Recorded Futureはこのほど、「"ERIAKOS" Scam Campaign: Detected by Recorded Future’s Payment Fraud Intelligence Team」において、Facebookユーザーを標的にする通販の詐欺キャンペーンを特定したと伝えた。2024年4月に発見されたこのキャンペーンは、使用されたコンテンツデリバリーネットワーク(CDN: Content Delivery Network)の「oss[.]eriakos[.]com」にちなんで「ERIAKOS」と名付けられている。詐欺キャンペーンの調査報告全文は、「(PDF) “ERIAKOS” Scam Website Campaign Screens Victims Based on Mobile and Ad Access, Likely to Evade Detection - Recorded Future By Insikt Group」から閲覧できる。
詐欺キャンペーン「ERIAKOS」の全貌
Recorded Futureの調査チームは2024年4月、未知の脅威アクターによる608の通販詐欺サイトを発見。これら詐欺サイトはブランドのなりすましやマルバタイジング手法を使用して、被害者の金融情報や個人情報の窃取を試みるとされる。詐欺サイトへのアクセスにはモバイルデバイスを必要とし、通常のコンピュータからのアクセスは拒否される。これはセキュリティ企業による自動検出を回避する目的があるものとみられている。
報告によると、これら詐欺サイトには次の共通点があるという。
- コンテンツデリバリーネットワークに「oss[.]eriakos[.]com」を悪用する
- 詐欺サイトのドメイン登録に「Alibaba Cloud Computing」を使用する
- 2つの特定のIPアドレス「47[.]251[.]129[.]84」および「47[.]251[.]50[.]19」を使用する
- ドメインの多くは構成に誤りがある。プライマリードメインはドメイン登録事業者の管理下にあるが、wwwサブドメインはCloudflareの管理下にある
ERIAKOSの詐欺サイトのドメインは、中国のドメイン登録事業者「Alibaba Cloud Computing」を使用して登録されている。そのため、攻撃者は中国で活動している人物またはグループの可能性が高いとみられている。
Facebookの防衛策
攻撃者は、Facebookのオンライン広告を悪用して被害者を詐欺サイトに誘導した。この詐欺広告は偽の体験談や非現実的な割り引きと共に100種類以上が公開されたという。
報告によると、Facebookはこのような詐欺広告の一部を自動的に検出しブロックしたとされる。しかしながらRecorded Futureは次のように述べ、Facebookの防衛策は有効だが脅威アクターはその一歩先を行くとしている。
Facebookは詐欺広告を時折ブロックし、最終的には広告キャンペーンの担当アカウントをブロックした。このことから、Facebookの不正検知アルゴリズムは部分的には有効だとわかる。しかしながら、詐欺ドメインの寿命の短さから、詐欺広告も短期間で終わる設計だった可能性が高い。脅威アクターは被害者を迅速に誘導してだます意図があったと考えられる。
対策
Recorded Futureは、報告の中で金融機関と消費者向けに複数の対策を提示している。オンライン通販を利用するユーザーは同社の報告を閲覧し、対策を実施することが望まれている。
また、報告では付録として608すべての詐欺サイトのドメインとIPアドレスを掲載している。これら詐欺サイトの多くはすでにアクセスできないとされるが、攻撃者はすでに新しい詐欺を開始したとみられている(参考:「Fraud ring pushes 600+ fake web shops via Facebook ads」)。そのため、すべてのユーザーには同様の攻撃に今後も警戒することが推奨されている。