Fake web shop selling sneakers
イメージミッドジャーニー

ERIAKOS」と名付けられた悪質な詐欺キャンペーンは、Facebook広告を通じて600以上の偽のウェブショップを宣伝し、訪問者の個人情報や金融情報を盗む。

これらのサイトは、有名ブランドの製品を宣伝し、大幅な割引を行うことで訪問者を引きつけているが、セキュリティ・スキャナーによる検出を回避するため、モバイル・デバイスからのみアクセスできるようになっている。

Recorded FutureはERIAKOSの活動を発見し、使用されているドメインレジストラ、カードネットワーク、決済サービスプロバイダーから、中国から発信されている可能性が高いと見ている。

研究者たちがマッピングしたサイトのほとんどは、短命であるため現在はオフラインになっているが、このキャンペーンはまだアクティブであり、人々が作りたてのサイトを訪れるように常に新しい広告波を生成している。

詐欺キャンペーン

Recorded Futureは、このキャンペーンをeriakos[.]comでホストされているコンテンツ・デリバリー・ネットワークにちなんで命名した。研究者がこの詐欺キャンペーンを発見したのは2024年4月17日だが、いつから活動を開始したのかは不明だ。

各詐欺サイトは、モバイルユーザーをターゲットとしたフェイスブック上のおよそ100の広告を特徴としており、コメントにはエンゲージメントを高めるために偽のユーザーの声が含まれている。

Fake user comments adding legitimacy
ソースはこちら:Recorded Future

広告は、ナイキのスニーカー、ノースフェイスの衣料品、アマゾンのiPhoneなど、人気商品の大幅な割引を宣伝しているが、潜在的な購入者を惹きつけるために、非現実的な期間限定オファーが掲載されている。

Sneakers promoted in unrealistic 87.5% discount
非現実的な87.5%割引で宣伝されるスニーカー
出典:Recorded Futureレコーデッド・フューチャー

Recorded Futureによると、Facebookは時折この広告を検知してブロックしており、広告プラットフォームの不正防止アルゴリズムが有効なケースもあることを示しているという。

「フェイスブック広告は時折詐欺広告をブロックし、最終的には広告キャンペーンを担当したアカウントをブロックした

「しかし、実際の詐欺ドメインの寿命が短いことから、広告キャンペーンも短期間で終わるように設計されている可能性が高い。

“この手口は、今回のキャンペーンのように、詐欺広告キャンペーンが大規模に運営されている場合に効果的である可能性が高い。”

研究者や詐欺対策会社による検知を逃れるため、ランディングページはモバイルプラットフォーム経由か、フェイスブックから参照された場合にのみアクセスできるようになっている。偽のウェブショップへのURLがデスクトップで手入力されたり、リファラーヘッダーが欠落している場合、ページは以下のように404エラーを返す。

Site accessed from mobile (left) and desktop (right)
モバイル(左)とデスクトップ(右)からアクセスされたサイト
ソースはこちら:Recorded Future

このスクリーニングにより、即座の検知とテイクダウンが妨げられ、フェイスブックのユーザーがリスクにさらされる機会が増えている。

また、詐欺オンラインストアに使用されるドメインの寿命が短いものは常に更新されるため、悪意のあるネットワークは常に古いサイトから新しいサイトへと急速なペースで移行するという別の課題も生じている。

詐欺キャンペーンに共通する指標は、ウェブサイトがCDNとしてoss[.]eriakos[.]comを使用していること、ドメインがAlibaba Cloud Computingに登録されていること、IPアドレスが47.251.50[.]19と47.251.129[.]84を使用していることです。

また、VirusTotal[1,2]にアップロードされたマルウェアが、これらのIPアドレスと通信していることが判明しています。しかし、これらのマルウェアが同じ脅威アクターによるものか、共有インフラを使用する他のサイバー犯罪者によるものかは不明です。

詐欺グループのウェブサイトの多くはすでに運営されていないが、Recorded Futureは2日前にも広告のサンプルを共有しており、このキャンペーンがまだ有効であることを示している。

Recent ads promoted by fraud network with Amazon branding
詐欺ネットワークが宣伝した、アマゾンのブランドを使用した最近の広告
ソースは こちら:

2024年5月、SRLabsの研究者は、同じく中国で運営されていると思われる別のオンライン詐欺ネットワーク「BogusBazaar」を発見した。

Recorded Futureは、彼らがレポートを発表する前に、この詐欺広告についてMetaに通知したと伝えた。

また、このキャンペーンについてMeta社に問い合わせ、返答があれば記事を更新する予定だ。

安全に買い物をする

このような詐欺キャンペーンは、クレジットカードの長期的な不正購入を引き起こすなど、さまざまな形で消費者を苦しめる可能性がある。

消費者が偽サイトで製品を購入すると、カードに請求が行われ、脅威行為者はお金を盗むことができます。しかし、脅威行為者はあなたのクレジットカード情報も手に入れ、ダークウェブのマーケットプレイスで一般的に販売され、他の脅威行為者が詐欺に利用することになります。

したがって、オンラインショッピングを安全に行い、未知のサイトから購入する前によく調べることが重要です。

さらに、フェイスブックのような大規模なプラットフォー ム上の広告は、正当性があるかのような虚偽の感覚を与え、ユー ザーが焦って驚くような商品を購入してしまう可能性がある。

しかし、ソーシャル・メディア・サイトにはあらゆる保護機能があるにもかかわらず、詐欺師は依然として偽サイトを宣伝する隙を見つけていることを、ユーザーは忘れてはならない。

購入に進み、注文ページで機密情報を入力する前に、電子ショップの身元調査を行い、ユーザーレビューを読み、利用規約の存在を確認し、利用するドメインがHTTPSを使用していることを確認すること。

モバイルでこれらのチェックを行うのはより困難である可能性があり、それが詐欺師がモバイルユーザーをターゲットにしている理由である可能性が高いため、クレジットカード情報を提供するウェブサイトを調査することが重要である。

そのため、クレジットカード情報を提供するウェブサイトを調査することが重要である。サイトについて不審な兆候があったり、検索結果がない場合は、クレジットカードや個人情報を盗むために作られた偽のウェブショップである可能性が高いため、避けるべきである。