BogusBazaar」と呼ばれる75,000の偽のオンラインショップからなる大規模なネットワークは、米国とヨーロッパで85万人以上の人々を騙して購入させ、犯罪者がクレジットカード情報を盗み、推定5,000万ドルの偽の注文を処理しようとしました。
さらに、盗まれた何百万ものクレジットカード情報がダークウェブのマーケットプレイスで転売され、他の脅威者がそれを購入し、無許可のオンライン購入を行うことができた。
ドイツのサイバーセキュリティ企業Security Research Labs GmbH(SRLabs)の報告によると、BogusBazaarネットワークは、3年前に活動を開始して以来、推定5000万ドルの偽の購入を処理しようとしている。
被害者の多くは米国と西ヨーロッパに集中している。同時に、詐欺の活動拠点と思われる中国からの被害者はほぼ皆無である。
出典:BogusBazaar:SLR
偽ウェブショップの巨大ネットワーク
BogusBazaarは高度に組織化された作戦で、2021年以来75,000以上の偽のウェブショップを立ち上げてきたが、最近では22,500以上のアクティブなサイトに減少している。
サイバー犯罪者たちは、グーグルの評判が良い期限切れのドメインに偽のショップを開設し、通常、靴や衣料品を非常に低価格で販売しているように装っている。
サイトは半自動的に作成され、カスタムネームやロゴが使われている。
出典:SLRSLR
このようなサイトの支払いページでは、被害者の連絡先やクレジットカード情報を収集するか、PayPal、Stripe、クレジットカード決済を利用して、存在しない注文のためにお金を盗む。
SRLabsによると、このサイバー犯罪グループは組織化されており、インフラストラクチャー・アズ・ア・サービス・モデルのもとで活動する、役割に特化した明確なチームを特徴としているという。
グループは “インフラストラクチャー・アズ・ア・サービス “モデルを採用している:コアチームがインフラ管理を担当し、フランチャイズ加盟店の分散型ネットワークが詐欺ショップを運営している。
「BogusBazaarのコアチームはインフラを配備し、少数の偽のウェブショップを運営しているように見える。コアチームは、ソフトウェアの開発、バックエンドの配備、詐欺行為をサポートするさまざまなWordPressプラグインのカスタマイズを担当している。
研究者によると、この作戦の背後にいる経営陣と開発者は、お金とデータを盗むために使用されるカスタマイズされたWooCommerce WordPressプラグインを作成している。そのチームは、おそらくテスト用に少数の偽ショップのみを運営している。
BogusBazaarショップの大部分は、フランチャイズ加盟店の広範で分散化されたネットワークによって運営されており、彼らはショップの日々の運営を管理するためにコアチームから提供されたツールを使用している。
ウェブショップ、ペイメントゲートウェイ、管理アプリケーションは別のインフラでホスティングされている。
運営は中国から管理されていると思われるが、BogusBazaarのサーバーのほとんどは米国にある。これらのサーバーはそれぞれ200から500のウェブショップをホストしており、Cloudflareの背後に隠されているため、ある程度の匿名性が確保されています。
SLRは、BogusBazaarに関連するURLとIoCの完全なリストを当局およびその他の関係者と共有しました。
また、有効なドメインのリストを確認したところ、ほとんどのショップは閉鎖され、現在はCloudflareのエラーが表示されているが、多くのショップはまだ運営されていることがわかった。
ウェブショップの正当性の確認
オンラインショップが本物であることを確認するために、消費者は連絡先情報の確認、返品ポリシーの確認、トラストシールの確認、ウェブサイトコンテンツ全般の閲覧、ソーシャルメディアでのプレゼンスの確認などを行うことが推奨される。
これらを行うことで、消費者はそのウェブページが急ごしらえで作られたものなのか、それとも高いプロ意識を持って作られたものなのかを見極めることができる。
また、レビューにある偽のウェブショップの多くは、商品リストからなる似たようなテンプレートを使用しており、元の価格が消され、新しい価格が50%以上の割引で提供されている。
さらに、オンライン・レビューを読んだり、現地の消費者保護機関の発表に従ったり、SRLabsがドイツ市場向けに提案したツールのような、利用可能なオンライン・チェッカー・ツールを使ったりしてください。
Comments