消費者は、ダークウェブ(通常はアクセスできない匿名性の高い犯罪目的の違法サイト)のハッカーと手を組み、決済詐欺の策略に加担しているという。
Sift(機械学習を活用したオンライン不正検知サービス)は、3月16日に2023年第1四半期のデジタル信頼性と安全性指数を発表し、およそ5人に1人(16%)の消費者が決済詐欺を犯したことがあるか、または決済詐欺に関与したことがある人を知っているという調査結果が明らかになった。同様に、消費者の17%がオンラインで決済詐欺のオファーに遭遇したことがあるという。
レポートによると、ダークウェブベースのギャングと協力する消費者による、デジタル詐欺の急速な増加は、日常のインターネットユーザー間での詐欺のアクセシビリティや、民主化の現れであるとしている。 Siftの調査では、詐欺師がフィンテックやデジタル商品・サービスを標的にしており、デジタル詐欺を行う消費者を勧誘していることも明らかになっている。
この新たな傾向を明らかにするデータは、米国の成人1,000人以上を対象としたデジタル詐欺防止会社の調査から得られたものだ。同レポートには、Siftの34,000以上のサイトとアプリから成るグローバルネットワークから得られた詐欺データの調査結果が含まれている。
これらのインサイトでは、不安定な経済状況の中で、詐欺師が盗んだデータや実証済みの攻撃方法を、収益性が高く、市場性のある製品やサービスに変えるために適応している最新の手法を示している。
Siftの信頼・安全アーキテクトのJane Lee氏は、次のように述べている。「詐欺の急速な民主化は、意欲的な犯罪者が企業に対して詐欺を行うために、自身の提供するサービスを製品化して販売し、詐欺行為の範囲を拡大する機会をさらに増やすことになる」。
深刻化する決済詐欺
Juniper Research(モバイルとデジタル技術専門の調査会社:英国)によると、決済詐欺は昨年、世界中でオンラインビジネスに410億ドルの損害を与えたという。この損失は2023年には17%増加し、今年末には480億ドルに達すると予想されている。
攻撃は増加の一途をたどっており、企業が決済詐欺の攻撃に直面するかどうかはもはや問題ではない。むしろ問題は、企業にいつ、どれほどの規模で詐欺行為が発生するかだ。
年間で1兆件以上のイベントを分析するSiftのネットワークによれば、フィンテックにおける決済詐欺攻撃は2021年から2022年の間に13%増加しており、大きな逆風に直面している業界でさえ、詐欺師のサイトに残っているという。
フィンテックの中でも、BNPL(今すぐ購入して後で支払う)のマーチャントにおける決済詐欺は211%の大幅な増加、仮想通貨取引所では45%の急増が見られた。一方、デジタル商品およびサービスプロバイダーでは、決済詐欺が27%増加した。
「詐欺の実行者はすべて海外にいるという誤解がある。一部の人にとっては確かにそうかもしれないが、詐欺の民主化により私たちが目の当たりにしているのは、詐欺が国内でも健在であるということだ」とLee氏はアドバイスする。
詐欺行為の検出を回避するための「カードホッピング」
デジタル詐欺師が検出を避けるためにその手法を進化させているため、サイバー犯罪者と企業の間で、まさに軍拡競争が繰り広げられ、決済詐欺攻撃が続いている。
Siftの研究者は、より多くの企業が攻撃に対抗するためのより優れたツールやテクノロジーを備えていることを指摘する。彼らは、決済詐欺師が検出を回避するために「カードホッピング」技術(複数のクレジットカードを使用して購入すること)を利用する傾向が高まっているのを目の当たりにしているのだ。
商品やサービスの代金を支払うためのこの新手の詐欺手法には、盗まれたさまざまなクレジットカードの使用も含まれる。カードホッピングは、企業の不正防止対策によって検出されずに購入しようとするサイバー犯罪者にとっては、合法的な雰囲気を示すことができるのだ。
たとえば、1枚のクレジットカードを使用して、企業のWebサイトで高額の買い物を複数回行うと、詐欺の疑いが生じる可能性がある。カードホッピングでは、購入が複数のカードに分散されるため、関連性がないように見えることで、マーチャントによって承認されるのだ。
サービスとしての詐欺
デジタル詐欺が主流のeコマースに躍り出た要因の1つは、インターネットに接続できる人なら誰でもそのプロセスを簡単に利用できることだ。Lee氏によると、誰かが盗んだクレジットカードやアカウント情報を容易に売買できるようになったことで、詐欺行為が民主化されたという。
また、ベテランのサイバー犯罪者にとっては、標的型攻撃以外にも新たな収益源ももたらされた。ベテランの窃盗犯がインスタントメッセージサービスのTelegramフォーラムやTikTokなどのWebチャネルを通じて顧客を募集するようになり、詐欺師は現在、ネットワークと活動を拡大するようになった。
このプロセスは、詐欺の拡大から利益を得て、攻撃の成功から報酬を得るという、「サービスとしての詐欺」モデルを生み出した。ソフトウェアプロバイダーが自社のプラットフォームをより幅広いユーザーにとってアクセスしやすいものにするのと同様に、詐欺師は、誰もが見つけて利用できるように攻撃方法を製品化しているのだ。
「そうすることで、サイバー犯罪者にとっては、標的型攻撃を超えた新しい収益源ができた」とLee氏は言う。
ディープウェブで不正なバイヤーを勧誘する
近年、政府機関がダークウェブの特定部分を取り締まったことで、サイバー犯罪者がディープウェブ(検索エンジンによってインデックスされていないインターネットの一部)に移行し、暗号化されたプラットフォームを使用して違法行為を行うようになった、とLee氏は説明している。
ソーシャルメディアやオープンWebプラットフォームで消費者をターゲットにしたディープウェブの「募集」が増加するにつれ、詐欺師はその拡大から利益を得て、侵害の成功から利益を得られるようになったのだ。
詐欺攻撃は、サイバー犯罪者がハッキング、マルウェア、またはフィッシング攻撃によってクレジットカードの認証情報を盗むことから始まる。サイバー犯罪者はディープウェブのフォーラムでグループを作成または参加し、フォロワーを増やし始める。
そして、クレジットカードを他の詐欺師バイヤーに大幅割引で宣伝する。日和見的なバイヤーは、複数のクレジットカードを半額で購入することに同意する。最終的に、買い手は盗んだクレジットカードで買い物をし、サイバー犯罪者は利益を得ることになる。
「アンダーグラウンド」なたまり場
Lee氏によると、詐欺師が消費者を募る主なチャネルは、TelegramやTikTokなどのソーシャルおよびメッセージングプラットフォームだという。Telegramのような暗号化機能を提供するディープウェブ・プラットフォームは、別の保護層を提供するため、詐欺師にとってさらに好ましいものだ。
「Telegram上の詐欺フォーラムでは、サイバー犯罪者は消費者に優しい、『サービスとしての詐欺』アプローチを採用している。これには、盗まれた支払いデータの売買や、支払いを行う顧客の代わりに詐欺を行うことが含まれる」とLee氏は説明する。
盗まれた支払いデータを購入するのは、別の詐欺師である場合が多い。しかし、詐欺に関心のある消費者は、自由に詐欺フォーラムに参加することができ、自分が欲しい商品やサービスのお得情報を利用しようとしているのだ。
詐欺フォーラムにおける「サービスとしての詐欺」の蔓延は、その隠密性から正確に測定することが難しい。民主化された詐欺とサービスとしての詐欺の台頭は、すべての企業、とりわけ支払い攻撃の最大のターゲットであり続けるマーチャントにとっては、固有のリスクをもたらしている。
「Siftの調査に基づいて、これらの詐欺はすべてのフォーラムで共通しており、eコマース分野における詐欺の常套手段であると自信を持っていえる」とLee氏は警告した。
同氏は、「特にインフレと合法的な経済に対する不安が続く中、これらのプラットフォームの使用が拡大し、消費者を詐欺経済の歯車として誘い込むのはほぼ確実だ」と付け加えた。
マーチャントが詐欺行為に対抗する方法
マーチャントはこれらの傾向を注意深く監視し、詐欺防止ソリューションプロバイダーと協力して、リスクのしきい値を適切に調整し、新たな詐欺パターンを監視できるようにする必要があると、Lee氏は示唆した。
実質的な詐欺防止ツールの欠如と絶え間ないデータ侵害が、決済詐欺を悪化させる。また、サイバー犯罪者が、取得した認証情報を大規模にテストして使用できるツールにアクセスできるという事実も被害に拍車をかけていると、同氏。
「オンライン詐欺が日常のインターネット文化に浸透し続けているなか、信頼と安全の運用がビジネスの成否の唯一のポイントになっている。今こそ、企業が適切なテクノロジーを活用し、デジタルの信頼・安全戦略を実施することで、すべての取引で成長を促進しながら、決済詐欺を阻止する時だ」と彼は述べた。
マーチャントが詐欺師の広範な攻撃から身を守るためには、適切なテクノロジーと戦略を導入することから始まる。組織は、リアルタイムの機械学習とAIといったテクノロジーを活用して手動の作業を減らし、プロセスを自動化し、新たな脅威に迅速かつ正確に対応する必要があると、Lee氏は言う。
「このようなテクノロジーをデジタルの信頼・安全戦略とともに導入することで、企業は収益を上げながら決済詐欺を阻止することができるのだ」。
※当記事は米国メディア「E-Commerce Times」の3/16公開の記事を翻訳・補足したものです。
