トレンドマイクロは、2016年 1月、南米ブラジルのアンダーグラウンド市場について解説した「Ascending the Ranks: The Brazilian Cybercriminal Underground in 2015(英語記事)」を公開しました。そのリサーチペーパ-で言及したとおり、南米諸国では、クレジットカード詐欺が横行しています。このクレジットカード詐欺において重要なのが収集したクレジットカード情報の有効性を確認することです。弊社は、クレジットカードの有効性確認を提供する「CheckerCC」という呼ばれる新サービスを確認。このサービスを利用することで、クレジットカード詐欺を実行するサイバー犯罪者の「クレジットカード有効確認」が非常に簡単になります。この確認が「サービス」としてブラジル国内において確認されるのは初めてのことで、月額100レアル(約2,800円。2016年2月29日現在)で販売されています。このサービスを提供するサイバー犯罪者は、ブラジル南東部のサンパウロ市に在住していると考えられています。
クレジットカードの有効性を確認するサービスとは、具体的にどういうことなのでしょうか。収集あるいは新しく複製されたクレジットカード番号が少額でも決済できるかどうか確認するのがこのサービス内容となります。攻撃者が CheckerCC 上にクレジットカード情報を入力すると、自動的に入力情報の有効性を確認するサービスを提供します。ブラジルのアンダーグラウンド市場では、通常、こうした不正なカード情報確認には、不正確認するPC上で起動するプログラムが利用されています。
図1:「CheckerCC」のログイン画面
CheckerCC には、クレジットカードの実際の取引数を最小限に抑えるために、クレジットカードが利用できるかどうかの随時更新されるデータベースを保有しています。これにより、不正利用発覚の機会を減らすことができ、クレジットカード詐欺を実行するサイバー犯罪者にとって、プログラムによるカード情報確認より便利なツールが登場したことになります。
では、このサービスはどのように取引されているのでしょうか。このサービスの作成者によりアンダーグラウンドのあるフォーラムに広告が投稿されていました。この作成者は、「Fama」という名前で知られており、ポルトガル語では「有名な」という意味になります。この広告には、CheckerCC のサービス機能の実演が掲載されており、期間限定の無料サービスも提供していました。図2 のとおり広告から、1)左カラムのバッジやメダルが示すように Fama が同フォーラム上でよく知られている、2)この広告ページには、同フォーラムのユーザから 600以上の「Like」がクリックされており、この数値はかなりの数と考えられます。
図2:CheckerCC”の広告
一方 Fama 自身について、このサイバー犯罪者自身は、特にオンライン上での存在を注意深く隠ぺいするような気配はないようです。例えば、図3 のように、彼の Skypeプロフィールには、実際の名前が表示されています。
図3:Fama の Skypeプロフィール
弊社では、この広告や他のWebサイトを元に、Famaの実際の年齢は17~18歳で、サンパウロ市在住だと判断しています。Famaは、まだティーンエイジャーにもかかわらず、CheckerCC提供以外にも不正活動に手を染めています。例えば、彼が登録しているドメイン「blackfrindaymarketing[.]com[.]br」は、ある航空会社のマイレージプログラムのメンバーに対してフィッシング詐欺活動に利用されています。Famaがサイバー犯罪に利用しているドメインは、これだけではありません。他にも約10ドメインを確認しており、そのほとんどがごく最近に登録されていたことも判明しています。彼の経歴は、現時点では、「仕事に熱中している」一方で初心者のごとく経験不足と表現せざるを得ません。
トレンドマイクロでは、このようなサービスが他の地域のアンダーグラウンド市場にも現れないか注視しています。なお、クレジットカード保持者は、常に、実の覚えのない取引がされていないか明細書を確認することを心がけてください。
参考記事:
by Trend Micro Senior Threat Researchers
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)