SilkSpecter(シルクスペクター)」と呼ばれる、金銭的な動機に基づく中国の脅威行為者が、何千もの偽オンライン・ストアを利用して、米国とヨーロッパのオンライン買い物客の支払いカード情報を盗んでいる。
この詐欺キャンペーンは2024年10月に開始され、例年買い物が活発化するブラックフライデー商戦に向けて急な割引を提供しています。
このキャンペーンを発見したEclecticIQの脅威リサーチャーArda Buyukkaya氏は、レポート発表時点でSilkSpecterは4,695の詐欺ドメインを運営していると述べています。
これらのサイトは、North Face、Lidl、Bath & Body Works、L.L. Bean、Wayfair、Makita、IKEA、Gardenaといった有名ブランドになりすましている。
多くの場合、キャンペーンに使用されたドメイン名には「ブラックフライデー」の文字列が含まれており、明らかに割引情報を探しているオンライン買い物客をターゲットにしている。

ソースはこちら:EclecticIQ
クレジットカード情報を盗む
SilkSpecterのウェブサイトはよくデザインされており、一見して本物のように見えるよう、なりすましブランドの名前が付けられているのが一般的です。しかし、彼らのサイトでは通常、「.shop」、「.store」、「.vip」、「.top」などのトップレベルドメインが使用されており、これらは一般的に大手ブランドや信頼できるeコマースサイトとは関連していません。
被害者の所在地に応じて、ウェブサイトはグーグル翻訳を使い、詐欺サイトの言語を自動的に調整する。
このフィッシング・サイトは、合法的で信頼できる支払いプロセッサーであるStripeを統合しており、サイトの合法性を高めつつ、クレジットカード情報を盗むことを可能にしている。
SilkSpecterはまた、OpenReplay、TikTok Pixel、Meta Pixelなどのトラッキング・ツールをサイト上で使用している。これらのツールは、訪問者の行動を監視し、作戦の効果を高めるために戦術を調整するのに役立ちます。
ユーザーがこれらのサイトから購入しようとすると、支払いページにリダイレクトされ、クレジットカード/デビットカード番号、有効期限、CVVコードの入力を求められる。最後のステップでは電話番号も要求される。

ソースはこちら:EclecticIQ
Stripeのサービスを悪用して注文の代金を盗む以外に、フィッシング・キットは入力されたカード情報を攻撃者が管理するサーバーに送信する。
EclecticIQは、ペイメントカードデータを悪用する際に2要素認証(2FA)のプロンプトを処理するために必要な音声またはSMSフィッシング攻撃で後で使用するために電話番号が盗まれると考えている。
SilkSpecterは、中国のIPアドレスとASNの使用、中国のドメインレジストラ、サイトのコード内の言語的証拠、および「oemapps」という名前の中国のSaaS(Software as a Service)プラットフォーム(Stripe以前)の使用実績から、中国人と見られている。
BlackFridayの買い物客は、ブランドの公式ウェブサイトのみを訪問し、広告やソーシャルメディア投稿のリンク、Google検索のプロモーション結果をクリックしないよう推奨される。
最後に、カード所有者は、多要素認証など、金融口座で利用可能なすべての保護手段を有効にし、定期的に利用明細を監視する必要がある。
Comments