Facebookユーザーをだますネット通販の詐欺キャンペーンに注意を

Recorded Futureはこのほど、「"ERIAKOS" Scam Campaign: Detected by Recorded Future’s Payment Fraud Intelligence Team」において、Facebookユーザーを標的にする通販の詐欺キャンペーンを特定したと伝えた。2024年4月に発見されたこのキャンペーンは、使用されたコンテンツデリバリーネットワーク(CDN: Content Delivery Network)の「oss[.]eriakos[.]com」にちなんで「ERIAKOS」と名付けられている。詐欺キャンペーンの調査報告全文は、「(PDF) “ERIAKOS” Scam Website Campaign Screens Victims Based on Mobile and Ad Access, Likely to Evade Detection - Recorded Future By Insikt Group」から閲覧できる。

• "ERIAKOS" Scam Campaign: Detected by Recorded Future’s Payment Fraud Intelligence Team

詐欺キャンペーン「ERIAKOS」の全貌

Recorded Futureの調査チームは2024年4月、未知の脅威アクターによる608の通販詐欺サイトを発見。これら詐欺サイトはブランドのなりすましやマルバタイジング手法を使用して、被害者の金融情報や個人情報の窃取を試みるとされる。詐欺サイトへのアクセスにはモバイルデバイスを必要とし、通常のコンピュータからのアクセスは拒否される。これはセキュリティ企業による自動検出を回避する目的があるものとみられている。

• モバイルデバイスからのアクセス(左)とPCからのアクセス(右　引用：Recorded Future

報告によると、これら詐欺サイトには次の共通点があるという。

• コンテンツデリバリーネットワークに「oss[.]eriakos[.]com」を悪用する
• 詐欺サイトのドメイン登録に「Alibaba Cloud Computing」を使用する
• 2つの特定のIPアドレス「47[.]251[.]129[.]84」および「47[.]251[.]50[.]19」を使用する
• ドメインの多くは構成に誤りがある。プライマリードメインはドメイン登録事業者の管理下にあるが、wwwサブドメインはCloudflareの管理下にある

ERIAKOSの詐欺サイトのドメインは、中国のドメイン登録事業者「Alibaba Cloud Computing」を使用して登録されている。そのため、攻撃者は中国で活動している人物またはグループの可能性が高いとみられている。

Facebookの防衛策

攻撃者は、Facebookのオンライン広告を悪用して被害者を詐欺サイトに誘導した。この詐欺広告は偽の体験談や非現実的な割り引きと共に100種類以上が公開されたという。

• 非現実的な割り引きを謳う詐欺広告の例　引用：Recorded Future

報告によると、Facebookはこのような詐欺広告の一部を自動的に検出しブロックしたとされる。しかしながらRecorded Futureは次のように述べ、Facebookの防衛策は有効だが脅威アクターはその一歩先を行くとしている。

対策

Recorded Futureは、報告の中で金融機関と消費者向けに複数の対策を提示している。オンライン通販を利用するユーザーは同社の報告を閲覧し、対策を実施することが望まれている。

また、報告では付録として608すべての詐欺サイトのドメインとIPアドレスを掲載している。これら詐欺サイトの多くはすでにアクセスできないとされるが、攻撃者はすでに新しい詐欺を開始したとみられている(参考：「Fraud ring pushes 600+ fake web shops via Facebook ads」)。そのため、すべてのユーザーには同様の攻撃に今後も警戒することが推奨されている。