[レポート]中国系地下カードショップ環境の理解によるフィッシングマスターへの道 – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2022で行われた以下のセッションのレポートです。

中国系地下カードショップ環境の理解によるフィッシングマスターへの道

近年、個人識別可能な情報（PII）の漏えいが頻繁し、2021年のクレジットカード詐欺による被害は、それぞれ台湾と日本で記録を更新した。この情報は、そもそもどこでリークされ販売されたのか？

ダークウェブとは、Torプロトコルを使用せずにアクセスできないWebサイトを指し、Torを使用することでプライバシーや匿名性が高まり、犯罪者にとって非常に魅力的な市場となっていることが証明されてる。

この講演では、匿名の研究者が、ダークウェブの市場でカード会社のベンダーと取引した経験を、台湾と日本のPIIを販売するショップの洞察、これらのカード会社のハッカーのTTPs（戦術・技術・手順）に焦点を当てて紹介する。

この講演が、クレジットカードの不正使用を減らすために、聴衆が再考するきっかけになることを期待する。

Presented by : Strawberry Donut - Strawberry Donut

レポート

• 中国のアンダーグラウンドの冒険
• 自己紹介
  • ストロベリードーナツを食べる
• 背景と研究範囲
  • 法律に準拠した活動を行っている
  • クレジットカード詐欺
    • 日本では2021年に330億円
    • 94%が詐欺
  • 中国の日本をターゲットとしたカードショップのエコシステム
  • ターゲットにしているのは2つ理由ある
    • 理想的な市場
    • 3Dセキュアが静的なパスワード
      • フィッシングができる
    • 限度額が高い
  • バリューチェーンを理解する
    • 取得方法は3つ
      • フィッシング
      • JavaScriptインジェクション
        • Webサイトに対して
      • トロイ・マルウェア
• ジャーニー
  • フィッシングにフォーカス
    • 主流の方法であるから
  • リサーチチームがコミュニティを確認した
    • 9万6千人いる
    • 最大規模のコミュニティ
  • コミュニティリーダーの情報
    • GMT+8にいる
    • Google翻訳をよく利用している
      • 日本語を理解していない
    • Bitcoinのアドレス
      • 56BTCを受け取っている
      • 1億6千万円
  • 研究の環境を設定
    • 非帰属環境が必要
    • telegramを作成
    • レンタルサーバーとVPS
    • 匿名にしてアクセス
  • トレーニングは3000RMB
    • 環境設定やフィッシングのやり方など
    • プライベートチャネルで様々なリソースが提供されている
    • エントランス
    • 300のカードショップをモニタリングしている
• カードショップのエコシステム
  • バリューチェーン
    • まずセットアップ
    • フィッシングの環境を整えて実行していく
    • カードを使ってキャッシュアウト
  • 環境セットアップ
    • 正しく環境をセットアップすることが重要
    • まず身元を伏せる、トレーシングされないように
    • いくつかのレイヤーで匿名化
      • VPS
      • フェイクのID
      • IPのセットアップ
        • ターゲットの国にセットアップ
        • ブラックリストに入っていないことを確認
        • VPSのタイムログを日本に合わせる
        • 言語を日本語に
        • MACアドレスかハードウェアIDを変える
        • クッキーをクリーンにする
    • Residential proxyを使う
      • プロバイダーからオンラインで買う
      • 欲しい物を選ぶ
      • ターゲットの目的地に偽のIDで入れる
      • 多くは中国の911を使っている
      • アドウェアや無料VPNを利用している
      • 無料のVPNは攻撃者のプロキシになる
      • 911では環境を選べる
        • 沖縄を指定したり
        • ブラウザのUIも選べる
      • 911は2022年7月にクローズする
        • ハッキングされたと表明している
      • 今中国の詐欺者は911以外のサービスを利用している
  • フィッシングセットアップ
    • E-mailデータベース
      • 新しいメールが必要
      • かなりたくさんのWebをハッキングしている
      • 中小の企業が主な対象
    • フィッシングキットのセットアップ
      • 感染しているサーバーを使う
        • 削除される可能性がある
      • VPSを使う
        • キットをアップロードする
        • ロシアのはカーからBullet-proofを使うのもある
    • テンプレート
      • かなり色々ある
      • 主要なサイトのテンプレートがある
      • Eki-netは応答率が高い
    • キットのコンポーネント
      • botをブロック
      • サイバーセキュリティ系もブロック
      • 人ではないアクセスをブロック
      • リファラーを確認
      • かなりたくさんのセキュリティ組織をブロック
      • プロキシを使っていたら実際のIPを入手しようとする
      • 国コードも確認
      • ユーザーIPが中国か日本でなければ弾く
      • つまり攻撃者は中国
      • アカウントやパスワードを確認
      • オープンソースでBINを確認する
        • ちゃんとエラーを出す
      • たくさんの情報が収集される
      • メールを送ってリダイレクト
    • スパムフィルターをバイパスする方法
      • いろいろある
      • 環境
        • IPを継続的に変更してクリーンに
      • フィッシングキットのドメイン
        • 複数のドメインネームを登録
        • 一度でブロックされないように分散
      • SSLを使わない
        • SSLを使うとクローラーを引きつける
        • URLリダイレクトツールを使う
      • リダイレクトツール
        • httpsを使い、ドメイン名に近づけることができる
        • メリット
          • URLを通常のものに見せる
          • httpsでパブリックドメイン
          • 文字列を選べる
          • スパムフィルターでブロックされてもフィッシングサイクルを早く再開できる
  • フィッシングの実行
    • 取得情報
      • カード番号とCVV
      • 名前
      • 電話番号などを追加で入れさせることも
    • 911をつかってIPなど被害者に似せてキャッシュアウト
    • 現金化は2つの手法
      • 暗号通貨やギフトカードを購入
        • 迅速に現金化
      • Eコマースで製品を買う
        • 複雑だがよく利用される
        • 受け取り手が国内で受け取って送る
      • 新しい手法が出てきた
        • TikTokコインを使う
          • 悪意あるインフルエンサーに寄付
          • 詐欺師自身がインフルエンサーであることもある
          • クレジットカードを使っている人が詐欺師か判別が難しい
        • NFTを使う
  • クレジットカードの限度額の推測
    • ソーシャルエンジニアリング
    • Webにログインして確認
    • カードBINからレベルを確認できる
    • 年齢
    •  1950 - 1970生まれは高い
    • 電話番号
      • 長く使われている番号は高い
    • カード期限
      • 長く使われているものは限度額が高い
    • Webにログイン
      • フィッシング時に一緒に取得する
      • 新しく会員登録することもある
      • OTPを無効化する
        • ソーシャルエンジニアリング
        • カード会社に電話する
          • 限度額確認
          • 電話番号を変える
          • あまりできない
        • 携帯をなくしたと連絡する
        • フィッシングしたパスワードに設定できる
  • 買うもの
    • 安いものを買う
      • ブランドバッグ
      • 化粧品
      • ディズニーのチケットを買って再販
      • Taobaoで安く買える
      • USJや新幹線のチケット
    • 国内の受け手に受け取らせる
      • 住所のリストが提示される
      • クレジットカードを利用するには被害者の近くにする
      • ディーラーは全国に分散している
    • AVSのチェックがある
      • 届け先を変更する
      • 迂回することができる
      • 注文した後届け先を変更する
      • 詐欺師はクロネコがいいといっている
      • 離れた場所へも変更できる
    • 大きなところでは自身の配送管理を持っているところもある
      • 一部の現金化ディーラーは受け取った商品を見せて説明している
  • エコシステムの説明まとめ
    • 詐欺師の仕事は簡単ではない
      • セットアップしてメールチェックして
      • やることいっぱい
    • カード情報のインプットから成功率がすごく低くなる
    • 匿名性のため最終的にものが受け取れないことも
• ネクストステップ
  • バリューチェーンはいろんなステップがあり複雑
  • 詐欺師は役割分担している
    • フィッシング
    • カード利用
    • マネタイズ
  • 法的な制裁から逃れやすい
    • 受け取り手もなんのためか知らないと言える
  • 成功要因は役割ごと異なる
    • フィッシングはハッカーのようなもの
      • フィッシングキットをセキュリティの高いものにする必要がある
    • 受け手はビジネス
      • 人を雇ってものを送る
    • カード利用は簡単
      • いろいろ使うだけ
  • どうしたら良いか
    • アップストリームで何かをやることは難しい
    • 防衛はカードの使用と現金化
      • SMSとOTPを利用する
      • 詐欺師はメールアドレスにログインできる
      • SMSはリプレースが難しい
      • すべてのクレジットカードで設定
        • 変更をアラート
        • マシンラーニングなどは必要ない
        • シンプル
        • 60%以上減らせる
  • かなり沢山のステークホルダーがこれに関わっている
  • 全員が協力しないと防御できない

感想

詐欺の実態について、非常に具体的にわかる実例でした。

防衛はなかなか大変ですが、全体で取り組む必要がありますね。もちろん個人としても気をつけていきたいです。