エフセキュアブログ

ミュール を含む記事

ここで挙げる企業を相手にビジネスをするな

 Inteqno社Altran Strategies社Deticaconsulting社Nezux社に共通するものは?

mule_altran

mule_detica

mule_integno

mule_nezux

 ええと、まず最初に、4社はまったく同一の1つの会社だ。いや実際のところ、どれも実在の企業なんかではない。でっち上げのオンライン架空企業で、オンライン犯罪者によって運営されている。彼らはたった1つの目的、こうした企業が合法的なもので、実在して社歴もあるように見せかけるためにサービスを提供している。人を雇おうとする際に信頼感を持たせるために、こうしたことが必要になる。

 それで、どういったタイプの人を、偽企業は雇うのか?とりわけマネーミュール定義、訳注:muleはラバ。転じて運び屋の意があり、この場合は金銭の送金を行う者)の雇用を行っている。もちろん、こうした企業は職業として「マネーミュール」と銘打っているわけではなく、「顧客アシスタント」とか「運営アシスタント」とか称しているのだが…。

mule_careers

 こうした企業はLinkedInのようなサイトに求人広告を投稿したり、ダイレクトメールを送付したりする。

 マネーミュール詐欺に関与するサイトは一目見て簡単に分かった。Googleウェブ履歴に出てこない。WHOISのデータはプライバシー保護で隠ぺいされている。サイトのコンテンツは実在の企業から直接持ってきている。robots.txtでサイトをインデックスさせない。こうしたサイトは何から何まででたらめだ。だから、こうした企業は疫病のように避けるべきだ。

ネブラスカ州オマハはサイバー犯罪捜査の基地

  「Krebs on Security」を定期的に読んでいる方なら、中小規模の企業や組織がここ数年、サイバー犯罪ギャングたちの標的となっていることをご存知だろう。しかしこれらの犯罪を捜査しているのが、どこの法執行機関なのかはご存知ないかもしれない。

  ZeuSバンキング型トロイの木馬の多くの捜査は、(ほとんど知られていないが)オマハ(米国ネブラスカ州)のFBIオフィスにより行われていることが分かっている。担当のFBI特別捜査官Weysan Dunが金曜に引退し、Omaha World-Heraldでインタビューを受けた

omaha.com. FBI Special Agent Dun

  良い記事だ。そしてSMBのために働いている人にとって、目をさまさせるようなものだ。

Wanted, Money Mules
指名手配:マネー・ミュール

  同記事のちょっとした話の中で我々が気に入ったのは、Brian Krebsは飛行機で隣に小規模企業の経営者が座ると、バンキング型トロイの木馬の恐ろしい話を聞かせて、彼ら震え上がらせているらしいというところだ…


CO2フィッシング

  EU(欧州連合)は、企業が1年に排出する可能性のある二酸化炭素(CO2)の量を制限している。

  その排出量を上回る企業は、排出量を下回っている企業からその分を購入する事ができる。

  これにより、排出量証明書を売買するマーケットが誕生する。非常に大きなマーケットだ。オンライン犯罪者たちの興味をひくに足るだけの大きなマーケットと言える。

  こうした犯罪者たちが、企業のアカウントでオンライントレーディングシステムにログインすることができれば、彼らは排出権を売り、金を手に入れる事ができる。これには、システムで銀行口座をマネー・ミュールのアカウントを示すよう、変更を加える事が必要だ。

  そのため、「EU Emission Trading System(EU ETS:欧州排出量取引システム)」へのアクセスを獲得するべく、いくつかの攻撃が起こった。

  EUにおけるすべての排出量取引が、昨日停止した。最新の攻撃が発見されたためだ。2800万ユーロ以上と見積もられる証明書が盗まれた。

Emission phishing

  「新たな事件がこの数日内に起こったため、この窃盗は共同行為であった可能性がある。」と、EU環境政策のスポークスマンMaria Kokkonenは言う。

  我々は、排出量取引を担当している人々に、電子メールで送られた標的型フィッシングスキャムを見ている。これらは様々な言語で送信された。

  以下はドイツ語とフィンランド語によるフィッシングメールの例だ:

Emission phishing

Emission phishing

  以下はEUが複数回、警告を行ったウェブサイトの例。欧州委員会とは無関係だ。

Emission phishing

  「tradingprotection.com」や「europeanclimateregistry.eu」のようなサイトは、偽の情報、あるいはドメイン保護システムで登録されている:

Emission phishing Emission phishing

  これらの攻撃の結果、全国的な排出量取引システムは、単にユーザー名とパスワードで認証を行う事をやめ、より強力な認証システムを導入しつつある。これらには多元的なSMS認証システムが含まれる。

  フィンランドでは既に、排出量取引システムへのログインは、銀行口座多因子認証スキームをサポートしている:

Emission phishing

PS. 「News from the Lab」ブログのコメントシステムは、現在停止している。すぐに修正する予定だ。

企業ID窃盗

  オンライン犯罪者たちにとって、盗難にあった銀行口座やクレジット・カードにアクセスすることは容易だ。それよりもずっと難しいのは、捕らえられることなく、それらのアカウントを空にすることだ。

  そのため、犯罪者たちはマネー・ミュールを必要とする。すなわち、盗んだ金を動かすためにリクルートされた個人だ。多くの場合、これらの個人は、自分たちが組織犯罪の手先に使われていることを知らない。フィッシングおよびBanking Trojanの犠牲者が、金を奪われたと気付いても、真の犯罪者ではないマネー・ミュールが指し示されるのみだ。

  以下は活動中のマネー・ミュール・リクルート・キャンペーンの一例だ。これは「Finha Capital」という企業の名の下に行われている。

Finha

  同Webサイトは、かなり信頼が置けそうに見え、クイックWebサーチにより、この名を持つ本物の企業が存在し、数十年、営業していることが示される。

Finha

  問題は、「finha-capital.com」が「Finha Capital」とは何の関係もないということだ。同サイトは全く偽物なのである。

  「finha-capital.com」というWebサイトが作られた唯一の理由は、オンライン支払いを行い、犯罪者のために金を動かすため、だまされやすいエンド・ユーザを雇い入れるフロントエンドとして使用することにある。この連中は、自分たちの詐欺に人々を引き込むため、既存企業のしっかりとしたブランドを利用しているのだ。

  そしてそれは「Finha Capital」だけではない。以下を見て欲しい:

Finha

  全く同一のWebサイトが、「Bin Finance」および「Contant」という、(少なくとも)別の2つの名前で運営されている。

  そして「Finha Capital」と同様、「Bin Finance」「Contant」という名の企業も実在する。そしてWebサイト上のアドレス・リストは、これら本物の会社のメーリング・アドレスだ。これらの企業も、この違法な活動とは無関係だ。

Finha

  「finha-capital.com」「contant-finance.com」というドメインは、ロシアのサンクトペテルスブルグでホスティングされており、「bin-finance.com」はウクライナのキエフでホスティングされている。

  ちょうど先週、「nordea-securities.com」というドメインで、似たような詐欺事件があった。「Nordea」は北欧の大手銀行で、1000万以上の顧客を有している。

  我々は電子メールで大量送信された、以下のメッセージを発見した:


   From: info@nordea-securities.com
   Subject: Career opportunity
   
   Our firm have reviewed your resume from Career Builder resume base,
   reviewed it and sure that you to be a great applicant for the position which we suggest.
   
   We are now looking for a individuals for a vacant position “Account Coordinator”.
   The main task of this position is to collect payments from our customers in US.
   
   Basic Requirements:
   - Computer skills (MS Word), personal e-mail address
   - Ability to work at home
   - Responsibility
   - Age: 21+
   
   If you are interested, please, register here: http://nordea-securities.com/rim/?link=getjob&rnd=34753525


  同サイトのwhoisデータは誤解を招くもので、「nordea-securities.com」というドメインがNordea Bankの所有であるよう見せかけている。それは事実ではない。yahoo.comのメールアドレスに注意しよう。

nordea-securities alexis perkus poelsevierali@yahoo.com

  学ぶべきことは?

  •  個人だけでなく、企業にもID窃盗は起こる。
  •  誰かが本当とは思えないような、うまい在宅の仕事をオファーするなら、それはおそらく本当ではない。
  •  他人のために金を動かさない。
  •  自分が相手をしていると思っている相手と、本当にコンタクトを取っているのかどうかを確認する。

Texacoが月給8500ポンドで職をオファー

  オンライン犯罪者たちは、自分たちが捕らえられないようにするため、金を動かす人々を必要としている。こうした人々はマネーミュールと呼ばれている。

  大部分のマネーミュール募集は、架空の会社名で行われるが、詐欺師たちは有名なブランドを利用することもある。

  以下は、最近のマネーミュール広告の例で、石油会社Texacoの名で大量送信されたものだ:

texaco

  この電子メールはもともと、ナイジェリアのラゴスにあるIPアドレスから送信された。Texacoはその辺りで掘削をしなければならないのだろう。

  このPDFはエクスプロイトを含んでおらず、以下のように見える:

texaco

  テキストの一部は以下の通り:

  Texaco/Chevron Downstream Europe
  1 Westferry Circus Canary Wharf
  London E14 4HA

Dear Job Candidate,

The TEXACO Online Employment System wish to inform you that your posted
information onlinehas been carefully and confidentially reviewed by our
Recruitment Team Professionals and we have considered under our current
vacant opportunities within the Firm to employ you for work in our company.

TEXACO Online Employment System is affiliated to various job recruitment
websites and your information was submitted to us by our online agent that
submit job candidate resumes for consideration of employment depending on
the vacancies we have in any branch of TEXACO Company Worldwide.

As regards to this, you have been automatically granted this employment to
work in TEXACO Oil & Gas Field with a monthly salary of Eight Thousand
Five Hundred Pounds (£8,500).


Kindly acknowledge the content of this message by reconfirming your interest
in working for us and indicating your area of job interest, ensuring that you
have quoted your vacancy title below or send your CV with a covering letter.

For further details relating to your employment, kindly send an email to
Texaco/Chevron Downstream Europe H/R Recruitment Service Department
texaco@post.com / http://texaco.us.ms / http://texaco.com/portal_default.asp/.

  Regards,
  Paul Matins
  HR Recruitment Manager


  「texaco@post.com」や「http://texaco.us.ms」といった、疑わしい連絡先に注意して欲しい。トップレベル・ドメインの「.ms」は、カリブ海の小国モントセラトに属している。

  texaco.us.msのWebサイトは以下のようなものだ:

texaco

  応募してはいけない… サラリーは良さそうだし、自分の興味のある仕事の分野を指定できるとあるが、その仕事には現金をピックアップし、Webmoney、ウェスタン・ユニオン、Fethard Financeで、それを遠くに送金することが含まれているのは間違いないだろう。

求人とマネー・ミュール詐欺

  失業率が上昇する中、人材を募集するWebサイトが急成長している。本物の募集もあるが、そうでないものもある。求人に関するスパム・メールも増加中だ。

  我々は、マネー・ミュールとなる人を探す、以下のスパム・メールが広まっているのに遭遇した:

mule_scam_email

  このスパム内に記載されているドメインにアクセスしようとすると、フィンランドの職を一覧できる求人サイトにリダイレクトされる。

  面白いことに、「IT & インターネット」の人材募集をチェックし、リストされているいずれかの職を見てみると:

fakefsjobs_2

  エフセキュアの偽リクルート・リストも、我々の連絡先情報付きで掲載されている:

fakefsjobsrecruiter_3

  どうやら我々は、ヘルシンキ・オフィスで200のポジションを補充しようとしているらしい。

  念のために言っておくなら、これらは断じて、我々が公認したオファーではない。このサイトの残りの部分も、在宅勤務のオファーや、若干疑わしい求人でいっぱいだ。

  求人サイトを通じて仕事を探しているなら、気を付けた方が良い。

  ああ、そしてもし、エフセキュアで仕事がしたいとお考えの方がいらっしゃるなら、弊社Webサイトの求人か、信用のおける情報源を閲覧して頂きたい。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード