Hacker arrest

司法省は本日、ウィスコンシン州のジョセフ・ギャリソンという18歳の男が、2022年11月にスポーツ賭博ウェブサイト「ドラフトキングス」の約6万人のユーザーのアカウントをハッキングした罪で起訴されたことを明らかにした。

訴状によると、容疑者はアカウントをハッキングするために他の侵害から得た認証情報の広範なリストを使用したという。その後、彼はハイジャックされたアカウントを売却し、買い手は侵害された約 1,600 のアカウントから約 60 万ドルを盗みました。

ギャリソンとその共謀者らは、盗まれたアカウントの購入者がすべての資金を引き出すことができる方法を考案し、ハッキングされたアカウントに新しい支払い方法を追加し、その有効性を確認するために新しく追加された支払い方法を通じて名目額5ドルを入金するよう指示した。その後、既存の資金をすべて被害者の口座から引き出し、攻撃者の管理下にある別の金融口座に移します。

2023年2月にギャリソン氏の邸宅を捜索した際、法執行機関はクレデンシャルスタッフィング攻撃で一般的に使用されているツール(OpenBulletやSilverBulletを含む)を発見し、標的となる各Webサイトのカスタム「構成」ファイルを必要とした。

容疑者のコンピュータからは、数十の企業ウェブサイトのおよそ700の設定ファイルが発見され、その中には11月に攻撃された賭博ウェブサイト用の11の別個の設定ファイルも含まれていた。

さらに、この検索により、クレデンシャル スタッフィング攻撃にも使用される、約 38,484,088 個のユーザー名とパスワードの組み合わせを含む少なくとも 69 個のファイル (ワードリストとして知られる) も発見されました。

法執行官はギャリソンさんの携帯電話を分析していたところ、ウェブサイトのハッキングに関する共謀者との話し合いなど、同被告が2022年11月に賭博プラットフォームに対する認証情報攻撃に関与したことを示す追加証拠を発見した。

そのような会話の中で、ギャリソンは法執行機関が彼を逮捕したり起訴したりすることはできないだろうという信念を表明し、「詐欺は楽しい…自分の口座にお金があるのを見るのに夢中になっている…私はたわごとを迂回することに夢中になっているようなものだ。」と述べた。

DraftKings 認証情報攻撃へのリンク

司法省は攻撃の対象となった賭博サイトの名前は明らかにしていないが、2022年11月にDraftKings [1、2 ]FanDuelの両方を標的とした計画を把握している。

CNBCによると、これは同社に近い人物によって確認され、DraftKings は今日の司法省のプレスリリースに記載されている認証情報スタッフィング攻撃の標的であると述べたという。

DraftKings は11 月 21 日、資格情報攻撃で侵害されたアカウントから最大 30 万ドルが盗まれたことを初めて明らかにしました

1か月後、スポーツ賭博会社は、この事件で67,995人の顧客のアカウントがハッキングされた後、盗まれた数十万ドルを返金したと発表した( 訴状司法省のプレスリリースで言及されたアカウントの数と一致する)。

11 月の同時期に、FanDuel の顧客は、認証情報スタッフィング攻撃によるアカウント侵害を報告し、ハッキングされたアカウントはわずか 2 ドルでサイバー犯罪市場で販売されました。

ギャリソン容疑者は、2件の攻撃の後、ハッキングされたドラフトキングスとファンデュエルのアカウントを販売する「ヤギショップ」ウェブサイトを運営していたことが知られている。

「法執行機関はギャリソンの電話で、ゴートショップが22万5,247個の製品を販売し、総売上高が213万5,150.09ドルであることを示す日付のない写真を発見した」と訴状にはある。

侵害された DraftKings アカウントを空にする方法に関する同じ詳細な手順が別のオンライン ショップでも提供されており、訴状にある Garrison’s Goat Shop の Web サイトに記載されている手順と一致します。

DraftKings の「キャッシュアウト」手順
DraftKings の「キャッシュアウト」手順 ()

共謀者らはDraftKingsのインシデント対応も追跡しており、ある時点で、同社が影響を受けたアカウントのパスワードをリセットした後、侵害されたすべてのアカウントがロックされたと警告した。

DraftKings が侵害されたアカウントをロックしたという警告 ()
DraftKings が侵害されたアカウントをロックしたという警告 ()

11 月の攻撃を受けて、DraftKings は顧客に対し、複数のサービスで同じパスワードを決して使用しないこと、アカウントの 2FA を直ちに有効にすること、不正な引き出し要求をブロックするために銀行口座のリンクを解除するか銀行口座の詳細を削除することをアドバイスしました。

Chick-fil-A はまた、( 1 月に開始された調査を受けて) 3 月に、2022 年 12 月 18 日から 2023 年 2 月 12 日までの 1 か月にわたる「自動化された」クレデンシャル スタッフィング攻撃により、71,473 人の顧客がアカウントを侵害されたことを確認しました。

また、盗まれたアカウントは、アカウント残高、リンクされている支払い方法、または Chick-fil-A One の特典ポイントの額に応じて、Goat Shop の Web サイトで最大 200 ドルで販売されることになりました。

FBI が最近警告したように、すぐに利用できる自動化ツールや、盗まれた認証情報の集約リストが簡単に入手できるため、クレデンシャル スタッフィング攻撃の量と頻度が増加しています。

「主張通り、ギャリソン容疑者は洗練されたサイバー侵害攻撃を利用して被害者のアカウントに不正アクセスし、数十万ドルを盗んだ」とFBI担当次官補マイケル・J・ドリスコル氏は本日述べた。

「個人の資金を盗むことを目的としたサイバー侵入は、私たちの経済安全保障にとって深刻なリスクとなっている。サイバー攻撃と闘い、刑事司法制度における責任ある脅威行為者の責任を追及することは、依然としてFBIにとっての最優先事項である。」