更新英国で多要素認証(MFA)バイパス組織を運営した罪で3人の男が有罪を認めた。当局は、この組織が2年足らずで数百万ドルを稼いだと推定している。
英国国家犯罪対策庁(NCA)によると、Callum Picari、Vijayasidhurshan Vijayanathan、Aza Siddeeque の 3 名はそれぞれ、OTP.agency を運営していたことを認めた。OTP.agency は、サイバー犯罪者にツールへのアクセスを提供し、標的をソーシャルエンジニアリングし、MFA を回避し、最終的に被害者の銀行口座から金銭を盗むことを可能にしていた地下組織である。
NCAによると、このグループは週30ポンド(約4000円)という低価格でHSBC、Monzo、Lloydsといった銀行向けのMFAバイパスツールを提供していた。また、週380ポンド(約5000円)のエリートレベルプランでは「VisaとMastercardの認証サイトへのアクセスも許可されていた」という。ただし、NCAはThe Registerへのメモの中で、「この犯罪行為によってMastercardやVisaのシステムが侵害されたことは全くない」と強調している。
OTP.agency のツールによって 12,500 人以上の被害者が標的にされたと推定されています。
OTP Agency のスタッフ: 左から、Vijayasidhurshan Vijayanathan、Callum Picari、Aza Siddeeque。出典:NCA
3人が2019年9月から、逮捕されサイトがオフラインになった2021年3月までの間にどれだけの金額を銀行で稼いだかは明らかにされていないが、NCAは最大790万ポンド(1030万ドル)に上ると推定している。
OTP.agencyは2019年末、Telegramグループで自社サービスの宣伝を開始した。NCAによると、この3人は自らを「OTP(ワンタイムパスワード)窃盗のニーズに応える、最初で最後のプロフェッショナルサービス」と称している。「サービス購入後、数分以内に利益が出ることをお約束します」
- LockBitの漏洩により、約200社の関連会社と特注のデータ窃盗マルウェアが暴露される
- 英国と米国の警察が協力してQilinのランサムウェア脅迫に対処
- MFAを使用していないSnowflakeの顧客は例外ではない。165社以上が侵害を受けている。
- 警察はLockBitランサムウェア集団のカウントダウンタイマーを逆手に取る
このグループはまた、「あらゆるウェブサイト」のワンタイムパスワードを入手でき、Apple Payや「30以上のサイト」も含まれると主張した。グループの活動の基盤となる技術の詳細は明らかにされておらず、3人が独自のマルウェアを製造したのか、それとも他のas-a-service製品を寄せ集めて独自の派生製品を開発したのかは不明だ。
英国法執行機関によると、このテレグラムグループは、サイバーセキュリティジャーナリストのブライアン・クレブス氏が2021年2月にこのグループの存在を報じた直後、つまり3人が逮捕される1か月前に閉鎖された時点で2,200人以上のメンバーを抱えていた。しかし、この報じは3人の逮捕にはつながらなかった。NCA(英国犯罪捜査局)は2020年6月からOTP.agencyを捜査していた。
ピカリ、ヴィジャヤナサン、シディークの3人は、詐欺に用いる物品の製造・供給に関する共謀の罪で有罪を認めた。この計画の首謀者、開発者、そして主要な受益者として挙げられたピカリは、マネーロンダリングの罪でも起訴された。共謀罪で3人はそれぞれ最長10年の懲役刑に直面する一方、ピカリはマネーロンダリングの罪でも最長14年の懲役刑に直面している。
「ピカリ、ビジャヤナサン、シディークの3人は、詐欺師が銀行口座にアクセスし、何も知らない一般市民から金銭を盗むための扉を開いてしまった」と、NCAの国家サイバー犯罪ユニット運用マネージャー、アナ・スミス氏は述べた。「彼らの有罪判決は、同様のサービスを提供する他のすべての人々への警告となる。NCAは、人々の生活を脅かすウェブサイトを妨害し、削除する権限を持っている。」®
編集者注:この記事は 9 月 5 日に更新され、OTP ギャングによって Mastercard や Visa のシステムが侵害されたことはないという NCA の見解が追加されました。
