最もよく見られる不正ななりすましのスキームとその対抗手段

Aite Groupによる業界調査では、金融機関（FI）幹部の89％が、デジタルチャネルにおける損失の最も一般的な原因として、口座乗っ取り詐欺（ATO詐欺）を指摘しています1。

口座乗っ取り詐欺は、犯罪者が利益を得るために被害者の財務データにアクセスする個人情報窃盗犯罪の一種です。これは、合成ID詐欺と呼ばれる別のID窃盗に関連するが、それとは異なる。口座乗っ取りの場合、犯罪者は盗んだデータや個人を特定できる情報（PII）を使って、正当な顧客の既存の口座にアクセスします。しかし、合成ID詐欺では、このデータに偽の情報を混ぜて、新しい口座を開設するために偽のIDを作成します。

どちらの不正行為も、お客様に深刻な損害を与える可能性があります。このブログでは、口座乗っ取り詐欺に焦点を当て、最も悪質な口座乗っ取り戦略のいくつかを説明し、金融機関がこの種の詐欺を検知し、防御するための重層的なアプローチを探ることにします。

口座乗っ取り詐欺の手口

データ流出

口座乗っ取り攻撃の中には、詐欺師が個人情報を取得するところから始まるものがあります。これは、不正な取引が行われるずっと前に発生する可能性があります。不正行為者は、過去に発生した情報漏えいの一部として流出した個人情報を単純に購入します。最近、大企業で発生した多くの情報漏えい事件では、何十億ものユーザー名、電子メールアドレス、パスワード、クレジットカード番号、社会保障番号などが流出しました。 

サイバー犯罪者は、この流出したデータを使って、標的型のフィッシング・キャンペーンを準備することができます。また、自動化された攻撃（または、経験の浅い詐欺師の場合、認証情報の組み合わせを手入力すること）を使って、口座に不正アクセスすることも可能です。金融機関の認証メカニズムが静的パスワードのような脆弱なセキュリティ対策に依存している場合、犯罪者はクレデンシャル・スタッフィングと呼ばれる手法を使用します。クレデンシャル・スタッフィングとは、ボットの軍団が盗んだ認証情報のリストをさまざまなウェブサイトでチェックし、一致するものがないかを探すことです。認証プロセスに多要素認証（指紋やワンタイムパスワードなど）が含まれている場合、アカウントへの不正アクセスにはより多くの労力を必要とします。

フィッシング

フィッシング攻撃は、緊迫感を煽ったり、既存の組織に対する信頼を利用したりして、人間の特定の性質を利用したソーシャル・エンジニアリングの一種です。例えば、フィッシングメールは、受信者の口座が危険にさらされていることを警告する金融機関からの正当な通信のように見えるかもしれません。また、銀行からの文書を装ったものや、ロゴ、署名、従業員名など、正規のメールを装ったものが含まれる場合もあります。

このような場合、メールに記載されたリンクをクリックすると、ユーザーは銀行のサイトと同じように見える偽のウェブサイトに移動することになります。そして、そのWebページから、ユーザーを騙して認証情報を漏らしてしまうのです。また、メールの添付ファイルを開くと、端末にマルウェアがインストールされ、次回に銀行の正規サイトにアクセスする際に、銀行の認証情報を傍受してしまう可能性もあります。最後に、フィッシングメールは、ユーザーが要求された番号に電話をかけるよう促すことがあります。電話の向こう側には、銀行の担当者になりすました、よく訓練された詐欺師がいることでしょう。

• フィッシングには、次のようなさまざまな顔があります。
• スピアフィッシング：特定の個人またはグループを狙うフィッシング。
• ホエール・フィッシング。著名な個人をターゲットにした攻撃。
• ビッシング（Voice Phishing）：電話を使ったフィッシング詐欺。電話を使ったフィッシング詐欺。 

スミッシング：偽の銀行ポータルへのリンクを含むテキストメッセージやメッセンジャーベースの詐欺。 

SIMスワップ攻撃

携帯電話事業者は、ユーザーのSIMカードを交換する合法的なサービスを提供しています。多くの場合、ユーザーは、以前のSIMカードがサポートされなくなった新しいデバイスに乗り換える際に、このサービスを利用することができます。詐欺師はこのサービスを悪用することができます。ソーシャルエンジニアリングの技術を使い、被害者のSIMカードを無効化し、そのユーザーの電話番号とデータを含む新しいカードを入手します。このようにして、詐欺師は、認証フローに携帯電話を使用するバンキングソリューションをターゲットにすることができます。例えば、モバイルバンキングのアプリの登録がSMSチャネルで行われる場合、SIMスワップによって、詐欺師は携帯電話でこのアプリを有効にすることができるかもしれません。また、銀行の認証メカニズムにワンタイムパスワードの配信手段としてテキストメッセージが含まれている場合、被害者の電話番号を乗っ取ることは、犯罪者にとって、不正取引の認証や銀行取引セッション内での他の操作を行うための魅力的な方法となります。
 

     

 

Multi-layered Protection against Account Takeover Fraud

Without a solid set of security measures, an account takeover attack can go unnoticed for weeks or even months, especially if fraudsters manage to reroute all the banking communication from the victim into their digital channels. Sometimes, the victim will only spot the attack when they notice odd activity in their account statement.

Despite countermeasures taken by banks, such as customer education, many users still fall into the trap. A multi-layered security approach is the best way to minimize the risk of an FI’s customers falling victim to account takeover fraud. This approach brings together several solutions that protect bank operations and customers without any negative effect on user experience.

Prevention – Securing the User and the Application

With attack scenarios increasing in variety and complexity, it is important for FIs to offer solutions that will help their customers avoid confusion, thereby minimizing the risk of interaction with a fraudster. A fraud prevention system should combine capabilities that shield both users and their devices.

Protecting the User

OneSpan’s Cronto® visual transaction signing capability helps protect users from social engineering, Man-in-the-Middle attacks, and subsequently from becoming victims of account takeover fraud.