれていました。
マビット氏は襲撃の概要の中で「非常に良い試みだった」と述べた。
「アカウントの背後にいる人々は、リアルタイムでキーワードを監視し、非常に速くこれらのメッセージを送信しているようです。返信の速さと最初のツイートを書いた人が抱えているフラストレーションの両方を利用しているようです。」
フィッシング詐欺に早くから気づいた主人公は、詐欺師たちに架空の名前と住所を教え、策略に乗ることにしました。この場合、住所はロンドンのサヴィル・ロウにあるロンドン警視庁、名前はウェイド・ウィルソン、別名マーベルの口の悪いスーパー傭兵デッドプールです。
首都の警察本部で活動するコミック風のアンチヒーローを騙そうとしていることに気づかず、愚かな犯罪者たちはクレジットカード情報を聞き出そうとした。ここでマビットは彼らを完全に釣り上げた。PayPalが加盟店の決済システムのテストに使うダミーのクレジットカード番号を詐欺師たちに教えたのだ。さらに、Fidusのハニーポットサーバーへのリンクも送りつけ、彼らがアクセスできるようにした。これにより、彼らのパブリックIPアドレスが明らかになった(彼らがTorのような技術を使うほど賢くないと仮定した場合)。
この時点で、マビット氏が相手にしていたのは犯罪の黒幕ではないことは明らかだった。しかし、攻撃者たちは彼が最初に送ったリンクをクリックせず、テストカードの情報で決済が承認されなかったため、2つ目のクレジットカード番号を要求した。ウィルソン氏はソーシャルエンジニアリングをさらに深化させる必要があった。
数百万ポンドに上るWindowsテクニカルサポート詐欺の捜査で英国人4人が手錠をかけられる
続きを読む
「我々の目的は明確でした。我々がウェブサーバーをホストしているIPアドレスにアクセスさせ、IPアドレスを取得させようとしたのです。残念ながら、思ったほど簡単ではなかったため、さらに準備を進める必要がありました」とマビット氏は語った。
「彼らは別のカードが必要だと強く主張し、私たちも彼らのIPアドレスを取得すると強く主張しました。やり取りが延々と続きました。」
マビット氏は、アメリカン・エキスプレスに問題があると主張し、ハニーポットサーバーにホストされた偽のCloudflareエラーページを作成し、そのページへのリンクを犯罪者に渡し、クレジットカード会社のウェブサイトに問題があることを証明しようとした。しかし、それでもリンクをクリックさせるには至らなかった。
最終的に、マビットはアメリカン・エキスプレスからカードの不正利用の可能性を警告するSMSメッセージのスクリーンショットを偽造し、その画像を詐欺師に送信しました。テキストには、ハニーポットにホストされたページへのリンクが含まれており、そこには不正利用警告に関する詳細情報が記載されているようでした。警告を解除してカードのロックを解除しようと、犯罪者はリンクをクリックし、自分のIPアドレスをFidusハニーポットに提供しました。
「IPアドレスを取得するために、CloudFlareのエラーメッセージとSMSの両方を偽造することになるとは思ってもみなかったが、この時点では撤退するにはあまりにも遠くまで来てしまった」とマビット氏は語った。
その時点でマビット氏はアカウントを停止し、アカウントとIPアドレスをTwitterとロンドン警視庁に通報しました。犯人の消息は不明ですが、類似のVirgin MediaのTwitterアカウントはその後停止されました。
詐欺師志望者への教訓としましょう。偽のTwitterアカウントを使って人を騙そうとするなら、標的をよく調べてください。そうしないと、ハニーポットサーバーとロンドン警視庁の住所を使って漫画のヒーローを騙そうとするようなことになってしまいます。できれば、何もしないほうがいいでしょう。®
