Account Takeover Fraud Caused $262 Million in Losses in 2025: FBI
2025/11/26 SecurityWeek — FBI の報告によると、アカウント乗っ取り (ATO:account takeover) 詐欺に関与するサイバー犯罪者により、2025年1月以降において $262 million 以上の損失が引き起こされているという。FBI が受け取った 5,100件以上の報告や苦情から確認されたのは、金融機関になりすました脅威アクターが、さまざまな規模の組織や個人から、金銭や情報を盗んでいる状況である。
FBI が最新レポートで指摘するのは、サイバー犯罪者たちが金融機関の従業員/サポート担当者/Web サイトを装い、被害者にアカウントへのアクセスを促すという、ATO 詐欺の形態である。
一般的な脅威アクターは、メール/音声通話/テキストメッセージ/詐欺 Web サイトを介したソーシャル・エンジニアリングを駆使する。
一例として挙げられるのは、被害者のアカウントに不正な取引があると主張する攻撃者が、詐欺を報告するのに役立つと謳うフィッシング・リンクを提示するようなケースである。その他の事例では、被害者のアカウントが不正な購入に悪用されたと主張するサイバー犯罪者が、法執行機関を装う別の脅威アクターへと誘導するケースも報告されている。
FBI によると、これらの攻撃の一環として犯罪者が試みるのは、被害者に多要素認証 (MFA) コードやワンタイムパスコード (OTP) などのログイン情報を提供させ、そのアカウントを侵害するという手法である。
その後に犯罪者たちは、金融機関の Web サイトで被害者のアカウントにログインし、パスワードをリセットしてアカウントを完全に制御し、被害者をロックアウトする。
FBI は、「被害者のアカウントにアクセスして制御権を獲得したサイバー犯罪者は、すぐに資金を他の犯罪者が管理するアカウントに送金する。これらのアカウントの多くは暗号通貨ウォレットにリンクされているため、資金は迅速に送金され、追跡や回収が困難になる」と述べている。
このレポートは、「詐欺行為に気付いたら直ぐに金融機関に連絡し、リコールまたは取り消しを行い、免責通知書または補償書を請求してほしい。リコールを請求し、それらの書類を可能な限り早く入手することで、金銭的損失を軽減またはゼロにできる」という手続きを推奨している。
さらに、被害者に対して推奨されるのは、なりすましに利用された金融機関に連絡し、FBI の Internet Crime Complaint Center (IC3) に事件を報告することだ。
アカウント乗っ取り詐欺が大きな被害を生んでいる理由として、ログイン情報を騙し取る犯罪者たちの巧妙な手法があります。彼らは金融機関になりすまし、不正取引の警告などを装い、MFA コードや OTP を提供させることでアカウントを奪います。技術的な脆弱性ではなく、人の不安や焦りを狙う手口であることが被害の広がりにつながっていると、この記事は指摘しています。よろしければ、カテゴリ Social Engineering を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.