口座乗っ取り詐欺(ATO)とは何ですか?
口座乗っ取り詐欺(ATO)は、サイバー犯罪者が資金や情報を盗むために被害者のログイン認証情報にアクセスすることで発生します。詐欺師は、金融機関の銀行口座にデジタルで侵入し、その支配権を奪います。そのためには、フィッシング、マルウェア、中間者攻撃など、さまざまな手法を駆使します。ATOは、金融機関やその顧客にとって、金銭的な損失や被害軽減のための努力が必要となるため、最大の脅威となっています。
詐欺師は、銀行、クレジットカード、eコマースなどの既存のアカウントを乗っ取ることができます。口座の乗っ取りは、詐欺師がデータ流出から個人情報を入手したり、ダークウェブで購入したりすることから始まります。電子メールアドレス、パスワード、クレジットカード番号、社会保障番号などの個人情報は、サイバー窃盗団にとって金銭的利益を得るための貴重な情報です。アカウント乗っ取り攻撃が成功すると、不正取引、クレジットカード詐欺、侵害された顧客アカウントからの不正なショッピングにつながる可能性があります。アカウント乗っ取りは、ID 窃盗や ID 詐欺の一種と呼ばれることもありますが、何よりもまず、ログイン情報の窃盗を伴うため、犯罪者が金銭的な利益を得るために窃盗を行う、クレデンシャル・セフト(信用情報窃盗)です。アカウント乗っ取り詐欺は絶えず進化しており、さまざまな形で現れる絶え間ない脅威です。アカウント乗っ取り攻撃が成功すると、被害者の危殆化した金融口座から不正な取引や不正なショッピングが行われます。
ATOで気づかれまいとする詐欺師たち
アカウント乗っ取りが成功した場合、詐欺師はアカウントに異常が発生するのを避けようとします。その代わりに、口座情報、パスワード、さらには通知を変更し、正規の所有者が自分の口座で不正な活動が行われていることに気づかないようにすることがよくあります。犯人は多くの場合、銀行口座から不正な会社に支払いを行ったり、別の口座に資金を移したりしてお金を盗みます。詐欺師はまた、新しいクレジットカードや口座、その他の金融商品を要求することもあります。このような行為に加え、詐欺師は金銭的な被害をもたらす不正な取引を数多く実行する力を持っています。
窃盗犯はまた、オンライン・ハッキング、郵便物の窃盗、財布の盗難、ATMやカードのスキマーなど、さまざまな方法で口座番号を入手することができます。しかし、口座乗っ取り詐欺にはいくつかの兆候があります。複数のユーザーが突然パスワードの変更を要求してきたり、ログインに失敗した試みが何度も繰り返されたりする場合は、口座乗っ取り詐欺の兆候である可能性があります。カード所有者がアカウント乗っ取りを発見すると、加盟店は多くのチャージバックや顧客との取引に関する紛争が発生することが予想されます。口座乗っ取りが成功すると、口座名義人と金融機関の関係が悪化し、銀行のブランドにも傷がつきます。例えば、複数のユーザーが突然パスワードの変更を要求してきたり、ログインに失敗した回数が累積したりした場合、アカウント乗っ取りの可能性があります。
口座乗っ取り詐欺の手口
フィッシング
ソーシャル・エンジニアリング攻撃を成功させるために不可欠な「信頼」という自然な傾向のため、人々は最も弱いセキュリティ・リンクであり続けます。フィッシング詐欺は、有名で信頼できるブランドや個人になりすまします。フィッシング詐欺は、有名ブランドや信頼できる個人を装い、感情的なアピールで寄付を募り、偽の銀行ポータルサイトに誘導するリンクをクリックさせたり、認証情報を盗むマルウェアをインストールする添付ファイルを開かせたりします。フィッシングの最も一般的な形態はEメールですが、テキストメッセージ(SMS)やソーシャルメディアのメッセージングサービスも利用されることがあります。モバイルユーザーの場合、添付ファイルをダウンロードする必要すらありません。SMS内のリンクからウェブページに誘導し、端末にマルウェアを自動的にインストールさせることも可能です。
クレデンシャル・スタッフィング:
詐欺師は通常、ダークウェブから盗んだクレデンシャルのリストを購入します。このリストには、電子メールアドレスや対応するパスワードなどが含まれます。クレデンシャル・スタッフィング攻撃には通常、自動スクリプトを使用してアカウントへのアクセスを試みるボットが関与しています。この情報は、多くの人が同じユーザー名とパスワードを何度も再利用しているという前提に基づいて、複数のアカウントへの不正アクセスに使用されることもあります。しかし、金融機関の認証プロセスに指紋やワンタイムパスワードなどの多要素認証が含まれている場合、アクセスを獲得することはより困難になります。クレデンシャル・クラッキングとして知られるもう一つの重要な手法は、毎回異なるパスワードで何度もログインを試みることで正しいアカウント・パスワードを推測することから、「総当たり」攻撃とも呼ばれます。
SIM カードのスワッピング:
SIMカードのスワッピングは、携帯電話会社が提供する合法的なサービスで、顧客が新しいデバイスを購入し、古いSIMカードがそれに対応しなくなった場合に行われます。詐欺師は、比較的簡単なハッキングでこのサービスを悪用することができます。SIMカードスワップ詐欺では、詐欺師がソーシャルエンジニアリングのテクニックを使って、被害者の携帯電話番号を新しいSIMカードに移します。詐欺師は、顧客の携帯電話会社に連絡して顧客になりすまし、コールセンターの担当者に携帯電話番号を不正なSIMカードに移植するよう説得します。その結果、ユーザーのバンキング・アプリが詐欺師の携帯電話でアクティベートされます。銀行の認証メカニズムにワンタイムパスワードを配信する手段としてテキストメッセージが含まれている場合、被害者の電話番号を乗っ取ることは、犯罪者がバンキングセッション中に不正取引を実行したり、振込先を追加したり、その他の操作を実行したりするための魅力的な方法となります。
マルウェア
マルウェアは、被害者のコンピュータやモバイル機器に悪意のあるソフトウェアや「マルウェア」をインストールすることで、銀行口座を乗っ取るもう一つの方法です。マルウェアは、信頼できないソースからアプリをダウンロードしたり、Flashプレーヤーのアップデートを装うなどして、他のプログラムに組み込まれたりします。キーロガーと呼ばれるマルウェアの中には、銀行口座情報を含め、ユーザーが入力するすべての情報を傍受するものもあります。
モバイルバンキング型トロイの木馬
モバイルバンキング型トロイの木馬が利用する一般的な手法の1つは、正規の銀行アプリケーションの上に偽の画面を置くオーバーレイ攻撃です。その後、マルウェアは被害者の認証情報を取得し、他の銀行取引が実行されている間、アクティブな状態を維持することができます。例えば、マルウェアは資金移動を傍受し、不正な口座に資金をリダイレクトすることで、取引データを変更することができます。このような攻撃は、スマートフォンの利用が世界的に増加し続ける中、今後も増加することが予想されます。
中間者攻撃:
中間者攻撃では、詐欺師が金融機関とユーザーの間に位置し、気付かれることなく通信の傍受、編集、送受信を行います。例えば、悪意のあるWi-Fiネットワークをコーヒーショップの公共ホットスポットとして設定し、"Public Coffee "のような無害だが正当な響きのある名前を付けることで、ユーザーのデバイスと銀行のサーバー間の通信チャネルを乗っ取ることができます。公衆ホットスポットを利用する人は、悪意のある人物が管理するネットワークを通じて支払いデータを転送している可能性があることに気づきません。中間者攻撃は、安全でない脆弱なモバイル・バンキング・アプリケーションを介して行われることもあります。
口座乗っ取り詐欺の検知方法
アカウント乗っ取り詐欺は、詐欺師が顧客のログイン履歴に隠れ、通常のログイン動作を模倣することができるため、検知が困難な場合があります。継続的なモニタリングにより、アカウント乗っ取り詐欺の兆候を事前に検知することができます。
効果的な不正検知システムは、金融機関に取引前、取引中、取引後のユーザーの行動を完全に可視化します。最善の防御策は、銀行口座上のすべての行動を監視するシステムです。なぜなら、犯罪者はお金を盗む前に、新しい振込先を設定するなど、まず他の行動を実行する必要があるからです。口座上のすべての行動を監視することで、口座乗っ取り詐欺の可能性を示す行動パターンを特定することができます。犯罪者は口座から送金する前にこのような行動をとる必要があるため、継続的な監視を行う不正検知システムは、顧客が攻撃を受けている可能性を判断するパターンや手がかりを見つけることができます。
この種の不正検知システムは、場所などのデータに基づいてリスクを評価することもできます。例えば、ある顧客が最初に北米で口座にアクセスし、10分後に再びヨーロッパからアクセスした場合、これは明らかに不審であり、2人の異なる個人が同じ口座を使用していることを示している可能性があります。
ATO詐欺のリスクがある場合、詐欺防止システムは、口座で取引を行う人物に追加認証の要求を出します。これには、適応型認証(Adaptive Authentication)またはインテリジェント適応型認証(Intelligent Adaptive Authentication)と呼ばれるアプローチを使用することもできます。取引を許可する前に、指紋バイオメトリクスやフェイシャルスキャンなど、より高いレベルの認証を要求することで、銀行は口座乗っ取りを防ぐことができます。認証が成功すれば、取引を続行することができます。犯罪者の場合は、バイオメトリック・チャレンジを満たすことができず、詐欺攻撃を阻止することができます。
銀行が口座乗っ取り詐欺を防ぐには
一要素認証(固定パスワードなど)は、金融機関やユーザーを危険にさらします。第一の防御策は、多要素認証(MFA)を使用することです。これには、なりすましが困難な指紋スキャンや顔認証などの 生体認証が含まれます。
顧客の銀行口座をめぐる戦いには、口座乗っ取り詐欺を防ぐために、機械学習と継続的な監視、つまり取引が発生するたびに監視することも必要です。顧客がバンキング・セッションのウェブページにアクセスしたり、モバイル・バンキング・アプリを開いたりした瞬間から、継続的なモニタリングによって、顧客の通常のオンライン・ジャーニーと口座やデバイスとのやり取りを特定します。
機械学習を使用した継続的なモニタリングにより、攻撃者やボットを示す可能性のある新たな行動を特定することができます。不正防止システムが分析する典型的なデータポイントには、新しいデバイス、クッキー、ヘッダー、リファラー、ロケーションなどがあります。これらは、顧客の通常の行動と一致しない不一致がないかリアルタイムで監視することができます。
これは、二要素認証(2FA)やダイナミックリンキング(取引データ署名または取引承認としても知られる)を可能にする技術など、他の保護層とシームレスに組み合わされます。ダイナミック・リンクは、欧州の改正ペイメント・サービス指令(PSD2)の要件であり、取引金額と受取人に固有の一意の認証コードが各取引に存在することを保証します。
リアルタイムの不正検知と防止の重要性
機械学習は新たな攻撃を特定するのに非常に効果的である一方、不正行為のルールは既知の不正行為に対抗するのに適しています。機械学習によるリスクエンジンを使ってリアルタイムで不正を正確に検知できなければ、不正チームはボット活動やその他の巧妙で新たなアカウント乗っ取り不正手法に対応するのに苦労します。例えば、銀行口座、クレジットカード口座、eコマース口座、ロイヤルティ口座に関連する顧客の電子メールアドレス、電話番号、自宅住所が、銀行のシステム内で突然変更されたとします。この動きは口座乗っ取りの兆候なのでしょうか、それとも顧客が正当な理由で変更を依頼したのでしょうか?攻撃を阻止するには、できるだけ早く知ることが不可欠です。そのため、口座乗っ取り詐欺をリアルタイムで検知する機能が不可欠なのです。
攻撃シナリオは常に進化しており、ダークウェブで購入できる新しいツールも常に開発されているため、ATOは容赦がありません。そこで、不正ルールを使用する継続的な不正検知システムと組み合わせた人工知能が役立ちます。
不正防止システムの戦略的重要性
口座乗っ取り詐欺の脅威は、犯罪者が被害者の口座にアクセスするために使用できる手口の数により、常に拡大しています。このため、金融機関にとって、想定されるすべての口座乗っ取りシナリオを阻止する効率的なシステムを構築することは特に困難です。しかし、不正防止ルールと機械学習の組み合わせに依存する不正防止システムは、不正の検出、軽減、管理に優れたリアルタイムのリスク分析を提供します。