主なポイント
- プルーフポイント社は、様々な組織になりすまして偽の求人情報でユーザーを狙う暗号通貨詐欺の増加を確認しています。
- 研究者たちは、この詐欺は、ロマンス詐欺(別名:豚のブッタ切り詐欺、pig butchering)、暗号通貨を狙ったロマンス詐欺の犯罪者によって行われていると確信を持って評価しています。
- 職業詐称は、ロマンス詐欺に比べれば、詐欺犯にとってリターンは小さいものの、より頻繁に実行されています。
- この活動では、長い間騙し続けるロマンス詐欺の代わりに、人気のあるブランドを悪用しています。
- このアクティビティでは、さまざまなルアーのタイプに合わせて詐欺を仕立てるために、柔軟なプラットフォームを使用しています。
- この活動は、ソーシャルメディア、SMS、WhatsAppやTelegramのようなメッセージングアプリを通じて開始されます。
概要
長年にわたり、ロマンス詐欺師は被害者から数十億ドルを騙し取ってきました。典型的な手口は、被害者に対して、長時間かけて信頼関係を構築したのち、最終的に偽の暗号通貨投資プラットフォームへと被害者を誘導します。ターゲットの最初の少額投資が多額の(しかし偽の)「利益」に変わり始めると、詐欺師は被害者に大金を投資するよう圧力をかけます。そして、被害者は、自分の資金がデジタル・ウォレットからなくなった時に、初めてすべてを失ったことを悟るのです。
ロマンス詐欺師にとって、このような詐欺手法でかなり儲けることができますが、長い時間がかかるため、その間に被害者が何かおかしいと気づく機会も多いことは事実です。このビジネスモデルを成功させるためには、金銭的に余裕のある被害者をターゲットにする必要があります。このため、経済的に不安定な被害者(詐欺師にとって支払額は少ないが、より多くの人々が集まる)という大きな市場が事実上未開拓のままになっていたのです。しかし最近、プルーフポイントは、この種の詐欺師がこの市場を開拓するために、求人詐欺という新たな事業を立ち上げるのを目撃しました。
2024年6月、米国連邦捜査局は、モバイル機器から発信されるこのような詐欺的な求人詐欺について警告する公共サービスアナウンスを発表しました。
職務内容
詐欺は通常、ソーシャルメディア・プラットフォームやSMS、WhatsApp、Telegramなどのメッセージング・アプリケーション上の迷惑メッセージから始まります。以下のような典型的な求人募集のメッセージが使われます(図1と2を参照)。彼らは特に、在宅勤務(WFH)の機会としての仕事を強調することが多いようです。最近、職場復帰(RTO)が推進されているにもかかわらず、リモートワークは依然として求職者に人気があるためです。
図 1:偽グラスドア採用担当者
その後、詐欺師は会社の「仕事プラットフォーム」の簡単な説明に入ります。具体的な仕事と ブランド の詐称は、Spotifyの人気音楽ストリームのブーストから、偽のTikTokショップの商品やサービスのレビュー、あるいはホテルのレビューまで、実にさまざまです。基本的にはクリック農業です。
図 2:ホテルの格付け求人詐欺の売り込み
ターゲットが仕事を引き受けることに同意すると、詐欺犯は悪意のあるウェブサイト に登録するよう指示します。登録するために、ターゲットには紹介コードが渡されます。ユーザーが登録されない限り、ページのコンテンツは閲覧できません。このため、ドメインの削除要求にはかなりの量の証拠が必要になることが多く、防御側にとっては、このようなウェブサイトを識別し、削除することがやや難しくなります。幸運なことに、プルーフポイントの Emerging Threats はこの課題に取り組み、これらの新しい求人詐欺サイトを特定するためのシグネチャを開発しました。
図 3:登録方法
被害者がサイトに登録した後、求人詐欺師(または「ハンドラー」)は、ターゲットがトレーニングアカウントを作成できるように、プロフィールページのスクリーンショットを共有するよう求めます。
図4. プロフィールページのスクリーンショット共有リクエスト
損をするために金を使わなければならないという皮肉
トレーニングアカウントが作成されると、詐欺師は受信者に職務の遂行方法を指示します。この部分は、 商品やサービスのレビューの提出、商品の注文、ホテルの予約 など、プラットフォームのテーマによって多少異なりますが、核となる特徴は同じです。ユーザーは、レビューを投稿したり、販売データを送信したり、音楽を再生したり、 その他のタスク 、ボタンをクリックしなければなりません。以下は、なりすまされた企業と、彼らが研究者をリクルートしようとした「仕事」のリストです:
|
詐欺犯がなりすました企業ブランド |
リクエストされたタスク |
|
Outlier Ventures |
偽アプリストアのアプリレビュー |
|
Temu |
偽の製品レビュー |
|
TikTok |
偽の商品・購買レビュー |
|
Daptone Records |
偽のストリーミング音楽レビューとSpotify経由の特定曲の再生 |
|
Hotel Association of Canada |
偽の ホテルのレビューと 予約 |
図5:TikTok-Advance[.]comのショッピングデータ投稿ページ
※これはソーシャルネットワークTikTokとは関係ありません。
ユーザー が「支払い」を受けるためにクリックしなければならない回数は、「ハンドラー」からの指示に基づいて、ジョブセッション ごとに30~50回 と変動します。 少しクリックした後(通常は半分以上)、ユーザーはエラーに遭遇し、続行できなくなります。偽の手数料口座の残高はマイナスを示しています。ハンドラーは、ユーザーが「ラッキー」な出来事に遭遇したと説明し、とても喜びます。
図 4:ラッキーな出来事
担当者は、口座残高がゼロになった理由について明確な説明はしないが、被害者にとっては良いことだと主張している。詐欺師は、利用者が の口座をマイナス から戻せば、収入に倍率がかかると説明します。トレーニングのため、今回はハンドラーが支払うが、ユーザーは自分のアカウントで開始すれば報酬を得ることができます。彼らはユーザーに、プラットフォーム上のサポート・エージェントに連絡を取り、暗号通貨のウォレット・アドレスを取得するよう指示します。作業が完了すると、ユーザーは自分のアカウントにログインするよう指示されます。通常、70~80ドルの残高が表示され、再び作業を開始しようとすると、偽の口座残高の詳細が表示されたウェブページから、プラットフォームを利用するには口座を最低100ドルにする必要があることがユーザーに通知されます。ハンドラーは、そうしないとトレーニング中に受け取った「5倍のボーナス」を失うことになると促します。詐欺師はまた、「 VIP手数料ティア 」(図6参照)について、ワーカーが100~5,000ドルを投資することで、受け取れる手数料の数を増やし、1日に提出できるタスクの数を増やすことができることをターゲットに知らせます。
図6:VIP乗数
クリック、クリック、ブーム
では、次に何が起こるのでしょうか? 被害者 が自分のお金 を使って口座を満額にし、喜んでクリックし始めたとします。手数料の小切手を積み上げること数日後、彼らは「幸運」に恵まれ、訓練セッション のように再び残高がマイナスになります。担当者は、彼らに支払いを促し、それだけの価値があると安心させます。暗号通貨を指定されたウォレットに送金すると、被害者は確かに予測通り残高が増加し始めます。関連するPig Butcher詐欺のように、この時点で被害者は最初の「給料」を引き出すことさえ許されるかもしれません。引き出しは、プラットフォームへの入金額以上にはならないが、いくらかは引き出すことができます。プラットフォームは支払いを処理しません。その代わり、「カスタマーサービス」担当者または担当者 (担当者が支払いを継続すると考えていればの話だが)によって処理されます。この悪循環は、被害者がシステムに支払いを続けると考える限り続きます。詐欺師は、被害者が詐欺に気づいたと思えば、被害者の口座をロックし、被害者を追い出そうとします。一般的に、損失はありふれたロマンス詐欺(豚のブッタ切り詐欺)よりは低いが、損失は簡単に 数万ドルに上ることがあります。
数の危険
このような詐欺の多くは、被害者とハンドラーが1対1の関係を築くものですが、 プルーフポイントのリサーチャーはTelegramやWhatsApp上の大規模なグループチャットに誘導される被害者も確認しています。これにより、被害者をガス抜きしたり、自分がどれだけ稼いだかを自慢したりする仲間でチャットを埋めることができます。この種のグループチャットは、 ロマンス詐欺(豚のブッタ切り詐欺)で頻繁に見かけます。このようなプラットフォームのグループチャットに突然追加された場合は、十分に注意してください。プルーフポイントのリサーチャーは、複数の国や言語でグループチャットや個人チャットが運営されていることを確認しています。
"そんなことに引っかかるはずがない!"
一見すると、この詐欺はうまくいきそうにない。お金をもらうために会社にお金を払わなければならないなんて馬鹿げている、とあなたは思うかもしれません。しかし、詐欺は感情や欲望のために働きます。そして、多くの求職者、特に 収入を非常に必要としている人々にとって、 、限られた仕事条件と一見すぐに支払われる高収入の仕事の見通しは、詐欺の潜在的な兆候を無視するのに十分魅力的に見えるかもしれません。
このような詐欺に引っかかる理由とその手口について理解を深めるため、プルーフポイントの脅威リサーチャーはプルーフポイント社の専属心理学者であるボブ・ハウスマン博士に、詐欺を効果的に行う要因について質問しました。ハウスマン博士によると、3つの心理的メカニズムが働いている可能性が高いとのことです:
- サンクコスト効果(サンクコストの誤謬)
- 損失回避
- 互恵主義の原則
サンクコスト効果(サンクコストの誤謬)とは、時間であれお金であれ、多額の投資をしているにもかかわらず、その投資が良い結果をもたらさないにもかかわらず、人は何かを放棄したり、何かをやめたりしないという考え方です。詐欺の一部であるこの考え方は、行動心理学者が「損失回避」と呼ぶもの、つまり失うことへの恐怖が同額の金銭を得る感覚を上回るという考え方によっても煽られています。この場合、求人詐欺の被害者は、高額と思われる金額を稼ぐためにあまりにも多くの時間と労力を費やしたと感じ、苦労して稼いだと思われる利益の損失を防ぐために偽サイトにお金を払うことになるでしょう。
さらに、詐欺師が気づいているかどうかにかかわらず、ターゲットに偽プラットフォームに入金させるために、詐欺師は「互恵の原則」に依存しています。残高がゼロ以下になったときに最初の金額を支払うことで、ハンドラーはマイナス残高を支払うことでターゲットに好意を寄せているように見せかけ、ターゲットは恩義を感じます。この場合、ターゲットは次のサイクルに進んで同行し、自らマイナス残高を支払います。
残念なことに、こうした心理的要因がすべて、詐欺が成功する理由の一部なのです。
暗号通貨調査会社 Chainalysis の同僚によると、何千人もの人々が偽のジョブ・プラットフォームにお金を払うことを決めたといいます。プルーフポイントのリサーチャーは、特定された求人詐欺に関連する公開暗号通貨ウォレット・アドレスを共有し、そのスキームがどの程度効果的であるかを確認しました。Chainalysis の調査によると、 daptonerecordsmusicalbums[.]com の暗号通貨ウォレットは、レコードレーベルを装った偽の求人サイトで、わずか2カ月しか活動していませんでしたが、ビットコインとイーサリアムで30万ドル以上を稼いでいました。Chainalysisの調査結果によると、このウォレットからの資金は、短期貿易投資詐欺(別名Pig Butchers)や他の求人詐欺サイトが共有する口座に流れています。
図7: Pig Butcher & Job Scamの暗号通貨の流れ。このケースでは、行為者はDaptone Recordsになりすました。
以下は、Chainalysis社との共同研究により、当社の研究者が特定した偽の求人詐欺サイトによって盗まれた暗号通貨の金額です:
- hotelassociationseogp[.]com - 3K2t5GuZrZRByvVC1LuHUKrJ5LtKGJF7Mv: 80回以上の入金が1ヶ月に行われ、詐欺師は23,000ドル以上の利益を入手。
- outlierventures-app[.]com - bc1qg9sz72jg3mptpmmqavjmqwq4dm3j5txpk0w0fu: 1週間で362件の入金、合計$95,000。
- temu-workbench[.]com - 3PZ1hqATmdncvuWUQaYfrLYXoRTMXres85: 1ヶ月で1000件以上、合計275,203ドル以上の入金あり。
- tiktok-advance[.]com - 0x3D2C12420D829D8AFc166C1632a4c54e7798F4fd:3日間で130件、総額80,000ドル以上の入金あり。
これはサンプル数としては少ないですが、このような求人詐欺グループは、短期間で暗号通貨を介してかなりの金額をもたらすことができるのは明らかです。
結論
暗号通貨投資や仕事関連の詐欺は非常に蔓延しており、洗練されたソーシャル・エンジニアリングのテクニックを使って人々に合法であると信じ込ませています。信用詐欺師が何世紀にもわたって行ってきたように、詐欺師は無防備なターゲットに簡単なお金を約束し、だまし取ることを続けています。
この種の詐欺から自分自身や友人、家族を守るために、プルーフポイント社は次のことを推奨しています:
- どのようなプラットフォームやアプリケーショ ンであれ、未承諾の求人情報には警戒を怠らないこと。こうした詐欺師はソーシャルメディアを利用することが多いが、同様の手口は電子メールでも確認されています。
- 雇用主を名乗る人物には、決して金銭を提供しないでください。この特殊な詐欺は、ターゲットが偽の求人ウェブサイトにお金を支払うことに依存していますが、Proofpointは、前払金詐欺(AFF)を行うために、コンピュータ機器のような疑惑のある商品やサービスの支払いを求める他の求人詐欺を観察しています。
- 古い格言を思い出してください。おいしい話にはウラがあります。
- 詐欺に対抗するには、知識が力となります。
IoC (侵害指標)
プルーフポイントのテイクダウン・チームは、主要なプロバイダーと協力し、2つのリスク低減プロセスを使用して、リストアップされたドメインからの脅威を迅速に無効化し、グローバルネットワーク全体で迅速な保護を提供しました。従業員がこのようなサイトにアクセスすることを懸念している場合、Emerging Threats はいくつかの新しいシグネチャを追加しています。
2055539 - ET PHISHING PigButcher Kit Headers 2024-08-05
2055540 - ET PHISHING PigButcher Credential Phish Landing Page M1 2024-08-05
2055541 - ET PHISHING PigButcher Credential Phish Landing Page M2 2024-08-05
2055542 - ET PHISHING PigButcher Credential Phish Landing Page M3 2024-08-05
2055543 - ET PHISHING PigButcher Credential Phish Landing Page M4 2024-08-05
2055544 - ET PHISHING PigButcher Credential Phish Landing Page M5 2024-08-05
|
Indicator |
Description |
|
3K2t5GuZrZRByvVC1LuHUKrJ5LtKGJF7Mv |
hotelassociationseogp[.]com BTC wallet |
|
1M7kuP94Pv5DY7SPfyT5zfEXUeNCZDHg1t |
daptonerecordsmusicalbums[.]com BTC wallet |
|
0x2E65f3E0492e0a429D897521597bcc7Ec1CC4C9d |
daptonerecordsmusicalbums[.]com ETH wallet |
|
3PZ1hqATmdncvuWUQaYfrLYXoRTMXres85 |
temu-workbench[.]com BTC wallet |
|
0x404c7c72e8869af9c617ad428fd2d2652f1cf298 |
outlierventures-app[.]com USDT |
|
bc1qg9sz72jg3mptpmmqavjmqwq4dm3j5txpk0w0fu |
outlierventures-app[.]com BTC |
|
|
|
|
0x3D2C12420D829D8AFc166C1632a4c54e7798F4fd |
tiktok-advance[.]com ETH |
|
tcampaigns[.]vip aprimo-data[.]life aprimo-world[.]life argoshop[.]shop argoshop[.]vip bandcampmusicalbumsseo[.]com bandcamponlinemusicmkt[.]com bandcampwebplayer[.]com onlinemusicdosbeatport[.]com beatportmusicdosgp[.]com bleepmusicspace[.]com bleepwebplayer[.]com bloomhouse-datagp[.]com bloomhouse-mktinc[.]com bloomingdales-digital[.]com bloomingdales-dos[.]com bloomingdalesseo[.]com 1y1m[.]com cinkasuwashop[.]com brandasticdata[.]com buildingbrandsdos[.]com buildingbrandsmkt[.]com ppcchart-metric[.]com workchartmetric[.]com chart-metric-servicr[.]com zxjt9183[.]icu clicdata-data[.]life clicdata-work[.]life clutch-data[.]com clutch-pcp[.]com clutchppc[.]com clutch-ppc[.]com clutch-work[.]com cubixclickworker[.]com cubixdatagp[.]com cubixdosllc[.]com cubix-pcp[.]com cubix-player[.]com daptonemusicclub[.]com daptonerecordsgrouppromo[.]com daptonerecordsmusicalbums[.]com daptonerecordsppcgp[.]com daptonerecordspromohub[.]com daptonerecordspromotions[.]com daptonespace[.]com dayuse-ppc[.]com dayuse-seo[.]com searchhotelpricesdatainc[.]com searchhotelpricesdosgp[.]com deezer-albumsdata[.]com deezermusicdatappc[.]com devcommedia26[.]com dominoamusellc[.]com dominomusicdosllc[.]com dominomusicgp[.]com dominomusicgrouphub[.]com dominomusicpcpllc[.]com dominomusicpromotions[.]com dominomusicwebplayer[.]com ebaydatagp[.]com ebayseollc[.]com edifiandosgp[.]com edifianpcpinc[.]com edifianppcllc[.]com edifianseollc[.]com e-digitals-intelligence[.]com e-intelligence-data[.]com eintelligencejob[.]com eintelligencepcp[.]com e-intelligence-player[.]com e-intelligence-seo[.]com emubandsmusicspace[.]com emu-bands-player[.]com emusic-data[.]com emusic-ppc[.]com trip12345[.]top geniusmusicalbumsdata[.]com geniusmusicplayer[.]com gr0-data[.]com gr0-dos[.]com gr0-pcp[.]com gummicube[.]top gummicube[.]xyz gummicubevip[.]com gummicubevip[.]cyou gummicubevip[.]top hometogo[.]cc hotelassociationdosinc[.]com hotelassociationseogp[.]com hotelplannerdatagp[.]com hotelplannerseoinc[.]com ig-plus[.]com ihutu[.]xyz imdbgp[.]com imdbmoviespromotions[.]com imdb-promotions[.]com imdbseollc[.]com ineffablemusicgrouphub[.]com ineffablemusicpromohub[.]com interpublicdata[.]com jango-data[.]com jangoppc[.]com jango-seo[.]com landmarktheatresdosgp[.]com landmark-theatres-ppc[.]com landmark-theatres-promo[.]com seolandmarktheatresinc[.]com lanternsoldata[.]com lanternsold-digital[.]com lanternsoldos[.]com lanternsold-pcp[.]com lanternsolppcgp[.]com lanternsolseoinc[.]com lastfmmusicspace[.]com lastfmwebplayer[.]com legendarycinemallc[.]com legendaryflim[.]com legensdarycin[.]com dosmylighthouse[.]com mylighthousedata[.]com livemusicppc[.]com liveonemusicalbumsppc[.]com liveoneonlinemusicservice[.]com liveone-ppc[.]com live-one-promo[.]com madisontaylormarketingdata[.]com amazon668[.]com livre19[.]com mer1996[.]com mer1998[.]com mer-live[.]com mer1998[.]cc mer-live[.]cc ma588[.]com mewsdosgp[.]com mgmmoviegrouphub[.]com mgmmoviepromohub[.]com miracledigital[.]ai miracledigital[.]vip miracledigitalinc[.]com miracledigitalseo[.]com mixcloudmusicgrouphub[.]com mixcloudmusicwebplayer[.]com motown-player[.]com motown-space[.]com buy0tw[.]store musicgateway-pcp[.]com musicgateway-seo[.]com musicoverygroupboost[.]com musicoverypromohub[.]com musicoverywebplayer[.]com onlinemusicppcmusicovery[.]com musiio-data[.]com musiio-player[.]com napster-promohub[.]com nspromalbums[.]com worknapster[.]com nytroseodata[.]com nytroseo-product[.]com olivineseo[.]com olivinework[.]com open-sea-club[.]com openseapromohub[.]store open-sea-space[.]com opensea-player[.]com padula-media-digital[.]com padula-mediapcp[.]com padula-mediaseo[.]com pandoragrouphub[.]com pandoramusicpromotions[.]com pandorapromohub[.]com perfechterproductions-data[.]com perfechterproductions-ppc[.]com perfechterproductions-seo[.]com paylist-push-ppc[.]com paylist-push-seo[.]com paylist-push-work[.]com playlistmusicspace[.]com playlist-push-ppc[.]com pod-bean-data[.]com pod-bean-player[.]com podbean-promotions[.]com podbean-space[.]com powerdigitalmarketingppc[.]com powerdigitalmarketingseo[.]com power-dos[.]com powermakerting-work[.]com power-pcp[.]com qobuzgrouphub[.]com qobuzpromohub[.]com radioplayer-data[.]com radioplayer-ppc[.]com rappppc[.]com rappseo[.]com datarioks[.]com rioksdata[.]com rioks-dos[.]com rioksdosgp[.]com rioksdosinc[.]com rioksdosllc[.]com rioks-mkt[.]com rioksmktllc[.]com riokspcpinc[.]com rioksppc[.]com rioks-ppc[.]com riokswork[.]com seorioks[.]com roveecomsdosllc[.]com sana-commerce-data[.]com sana-commerce-seo[.]com digitals-search-gather[.]com search-gather-data[.]com semrush-dos[.]com semrush-seo[.]com seoestoredata[.]com seoestoredosgp[.]com seoestoreppc[.]com seoestorework[.]com serviceware-world[.]life premersn[.]com sh-online[.]co datasolustar[.]com solustar-ppc[.]com solustar-seo[.]com solustarwork[.]com sonyrewardspro[.]net rcamusicgrouppromo[.]com rcamusicmktinc[.]com rcamusicmktllc[.]com rcamusicpromohub[.]com data-sound-click[.]com sound-click-ppc[.]com soundcloud-ppc[.]com soundcloud-seo[.]com soundhoundai-dos[.]com soundhoundai-seo[.]com spotmusicclickworker[.]com boomplaypromohub[.]com boomplaypromotions[.]com musictimegrouppromo[.]com musictimepromohub[.]com stingraymusicdata[.]com stingray-ppc-music[.]com stingray-space[.]com cbccentenr[.]net centralmarketing[.]online centralmarketing[.]store centralinvest[.]online centralmakermoney[.]online centralmakermoney[.]pro tiket-88[.]com tktiktok[.]shop tkokshop[.]com jar28[.]com je28[.]com universalmusicspace[.]com universal-onlinemusicservice[.]com universalproductiondosmusic[.]com universalpromohub[.]com universalwebplayer[.]com wikiwand-ppc[.]com wikiwand-works[.]com capitolmusicgroupboost[.]com capitolmusicpromohub[.]com capitolmusicpromotions[.]com capitolmusicwebplayer[.]com capitolrecords-music[.]com capitolrecords-works[.]com ppc-venture[.]com promohubventure[.]com venturemusic-data[.]com verse-one-ppc[.]com verse-one-data[.]com vertify-agency-dos[.]com verifyseoagency[.]com verifyppcagency[.]com winamppromohub[.]com warnermusicspace[.]com warnerwebplayer[.]com musicspace-rr-records[.]com webplayerrrrecords[.]com roadrunnerrecordsdata[.]com roadrunnerrecordsseo[.]com rr-musicalbumsdata[.]com rrrecords-ppc[.]com rrrecords-promo[.]com you42musicspace[.]com you42promohub[.]com dataintelligenceoptimal[.]com rcarecordsgroupboost[.]com rcarecordsgrouppromo[.]com rcarecordsmusicgroupboost[.]com rcarecordsmusicgrouppromo[.]com rcarecordsmusicpromohub[.]com rcarecordsmusicpromotions[.]com tiktok-advance[.]com madisontaylormarketingwork[.]com winampgrouphub[.]com temu-workbench[.]com mallsvip[.]vip tianmie[.]vip walmart-shopping[.]com musicplayerspoty[.]com attentivedata[.]com apm-player[.]com apm-space[.]com atom-tickets-data[.]com atom-tickets-ppc[.]com temu-get-work[.]com outlierventures-apps[.]com app-outlierventures[.]com apps-outlierventures[.]com outlierventures-app[.]com |
Malicious Domains |
付録:不正求人サイトのスクリーンショット例
hotelassociationseogp[.]comの偽ホテルレビュー
outlierventures-app[.]comの偽アプリストアレビュー
tiktok-advance[.]comの偽TikTokショップレビュー
