Operation Ticket Heist uses over 700 domains to sell fake Olympic Games tickets

700以上のドメイン名を使った大規模な詐欺キャンペーンが、パリで開催される夏季オリンピックのチケットを購入しようとしているロシア語を話すユーザーを標的にしているようだ。

この作戦はオリンピックの偽チケットを提供し、他の主要なスポーツや音楽イベントにも便乗しているようだ。

このキャンペーンを分析している研究者は、これを「Ticket Heist」と呼んでおり、いくつかのドメインは2022年に作成され、脅威の主体は毎月平均20の新しいドメインを登録し続けていることがわかりました。

高値の偽オリンピックチケット

2023年後半、脅威インテリジェンス企業QuoIntelligenceの研究者は、今年7月26日に開幕予定のパリオリンピックに関する話題が増加していることに気づきました。

このイベントは常に地政学的影響力のために利用されており、国際オリンピック委員会がロシアとベラルーシの国旗を掲げたアスリートの参加を禁止する決定を下したため、研究者たちはこのトピックを監視し続け、オンラインで不審な動きがないかを探しました。

QuoIntelligenceは、新しく登録されたドメインで使用されている特定のキーワード(例:チケット、パリ、割引、オファー)に目を光らせ、パリで開催されるオリンピックの有効なチケットを販売し、宿泊オプションを提供すると主張する説得力のあるウェブサイトをホストしている708のドメインに依存しているTicket Heist作戦を発見しました。

最初に発見されたのはticket-paris24[.]comとticket-paris24[.]comで、後者は最初のドメインのクローンである。

「ロシア語から英語への直接翻訳によるものと思われるが、スペルミスや文法ミスはあったものの、ウェブサイトとそのユーザーエクスペリエンスは高級サイトと遜色ないものであった

Ticket Heistの運営者が訪問者のために作成したユーザー・インタラクションは合法的に見え、サイトやチケット選択への関与を促している。

Ticket Heist page for fake Olympic Games tickets
Ticket Heistの偽オリンピックチケットのページ
出典:QuoIntelligence:QuoIntelligence

本日発表されたレポートの中で、研究者らは、チケット強盗に関連するすべてのウェブサイトには同じUIフレームワークが存在し、コンテンツや言語がわずかに異なるだけで、詐欺サイト間の違いは生じないと述べている。

ウェブサイトのデザインとは別に、このスキームで際立っているのは、提供される偽チケットの価格である。QuoIntelligenceは、価格が正規のものに比べて高騰していると指摘している。

「例えば、公式サイトのランダムなイベントと座席の場所は100ユーロ以下であるのに対し、詐欺サイトの同じチケットと場所の価格は最低300ユーロ、しばしば1,000ユーロに達する」 – QuoIntelligence

QuoIntelligenceの脅威研究者Andrei Moldovanは、確認は取れていないが、高い価格は、チケットが公式の流通経路では入手できないため、被害者に追加料金で「プレミアム待遇」を受けられると信じ込ませるためのトリックの一部である可能性があると語った。

あるいは、高めの値段は、チケット不足を利用したダフ屋行為だと被害者に思わせる可能性もある。

チケット・ハイストの目的についての理論を検証し、その背後にいる人物につながる情報を収集するため、QuoIntelligenceは詐欺サイトの1つから購入を試みた。

その結果、すべての取引はStripeの決済処理プラットフォームを通じて行われ、カードに十分な資金がある場合にのみ送金されることが判明した。

つまり、運営者の目的はクレジットカード情報を収集することではなく、被害者からお金を盗むことなのだ。

さらに、このテストでは、VIP Events Team LLCという会社名も明らかになった。この会社は2021年11月26日に設立され、現在も活動しているが、そのウェブサイトが一般の検索エンジンにインデックスされたことは一度もない。

「ドメインは会社設立と同じ日に登録された。グーグル、ソーシャルメディア、TrustPilot、その他の利用可能なOSINTソースにVIP Events Team LLCに関する記述はない。

研究者によると、この会社はニューヨークに拠点を置いているように見えるが、ticket-paris24[.]comの「contact us」セクションには、その背後にある会社がグルジアのトビリシにあると記載されている。

Ticket Heistの背後にあるインフラを分析すると、研究者は、すべての詐欺ドメインが179[.]43[.]166[.]54という同じIPアドレスでホストされていることを発見しました。

すべてのウェブサイトが固有のSSL証明書を持っている一方で、QuoIntelligenceは、使用されているドメインと固有のサブドメイン名の構造にパターンがあることに気づきました。

彼らは、サブドメインにjswidgetwidget-framewidget-apiがよく含まれていることを観察し、DNSレコードや一般的なJavaScriptファイルと組み合わせることで、708のドメインからなるネットワーク全体を解明することができました。

毎月、この脅威者は平均20の新しいドメインを登録していたが、昨年11月には50の新しいドメインが作成され、その数は大幅に増加した。

現在、Ticket Heistにリンクされているドメインの98%は、クラウドソーシングの分析サービスによってマルウェアがないとみなされており、これは、合法的な決済サービスを通じて被害者から直接盗むことが目的であるという説を裏付けている。

イベントの誘い文句と被害者

チケット・ハイストの手口は、パリのオリンピック・イベントだけではない。詐欺師たちは今年のUEFA欧州選手権の偽チケットでも被害者をおびき寄せようとした。

QuoIntelligenceは、サッカーイベントのチケットを提供する複数の英語サイトを発見した。

Ticket Heist website for UEFA EURO 24 Championship
UEFA EURO 24 チャンピオンシップのチケット強盗サイト
ソースはこちら:QuoIntelligence

さらに、研究者はこの詐欺行為の中で、トゥエンティ・ワン・パイロッツ、アイアン・メイデン、メタリカ、ラムシュタイン、ミュージシャン(ブルーノ・マーズ、ルドヴィコ・エイナウディ)などの有名バンドが出演する音楽コンサートのチケットを販売すると主張するウェブサイトを発見した。

これらのケースでは、偽のチケットはモスクワやロシアの他の主要都市で開催されるコンサートのものだったと研究者は述べている。

これらのページは英語であったが、QuoIntelligenceによれば、Ticket Heistのウェブサイトのほとんどはロシア語のみであり、ロシア語を話すユーザーがこの作戦の主なターゲットであったことを示唆している。

この結論を導くもう一つの指標は、ロシアの携帯電話サービスの電話番号を使用した連絡先の詳細の存在である。

「明らかに、これはロシア語を話す個人を狙ったという100%の証拠ではないが、多くの指標や発見がこの方向を示している」とモルドバン氏は語った。

パリ・オリンピックのチケット販売を謳った詐欺サイトは以前にも報告されている。フランス国家憲兵隊は先月、338の詐欺サイトを発見したと警告した

別の報告書では、サイバーセキュリティ企業のProofpoint社が、このようなウェブサイトがスポンサー付き検索エンジンの検索結果を通じてプッシュされていると警告している。

Redditでは、あるユーザーがparis24tickets[.]comからチケットを買おうとして詐欺にあったと訴えている。

QuoIntelligenceは、このウェブサイトがもはやアクティブではないため、取引がどのように行われたかを確認することはできなかったが、Moldovanによると、アーカイブされたリソースに基づくと、このウェブサイトはホスティング・インフラ、ネットワーク構成、ユーザー・インターフェースの点で全く異なっていたという。

このような事例があるにもかかわらず、QuoIntelligenceによれば、チケット強盗の作戦は進行中であり、公的な調査では報告されておらず、複数の詐欺師が今年のオリンピックを利用しようとしていることを示している。

脅威インテリジェンス企業は、サイバーセキュリティコミュニティが顧客を保護するために使用できる、チケット強盗作戦に関する一連の侵害指標(IoC)を提供しています。