Fraud

アンダーグラウンドのフォーラムやチャット・グループにおける脅威の主体は、金融機関の業務プ ロセスの弱点を突くことを目的とした、構造化された詐欺の手法を編み出すようになってきている。これらの議論では、孤立した詐欺や場当たり的な詐欺ではなく、盗んだ ID データ、ソーシャル・エンジニアリング、金融業務フローに関する知識を組み合わせた、組織的でプロセス主導型のアプローチが反映されています。

このような議論の中で、特に中小規模の信用組合など、小規模な金融機関は、検証システムにギャップがあると認識されていることや、詐欺防止のリソースが限られていることから、より魅力的なターゲットとして言及されることが多い。

Flareの研究者は最近、このようなアンダーグラウンド・グループの1つで流布している詳細なローン詐欺の手法を特定し、攻撃者が従来のセキュリティ・トリガーを回避しながら、盗んだIDを使って信用調査、本人確認、ローン承認プロセスを通過する方法を概説した。

この手法は、ソフトウェアの脆弱性を悪用するのではなく、あたかも申請者が本物であるかのように、正当なオンボーディングと融資のワークフローをナビゲートすることに焦点を当てている。

投稿の構成は理路整然としたアプローチを反映しており、IDの使用から融資承認までのプロセスを一貫して再現可能な方法で分解し、より組織的な詐欺テクニックの使用を指摘している。

Screenshot from the method shared in the chat group, showing the threat actor’s opening
チャットグループで共有された手法のスクリーンショット。
、脅威行為者の手口を示している。

侵入ではなくアイデンティティに基づくプロセス

この手法の核心は、説得力を持って正当な借り手になりすますために十分な個人データを入手することにある。これには、氏名、住所、生年月日、場合によってはクレジット関連の詳細などの識別情報が含まれる。

A typical example to identity fraud guide in the underground
個人情報詐欺の典型的な例として、
フレアのリンクから投稿することができる。まだ顧客でない場合は、無料トライアルにサインアップしてアクセスしよう。

このプロセスはすべてデジタル化されており、攻撃者は偽のIDを使って融資を申し込んでいる。この違いは非常に重要で、攻撃者は「システムを壊す」のではなく、その設計の欠陥を突いているのだ。

この方法の中心的な構成要素は、本人確認チェック、特に知識ベース認証(KBA)に基づくチェックをパスする能力である。これらのシステムは通常、以下のような質問に依存している:

  • 過去の住所

  • ローン履歴またはクレジット履歴

  • 雇用または家族関係

実際には、このような情報の多くは、一般に入手可能なデータ、ソーシャル・メディアのプロフ ァイル、過去に流出したデータセット、および集約された ID 記録などから再構築または推論すること ができる。

この方法は、攻撃者がこれらのチェックを事前に予測し準備することで、効果的に検証を真の障壁ではなく予測可能なステップに変えることができることを浮き彫りにしている。

これは、かつて強力な身元管理と考えられていたものが、サイバー犯罪者によってすぐに学習され、適応され、最終的に悪用される可能性があることを示している。サイバー犯罪者は、これらの要件を収集し、迂回することに特化して身元窃盗ツールを進化させている。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

不正は最初のフォームが入力される前に始まる

不正な申請がキューに入る頃には、大変な作業はすでに終わっています。攻撃者は、ダークウェブのフォーラムやアンダーグラウンド・マーケットから、盗まれた ID、KBA の回答、金融履歴を入手します。

Flareは何千ものこれらの情報源を継続的に監視しているため、被害が発生した後ではなく、情報源から流出したデータを検出することができます。

脅威を先取りして、無料でお試しください。

不正行為のワークフロー – ステップ・バイ・ステップ

  1. アイデンティティの取得
    正規の個人になりすますのに十分なIDの詳細や背景情報など、盗まれた個人データを取得します。

  2. 信用情報の評価
    攻撃者は被害者の財務プロフィールを確認し、ローンの適格性と承認の可能性を判断します。

  3. 検証の準備(KBAレディネス)
    本人確認の質問を予測し、正しく回答するために、追加の個人情報を収集します。

  4. ターゲットの選択
    中小規模の信用組合は、検証プロセスが弱く、不正検知の成熟度が低いと考えられることから選ばれます。

  5. ローン申込書の提出
    盗難された ID を使用してローン申込書が提出され、提供されたすべてのデータの一貫性が確保されます。

  6. 本人確認通過
    KBAおよび標準的なチェックが成功裏に完了し、正当性が立証されます。

  7. ローン承認と資金リリース
    金融機関は融資を承認し、標準的なチャネルを通じて資金をリリースします。

  8. 資金の移動とキャッシュアウト
    資金は管理された口座に移され、仲介業者を通じて移動し、出金または換金され、収益化が完了します。

中小信用組合がよりターゲットにされる理由

この手法の特筆すべき点の一つは、中小金融機関に焦点を当てていることだ。大手銀行や高度に安全なフィンテック・プラットフォームをターゲットにするのではなく、このアプローチは、以下のように認識される中小規模の信用組合を明確にターゲットにしている:

  • 従来の本人確認方法に依存している

  • 高度な行動詐欺検知機能があまり備わっていない

  • 厳格な管理よりも顧客とのアクセスを優先する傾向が強い

The threat actor explain that CU accounts are with lower security than major banks and thus easier to target for fraud

脅威の主体は、信用金庫の口座は大手銀行よりもセキュリテ ィが低いため、詐欺の標的になりやすいと説明している
フレアのリンクから投稿することができます

一概にそうとは言えませんが、この認識だけでも攻撃者の行動に影響を与えるのに十分であり、より成功率が高いと思われる金融機関への標的決定を促しています。

最近の業界レポートもこの傾向を裏付けている。自動車ローンだけを見ても、不正行為の被害額は2025年には92億ドルに達すると予測されており、中小の金融機関や地域の金融機関は組織的な不正スキームからのプレッシャーに直面している。

Threat actor discusses loan methods
Threat actor discuss loan methods
Flare linkto post,sign up for the free trialto access if you are not already customer.

キャッシュアウトと収益化

ローンが承認されると、作戦は最も重要な段階に移行する。この時点で、攻撃者はIDチェックを通過し、盗まれたIDの下で信用を確立するという、難しい部分をすでに終えています。金融機関から見れば、プロセスは合法的に見え、実際の顧客と同じように標準的なチャネルを通じて資金が放出される。

その後、焦点はスピードと分離に移る。資金をそのままにしておくのではなく、多くの場合、送金元から距離を置く仲介口座を通じて、送金元の口座から迅速に資金を移動させる。

この段階は、より広範な詐欺のエコシステムと重なり、追加口座や金融チャネルへのアクセスにより、資金をルーティング、分割、再配置して追跡可能性を減らすことができる。

この段階が特に効果的(かつ検知が困難)なのは、各ステップが通常の金融行動を反映しているからである。送金、引き出し、口座の利用は、それ自体が本質的に疑わしいものではない。

むしろリスクは、これらのアクションが圧縮された時間枠の中でどのように連鎖しているかにあり、攻撃者は検知システムや手動レビューが介入する前にキャッシュアウトを完了することができる。

誰が最も危険なのか?

この方法によって、どの個人や機関が最も頻繁に ID 窃盗の標的にされているかを間接的に知ることができる。

  • 確立されたクレジットヒストリーを持つ個人– 攻撃者は、強力または安定したクレジットプロフィールを持つ個人をターゲットにすることで、ローン承認の可能性を高めることができます。

  • デジタルに露出した個人 – オンライン上で大きな存在感を示している人は、確認チェックを通過するのに役立つ個人情報を不注意で公開してしまう可能性があります。

  • 小規模金融機関の顧客– 小規模から中規模の信用組合の利用者は、その金融機関があまり高度な詐欺検出システムに依存していない場合、より多くの危険に直面する可能性があります。

この融資詐欺の手口は、金融詐欺がどのように進化しているかを示す明確な例となっている。攻撃者はシステムを直接標的にするのではなく、システムを取り巻くプロセスを標的にし、アイデンティティ、予測可能性、信頼を活用して目的を達成する傾向が強まっています。

このようなアプローチがより構造化され、アクセスしやすくなるにつれ、合法的な活動と詐欺の境界線は曖昧になり続け、検知はより複雑になり、より適応性の高い防御アプローチが必要になっています。

詳しくは、無料トライアルにご登録ください。

スポンサーおよび執筆:Flare.