This couple lost £15,000 to scammers. We followed the money – and found millions in stolen crypto
2021/07/13 SecurityAffairs — イギリスのある企業の幹部である Mindaugas (名字が公表されないことを願う) は、Coinbase が提供したとされる £60 のボーナスを請求しようとしたとき、数分のうちに £15,000 騙し取られるという詐欺に引っかかった。この詐欺ついて、彼が Coinbase に報告すると、同社はパスワードを変更するよう促し、騙し取られた現金を取り戻す手助けはできないと伝えた。その後、Mindaugas が警察に相談したところ、証拠がないという理由で、この件は事件にならなかった。
Mindaugas が CyberNews に連絡を取ったことで、同社の調査員は詐欺グループの資金の流れを追跡し、Mindaugas を含む数千人の被害者から略奪した、数百万の暗号通貨を保管し現金化するために、そのグループが使用したウォレットのネットワークを突き止めることができた。この情報を、Mindaugas は英国のサイバー警察に転送したが、サイバー警察は具体的な証拠がないという理由で、この事件をクローズしていた。
これからお読みいただくのは、Mindaugas が詐欺に引っかかった経緯であり、また、詐欺師が残した足跡をたどって、複数のウォレット/暗号通貨取引所/オンライン・カジノ口座に隠された、数百万ドルを見つけ出した経緯である。
メールが届いた
2021年3月24日に Mindaugas は、Coinbase から送られたと称するメールを受け取り、Coinbase のボーナスを受ける資格があることを申請した。Coinbase の IPO の少し前に、Mindaugas は株式トレーダーの Web サイトからメールを受け取り、その Web サイトを通じて Coinbase 株式を購入した。そして、Mindaugas は、言われるままに、ボーナスを受け取る資格があると申請し、コンタクト・フォームに記入して送信した。Mindaugas の妻である Loreta は、「当時、彼は暗号にとても興味を持っていて、Coinbase を投資機会と見て、Coinbase の株式公開を心待ちにしていた」と CyberNews に語っている。
その数週間後、IPO の約1カ月前に、Coinbase のサポート・エージェントからと思える、£60 のボーナスを受け取る資格があると説明するメールを受け取った。このボーナスを請求するために、Mindaugas は Coinbase の社員からの電話を受けることに同意しなければならなかった。しかし、残念なことに、そのメールは素人目には本物に見えるかもしれないが、Coinbase のサポート・エージェントからのものではなかった。実際には詐欺師が送ったものあり、「ボーナスを獲得する」ボタンはフィッシング・サイトにつながっていた。
電話が鳴った
その数分後、Mindaugas に電話がかかってきた。電話の相手は Coinbase のサポート・エージェントだと名乗り、以前にメールで伝えたボーナスを、Mindaugas に受け取る資格があるかどうかを確認するために、電話していると述べた。Loreta によると、この担当者は驚くほど知識が豊富で、とてもプロフェッショナルな印象を振りまき、Mindaugas の連絡先を尋ねることもなかったという。Loreta は CyberNews の取材に対し、「ボーナスを受け取るために必要なことは、エージェントに2ファクタ認証コードを送って、本人であることを証明することでした。彼の防御力が低下したのは当然のことです」と答えている。
最初のメールは Coinbase からのものに見え、電話番号もきちんとしたもので、電話の声も Coinbase の誰かのように聞こえた。そして Mindaugas は、ログインするために2ファクタ認証コードを入力して、本人確認をするよう求められた。言うまでもなく、これは彼の2ファクタ認証情報を盗むための手口である。コードを入力した時点で、彼の暗号通貨はゲームオーバーになってしまった。4分後に Mindaugas は、サポート・エージェントが Coinbase アプリ経由で、自分のアカウントにアクセスしたという通知を受けた。Mindaugas は iPhone の所有者であり、また、詐欺師は Android バージョンの Coinbase アプリを使っていたので、受け取った確認メールの意味が分からなかった。
犯罪の手口
詐欺師たちは時間を無駄にしなかった。Mindaugas には知られることなく、ログインしてから9分後には、Mindaugas の暗号通貨の全残高が、Ethereum (ETH) と Ripple (XRP) トークンに変換され、彼らのウォレットに送金された。その直後に、Mindaugas へのメール通知があり、自分の暗号通貨が ETH と XRP に変換され、別のウォレットに転送されたことを知らされた。電話の直後に、Mindaugas の方でも、Coinbase アカウントにログインして、ボーナスを受け取ったかどうかを確認している。そこには、£15,000 ほど入っているはずだが、”残高ゼロ “だった。
Loreta によると、「幸いなことに、彼は2、3日前に、ほとんどの残高を別の取引所に移していた。最初は、何かの間違いか不具合かと思った。しかし、ナレッジベースにはバグや不具合をカバーするオプションがなかったので、夫のアカウントが侵害されたと捉え、Coinbase に知らせることにした。しかし、返ってきたのはパスワード・リセットの要求だけだった」と述べている。
二重の騙し
アカウントのパスワードを変更してから30分も経たないうちに、Coinbase のサポート担当者と思われる人物から2度目の電話があった。そのエージェントは、彼の侵害されたアカウントについて、Coinbase がサポート・チケットで対応していることを伝え、事件について質問を始めた。Mindaugas が状況を説明すると、サポート・エージェントは2つの選択肢を提示した。警察に通報して返金の保証はないという選択と、警察に通報せずに返金してもらうという選択である。Loreta は「夫は、まだショックを受けていて、かなり混乱していたので、その時は2番目の選択肢に同意しました」と述べている。
Mindaugas が、Coinbase からの返金を選択すると、エージェントは彼に対して、もう一度、彼の身元を確認しなければならないと伝えた。そのサポート・エージェントの、「Binance にも口座を持っているようだが、Coinbase と Binance は姉妹会社なので・・・」という説明で、両社が別会社であることを知っていた Loreta は、騙そうとしていることが分かったと説明している。「次に聞こえてきたのは、私たちの身元を証明するために、私たちの Binance 口座から Coinbase 口座に £5,000 を送金するか、Binance の認証コードを教えて、不足している £15,000 を Binance 口座に送金するという選択肢だった。
その時、私は夫から電話を取り上げて、詐欺師に尋ねました。すぐに名前と電話番号を教えてくれと要求しました。詐欺師は自分の偽名を言った後に、いくつかの数字を暗唱し始めました。しばらくして、彼は電話を切りました」と、Loreta は CyberNews に語っている。それが、Loreta と Mindaugas が、詐欺師から聞いた最後の言葉だった。
その後の展開
Loreta は、「電話の後に夫に、Coinbase のような会社は顧客に電話をかけず、メールでやりとりしている。こういったことを、公式のルートで解決するのは、とても時間がかかる」と話している。Loreta と Mindaugas は、事件のショックから、警察への通報をためらっていた。そして、十分な証拠がないと考えた夫妻は、事件から約1カ月後に CyberNews に連絡してから、警察に通報した。Loreta は、「警察は事件を調べた結果として、時間が経ちすぎていると言い、この事件をクローズしてしまったのです。私たちは、まだ答えを待っています。それに、盗まれたのが £15,000 なので、警察が何かしてくれるとは思えません。私たちが望むのは、Coinbase が自社のセキュリティ手順を厳しく見直し、私たちのような状況が他の人に起こらないように改善してくれることです」と述べている。
金の流れを追う
4月16日に、Mindaugas から CyberNews に連絡があり、事の顛末を説明してくれた。詐欺師から暗号通貨を取り戻せる可能性が高くないことを、Mindaugas は承知していた。しかし、詐欺師の足跡を追い、少なくとも警察が捜査を再開するのに、十分な証拠を提示できると確信していた。そこで、私たちは、この夫婦にできる限りの協力をしようと考えた。
4月17日に、私たちは詐欺グループの資金の流れを調べ始めた。時間がかかったが、最終的に詐欺グループの痕跡を見つけ出し、詐欺師が盗んだ暗号を保管している正確な場所を突き止めることができた。それでは、この詐欺グループが、どのようにして痕跡を隠し、無防備な被害者たちから盗んだ暗号通貨を、どこで現金化しているのかを見てみよう。
調査の結果、この詐欺グループは、被害者の暗号化された取引所の口座にアクセスすると直ちに、全暗号通貨の残高を一時的に保有するウォレットに転送する。このウォレットは、どの暗号取引所とも関連しておらず、複数の被害者から盗んだ暗号通貨の、最初の受け渡し場所となっているようだ。被害者の暗号通貨が、この最初のウォレットに到達した後に、次に到達するのは自動コイン・ミキシング・ウォレットと思われるものだ。詐欺師はこのウォレットを使用して、新たに盗んだ暗号通貨トークンを、より大きな暗号通貨プール内で自動的に混合した後に、トークンの小バッチを詐欺師の他のアドレス (主に Kraken や Bitpanda のコールドウォレット) に送信することで、暗号取引の追跡を困難にしている。
被害者から盗まれた暗号通貨は、複数のコイン・ミキサーや一時的なウォレットを経由して「洗浄」された後に、1つのセントラル Ether ウォレットに転送される。このウォレットには、記事執筆時点で、$700,000 以上の盗難暗号通貨が保管されているようだ。このセントラル・ウォレットは、詐欺師が混合した暗号通貨を1カ所に集め、複数の取引で分散させるための結節点となっているようだ。これらの取引のほとんどは、その後の活動が見られない多数の小規模なウォレットにつながっているが、盗まれた暗号通貨の大部分は、さらに詳しく調べる必要がある2つのディスティネーションへ移動している。
犯罪者とギャンブル
ロンダリングされたばかりのトークンの行き先は、暗号通貨によるギャンブル・サイトのアカウントのようだ。ここには、なんと $5.1 million もの暗号通貨が集められている。これらの暗号通貨が、なぜオンライン・カジノに置かれているのかは不明だが、単にギャンブルに使うことで、利益を増やしたいのかもしれない。6月30日、当社は今回の調査結果について、このオンライン・カジノに連絡し、同社のウォレットの1つが、詐欺師に悪用されている可能性があると警告した。このサイトの担当者は、ウォレットがオンライン・カジノと結びついていることを否定し、この Web サイトからウォレットへの、2回の引き出しがあったことを示唆した。私たちは直ちに、ウォレットのアドレスに関する追加情報を求めたが、本稿執筆時点では、担当者からのフォローアップ回答は得られていない。
盗んだ金を白昼堂々と保管
このグループのセントラル・ウォレットからのトランザクションの、もう1つの注目すべきディスティネーションは、他のユーザーが詐欺師のウォレットとしてフラグを立てたと思われるアドレスだ。被害者やおよび支援の調査員たちが、このウォレットに複数のコメントを残しており、ウォレットを悪用している詐欺師たちを非難している。驚くべきことに、このウォレットに対する最初のコメントは、3年以上も前に投稿されたものだった。このウォレットに保管されている巨額の資金は、これまでに何千人もの被害者が、追跡中の詐欺グループにより騙されたことを示しているのかもしれない。
とはいえ、このウォレットは、センタライズされた暗号通貨取引所により管理されているものではないため、凍結措置を講じることは不可能であり、また、盗まれた暗号通貨を押収することもできない。そのため、この詐欺グループは、他のユーザーから犯罪者として摘発された後であっても、堂々と使い続けることができる。このフラグ付きウォレットの Ethereum 残高は常に変動しており、毎日何十回もの入出金が詐欺師たちにより実行されている。本稿執筆時点で、同グループは 58.7 Ethereum トークン ($152,184.17) 相当をウォレットに保有していた。
最終的なディスティネーション
盗まれた暗号通貨は、このフラグ付きのウォレットから、Binance / Kraken / Bitpanda などの暗号通貨取引所がホストするアドレスに到着し、このアドレスを使って戦利品が現金化されるようだ。私たちは、Kraken と Binance に連絡を取り、詐欺グループからの不正取引について報告した。Kraken の広報担当者によると、同取引所では、詐欺行為の調査が行われているかどうかについては、コメントできないとのことだ。
この広報担当者は CyberNews に対して、「しかし当社は、これらの問題を非常に深刻に受け止めており、当社のプラットフォームが安全でセキュアであり、犯罪者がいないことを保証するために、適切なコンプライアンス対策に多大な投資を行っている。当社は、法執行機関の定期的な要請に対応しており、疑わしい活動があれば FIU に報告する義務がある。当社のシステムを犯罪行為に利用しようとする者は、こうした調査の対象となる。当社の顧客の安全は、常に最優先事項であり、犯罪者が Kraken にホームを持たないようにするために必要な、あらゆる手段を取り続けるつもりだ」と語っている。
その一方で Binance は、我々の最初の問い合わせに対してコメントを拒否し、ウォレット・アドレスが脅威アクターにより作成されたことを示唆する、十分な証拠がないと主張した。私たちは、この取引所に追加情報を提供している。Binance からの回答が届き次第、この記事を更新する。
今回の調査で、この詐欺グループに関するデータを収集した当社は、6月18日に英国のサイバー警察に調査結果を連絡した。CyberNews の研究者である Mantas Sasnauskas は、「これは典型的なフィッシング詐欺のキャンペーンだ。受け取ったメールに注意を払い、怪しいリンクをクリックしないことが重要だ」と述べている。
Sasnauskas によると、自分のアカウントに対して、ダイレクトにログインするのが常に良いとのことだ。認証情報の入力に進む前に、必ず送信者のメールアドレスを確認し、アドレスがオリジナルであることを確認してほしいと、彼は注意を促している。暗号通貨取引所に関して言うならば、悪意の活動や異常な活動を検出し、不正な送金が行われる前にブロックするための、より厳格な管理を実施することが有益となる。
フィッシング詐欺から、身を守る方法を知りたい方は、こちらの記事をご覧ください。
https://cybernews.com/crypto/millions-of-stolen-crypto-found-investigation/
さわりだけ訳して、適当なところで終わりにしようと思いましたが、驚きの展開の連続で止まらなくなり、結局、最後までとなってしまいました。CyberNews の努力と、この御夫婦の協力に感謝です。フィッシング+ソーシャル・エンジニアリングの組み合わせが、如何に強力なのかを、思い知らされました。常日頃、メールに貼られたボタンやリンクはクリックしないようにしていますが、ほんと、危ないです。
データ侵害の 85% に人間が関与している:Verizon DBIR
フィッシングやランサムウェアがデータ侵害を増幅していく
暗号通貨を狙う進行中の攻撃について FBI が注意勧告
ElectroRAT という巧妙なトロイの木馬が暗号通貨を狙っている
電子メール疲れがサイバー犯罪のドアを開くという悲しい現実
米国の証券組織 FINRA の名を語るフィッシング攻撃が多発している
IoT OT Security News 