詐欺者による新たな現金化手法:IPクローキング

2019年9月28日

サイバー犯罪者にとって銀行やその顧客を騙すことと、それが検知されないようにすることは異なります。

サイバー攻撃というのは、盗んだお金をダミーや偽の銀行口座に移動させることだけでは完了しません。詐欺者はデジタル・ファンドを実際に使える通貨に変換しなければならず、それを組織に気が付かれず行う必要があります。詐欺者は、盗んだお金を現金化する際、バーチャル・プライベート・ネットワーク(VPN)、プロキシサーバ、IP隠蔽ソフトウェア、Torブラウザ、または匿名性を維持するために他のプログラムやアプリケーションを使用して、彼らの身元を隠そうとします。

近年、この技術はうまく効いています。ほとんどの銀行のセキュリティ戦略は、表面的に完全に正常に見えるトランザクションを禁止するように設計されていません。しかし、セキュリティ技術がこういったIPアドレス/ジオロケーション隠蔽技術に追いついたため、多くのサイバー犯罪者もまた、犯罪を成功させるための手法を、銀行のセキュリティ戦略より進化させようとしています。

IPカモフラージュという新たな脅威

ハッカーは様々な種類の組織から顧客のログイン認証情報を盗みますが、それが銀行に対して行われる場合、サイバー犯罪者はその情報を利用してオンラインの銀行アカウントにアクセスし資金搾取を試みるに違いありません。アカウントの乗っ取りで最も被害を受けるのはアカウント所有者であるため、それは特に有害です。このような攻撃に対する代価は、顧客への失われた資金の払い戻し、銀行の評判に回復不可能なダメージ、及び機関に対する消費者の信頼の喪失により、金融機関そのものに同様にダメージを与える可能性があります。

サイバー犯罪者が、1つまたは複数のアカウント所有者のログイン認証情報(2要素認証として使用されるワンタイムパスコードも含む)を収集すると、アカウントの乗っ取りを実行する準備が整います。この際、サイバー犯罪者が匿名化ソフトを利用することで、サイバー犯罪痕跡の追跡が困難になります。そのため、IP隠蔽技術を使用して攻撃者の本当の身元及び場所を隠蔽できるアカウントの乗っ取りが増加しています。

ただし、全てのプロキシ/隠蔽技術が悪意のある目的に使用されているわけではありません。一部のIP隠蔽ソフト及びアプリケーションは、完全に合法であり、プライバシーの確保またはセキュリティの強化を求める個人または組織に採用されています。例えば、多くの企業やインタネットサービスプロバイダーは、ネットワークを構成するためにある種のVPNを採用しています。そういった環境で正当なログインが銀行のトランザクションページへやむを得ず実行される場合、金融機関はアカウントの乗っ取りを試みるサイバー犯罪者と本当の顧客をどのように見分けることができるのでしょうか。

その匿名化ツールがいわゆる「良い」匿名化ツールであるか、オンラインの銀行口座に侵入を試みる攻撃者が使用するツールであるかには大きな違いがあります。例えば、VPN、ホスティングプロバイダー、データセンター、コンテンツ配信ネットワークの匿名化は、企業やその他の組織の匿名性を保護します。逆に、銀行のWebプラットフォームにIP隠蔽でログインを試みたり、パブリックプロキシまたは、Webプロキシを介してログインを試みたりするユーザーは、悪意を持ってログインしている可能性があります。

銀行はIPクローキングによるアカウントの乗っ取りからどのように身を守れるか

IPを隠蔽するハッカーによるアカウントの乗っ取りから効果的な保護を実現するために、金融機関は銀行のWebプラットフォームに接続している人物が陰謀を企んでいることを明確に示す典型的な動向に注意を払う必要があります。以下はそのような動向の顕著な例です。

・異常なログイン試行の失敗数
・短時間に異なるジオロケーションからのログイン試行(IPアドレスが再ルーティングされていることの表示)
・異常なトランザクション後のパスワード変更
・購入前に住所の変更
・高価商品または大量の商品を購入

金融機関のセキュリティ戦略に、プロキシまたはIP隠蔽ソフトウェアを介して銀行のWebプラットフォームへの接続を検知できるソリューションを組み込むことは、銀行を標的とするアカウントの乗っ取りの大半を封鎖するのに非常に役立ちます。さらに、そのソリューションは、どういったタイプの匿名訪問(正当なプロキシ経由またはVPN経由)を判断する機能を持つ必要があります。それによって、アカウントの乗っ取りがされている可能性があるかを判断します。

匿名でトランザクションページに接続する全てのエンドユーザーがサイバー犯罪者であるとは限らないため、銀行はそのような活動をどのように処理するか完全にコントロールする必要があり、その制御機能は状況が変化した際にも柔軟に変更できるべきです。

by Luis Betancourt, Detect Safe Browsing Operations Manager

©2020 AppGate    I    Privacy Policy    I    Legal Terms