Cloudmark

フィッシング・ネットワーク

ありふれる情報が取り巻く環境の中、人々は容易にアクセスできる場所へ集まる傾向がある。 [3]. フィッシング･ネットワークは情報を効率的に提供する。その情報ルートはフィッシングの世界への関連性が明らかな名前でがついていることが多い。「クレジット･カード」などのシンプルな名前のフォーラムやチャット･ルームに参加することで、誰でも簡単に基本知識を得ることができる。

チャット･ルーム間のつながりあい

次のプロセスにより我々は実際に活動中の密接なつながりを持つフィッシング・ネットワークの実態を暴くことに成功した。

フィッシングの中核が発見されるまで、主要なInternet Relay Chat{IRC)サーバーのチャット･ルームではフィッシング・ネットワークが蜘蛛の巣のようにはりめぐられていた。「＃WAMU」というチャットルームが公開ネットワーク上で検知された。

IRCスパイダーというツールを使用し、発見されたチャンネル内のネットワークの構造を照らし出すことができる。グラフ上の各結び目は単独チャット・ルームとそのチャンネル内のユーザー数を示している。各チャンネルを結ぶ糸には2つのチャンネル間で共通のユーザー数が示されている。

チャット･ルーム･コンテンツ

あるチャット･ネットワークではサーバーごとのチャット･ルームやネームスペースが制限されているため、常に糸切れが起こってしまう。糸切れとはチャンネル間のつながりが途切れたり極めて弱まることを指す。その結果チャット・ルームは孤島化され、ユーザーは効率よくフィッシング・コミュニティー内を行きかうことができず、フィッシングの実行が困難になる。また別のチャット・ネットワークではネットワーク全体でチャンネル制限により、より厳しいネームスペース制限がかけられており、フィッシング・コミュニティー内の行き来が妨げられている。活発に活動しているパブリック･ネットワークの場合、オフィシャル・チャンネル・サービス構造があり、登録済チャット･ルーム二間しては統制が保たれている。

しかしながら、未登録のチャットルームは規制されていません。フィッシング・エコノミーの参加者が、未登録のチャットルームの権力を有し、そして試みをノード・ブレーキング時にブロックする限り、彼らはフィッシング・コミュニティーに生存可能なハブとして残ります。より小さめの周辺装置と完全に未制御のネットワークは緩く提携された詐欺グループによって使用され、支持されています。新規参入者は広域の通信チャネルを通じて最終的にそういったネットワークを見つけ出します。

パーソナル・インターコネクティビティ

このツールの改良版であるPieSpy[4]を使いユーザのアイドルタイムを継続的にモニタリングすることによって、個人のインターコネクティビティを分析することを試みました。このツールの主な前提は、個人ユーザ間のコミュニケーションの頻度を分析し、そして監視されているグループの個人とのコミュニケーションの時間差を比べることによって、個人のインターコネクティビティを推測できることです。

ボットネット

フィッシングの周辺装置としてのボットは、インターネットチャットコミュニティにおいて重要な役割を果たしています。ボットは自動化されたチャットプログラムで、自律的に一定のタスクを行うことができます。そしてチャット参加者による遠隔操作が可能です。ボットネットは、基本的に、多数のコンピュータで実行されるボットの一群です。一元的にコントロールして、集団でもしくは単独で、プログラムされたいかなるタスクをも実行することができます。ボットネットのタスクは多種多様ですが、一般的な使用方法としては、無防備なコンピュータシステムを利用して、自己伝搬的なウイルスのように攻撃する協調分散型DoS攻撃（DDoS)やチャットルームの管理のような無害なタスクです。

チャットルーム・フィッシングの違法な性質は、パブリック・サーバ上の権限とコントロールを維持する新しい方法の必要性を生み出しています。これはボットのネットワークの構築によって達成されました。インターネットチャットにおける彼らの主な役割は、未制御のチャットルームで金銭目的の権限インフラを構築することです。ボットネットは感染したコンピュータによって構成されるとは限りませんが、最も強力なボットネットは通常そうなっています。

ボットネットはフラッディングDDoSのような大規模な攻撃を組織するのにも使われます。これらのボットネットは通常、最大1万台に上る、障害の生じたゾンビコンピュータによって構成されます。この研究の間、当社が調査用に所有しているボットは、4千台のコンピュータによって構成され、フィッシングチャットルームと深く繋がっているボットネットから、2回攻撃を受けました。

インフラの堅牢性

スケールフリーネットワークはランダムな誤作動に非常に強いことが証明されています。ソーシャル・ネットワークの80%の参加者は、移動させてからコアインフラを完全に収縮させることが可能です。しかし、スケールフリーネットワークはハブ・ノードの攻撃に無防備です。ハブ・ノードは基本的に、コミュニティ内の常連参加者や重要なフォーラムであり、新規メンバーの継続的な流入を促し、周辺機器システムと接続します。成功したハブへの攻撃は、「ノード破壊大攻撃」とでも言うような事象のきっかけとなります。主要ハブへの攻撃が成功すると、連鎖反応が発生する場合があります。すなわち、連続的にチャンネル・コネクトティビティが、主要ハブ・ノードから数回程度切断される可能性があります。あるチャット・コミュニティでは、ネットワーク管理者が、生存能力のあるフィッシング・ハブの構成を見事にブロックする対策を施しています。

ハブを削除するという方法が効果を発揮する可能性はありえないと言えるかもしれません。その環境は容易に再構築できるためです。小規模で、未接続の孤島となったチャットルームは、権限を回復したときに再度接続することができます。

フィッシング・エコノミー全体に対する影響はありませんでしたが、パブリック・チャット・サーバのクラスタ(EFNET)に起きたフィッシング・インフラが一つのネットワーク上で見事に解体された例が一つあります。サーバ管理者は単に、新規メンバーに登録時、詐欺に関連する名前の使用を禁止したのです。

計画

計画の段階では、情報、例えば、ターゲットの電子メールリストや詐欺ページ・テンプレート等の収集や、フィッシング・クレデンシャルの消費者からの認識を必要とします。

ターゲットの電子メールリストや詐欺ページ・テンプレートといった詳しい情報を収集する必要があります。フィッシャーはウェブデザインのプロである必要はなく、その代わり、すでにデザインされた、もしくは使用済みの詐欺ページを入手することができます。詐欺ページや電子メール・テンプレートは、コミュニティ内で広く普及しています。もし、より高度なテンプレートが望ましい場合は、周知の詐欺関連フォーラムで有能なウェブデザイナーを雇うことができます。

Rootsとして知られる、感染したコンピュータの売買は盛んに行われています。コンピュータは、ネットワーク・ソフトウェアのセキュリティホールを通じて、様々なバグやトロイの木馬で簡単に感染されます。セキュリティ・コミュニティは、簡単にバグの再現ができますが、これを利用して無防備のコンピュータにアクセスできます。よって、感染したホストはいつでも供給されることになります。フィッシャーはどうやってホストを危険にさらすかというテクニカルな知識を必要としません。その代わり、ハッカーからすでに感染したホストを購入することができます。

セットアップ

次のステップでは、詐欺ページの典型的なインフラが、フィッシング攻撃を受けたと見なされているホストに存在していることを確認します。

匿名電子メールアドレス、もしくはチャットルームにクレデンシャルが送信されるプロセスをマッピングします。

このステップでは最低限のテクニカル知識を要します。具体的には、ウェブサイトコンテンツをアップロードするのと同様なことと、通称「eggdrop」の設定、そして簡単なメールスクリプトの設定です。Eggdropボットはスクリプト可能な自動化されたプログラムで、チャットルームと接続し、そこにユーザーを配して遠隔操作し、命令を出します。これは、ボットネット（複数のチャットルーム・ボットを一元的に制御できるようクラスタ化したもの）の基本的な単位でもあります。詐欺ページマシンからクレデンシャルを取得するために使われるEggdropボットは、収集した情報をチャットルームに情報をリレーしたり、その情報を要求に応じて特定のユーザに送信するようプログラムされている場合があります。

攻撃

電子メールの大量送信を扱うプログラムは多く作成されています。大量にメールを生成する業務用機器もあります。上記のステップでも述べたように、フィッシャーは電子メールを一斉送信するのに専門的な知識を必要としません。適切なツールを入手するだけでいいのです。

電子メールを送信するプライマリー・プロトコル、SMTPには本質的に必須の認証設備が欠けています。同時期に設計されたほとんどのプロトコルも同様です。HACK FAQを含む多くのチュートリアルには、偽造した電子メールをTelnetプログラムを通して送信する方法が簡単に説明されています。この問題に対応するいくつかの認証計画は存在しますが、送信者認証は普遍的に配置されてはいません。Sender Policy Framework (SPF) は送信者確認問題の一面を処理することを試みました。

HTMLの基礎的な知識によってフィッシャーは、銀行機関からの有効な電子メールの書式、スタイル、外観をコピーすることができます。

収集

フィッシングされたクレデンシャルの収集は通常匿名で行われます。たとえば、詐欺ページ・ホスティング・マシンのプロセスは、フィッシングしたクレデンシャルを定期的に匿名のウェブもしくは電子メールアカウントに送信します。これらのアカウントはプロキシサーバ経由でアクセスされるか、eggdropチャットボットによってチャットルームに送信されます。ウェブサーバにある可読形式のディレクトリにクレデンシャルが置かれ、新たに集められたクレデンシャルを直接ブラウザ指定の適切なディレクトからダウンロードするという可能性もあります。

キャッシング

通常これはフィッシャーの最後の段階となります。この時点になると、フィッシャーはクレデンシャル製品のサプライヤーとなります。クレデンシャル消費者は限られています。金融機関クレデンシャルの消費者はキャッシャーと呼ばれます。キャッシャーの主な役割はフィッシングされたクレデンシャルを入手し、対応するアカウントから直接通貨を受け取ることです。フィッシングとキャッシングは別物で、通常別々な役割を果たします。

フィッシング・マーケットプレス

フィッシング・マーケットプレスは緩く結合されたフォーラムのグループで、参加者は製品やサービス、金銭のやり取りができます。主要製品はクレデンシャルです。クレデンシャルは詳細さによって価格がつけられます。最近では、各金融機関が設置している様々な詐欺対策のため、キャッシャーがクレデンシャルから金銭的価値を抜き出すことが難しくなっています。

当社は、フィッシング・エコノミーで使用される広告を集め、さまざなクレデンシャルの評価を実行し、いくつかの特定の銀行への関連需要に注目していました。その結果、クレデンシャル評価を左右する特徴に対する洞察をいくつか得ました。ATMカードのコード化のセキュリティ強化を始めとする、銀行機関が取った予防的措置などにより、一定の機関への需要は大きく減りました。

キャッシャーとクレデンシャル売買

キャッシャーは、消費者からクレデンシャルを得る役目をしないことがよくありますが、その代わり、様々な製品とサービスを物々交換したり、引き出した現金からコミッションを得るなどしてクレデンシャルを一括買いします。

アカウント毎の買取値は、サプライヤーが選択したクレジット・カード・サンプルのUS$0.50から、高額残高、検証済みの全額US$100まで様々です。検証済みの全額にはカード所有者の全情報、銀行番号、銀行支店コード、クレジット・カード番号、有効期限、cvv2コード（これはクレジット・カードの背面もしくは、クレジット・カード番号の後ろにある3桁の番号）、当座勘定残高そしてATMパスワードによって構成されます。キャッシャーへのコミッションは引き出し額の70%にも上ります。コミッションを伴う引き出しは、一般的にWestern Unionを通じてクレデンシャル・サプライヤーへ送金されます。Western Unionが選ばれる理由はその国際での地位と受け取り側の匿名性にあります。

典型的なキャッシャーの広告をいくつか紹介します。

<SuperCash | #cctradez> I can cashout Washington Mutual , Key bank , Money access , HouselHold, CitizensBank, Mellon Bank, Sky Bank, BankNorth , Zip Network , Commerce Bank, PNC bank (443071) , Regions Bank , Banknorth , Bank One (478200), Capital One (517805 , 529149, 493422, 412174) PEOPLE\'S BANK , Bank Of America (440893 , 549105, 550535), The Hungtington National Bank , JAPAN , MBNA (549035, 426429, 549198), Republic Bank
<ebayinfos | #WAMU> I can cashout all wamu bins, PNC, TCF, Citibank South Dakota, MBNA, Summit Visa Sweden Banknorth, Canadian Imperial Bank VSB In- ternational B.V, M& I BANK OF SOUTHERN WISCONSIN, and more bins....... your share is 60%.

ここでは、ユーザであるSuperCashはチャットルーム#cctradezのメンバーです。多数の銀行からキャッシングできるとここで宣伝しています。さらに、一定の銀行にあるアカウントのサブセットからしか引き出しできません。上記の広告にあるように、いくつかの銀行名の後ろにBINが付いています。BINは銀行識別番号で、銀行機関の口座番号と関連します。いくつかの大手銀行は多くのBINを持っています。キャッシャーはBINを宣伝することによって、潜在的なクレデンシャルの売り手に、これらのBINと関連する口座からしか引き出しできないことを教えています。一定のBINからだけ引き出しができる理由の一つとして、銀行は時々地域と関連するBINを所持し、各地域がそれぞれ違うトラッキング方法を使用していることが挙げられます。もう一つの理由は、コード化されたトラッキング方法を使用している銀行もありますが、各BINにそれぞれ違う暗号キーが関連されていて、ごくわずかな暗号キーしか解読されていないことです。

クレデンシャルの需要と供給

案の定、特定の金融機関へのフィッシング報告とキャッシャー広告はべき乗分布に従っています。しかし、最大手の機関が必ずしも最大の標的とされ、報告されているわけではありません。当報告のレートデータはFraud Watch Internationalが収集したものです。

特定の機関が標的とされるのはただ単に、その機関の消費者情報への需要が原因という場合があります。フィッシングされた消費者クレデンシャルの情報は様々なチャットルームやウェブフォーラムから収集されます。フィッシングされた消費者クレデンシャルによる広告を基に、特定の金融機関クレデンシャルへの需要性を示すグラフを作成しました。クレデンシャル需要とフィッシング報告にいくつかの共通点が見られます。

トラッキングとクレデンシャルの需要

特定のクレデンシャルを引き出す難易度は様々です。銀行クレデンシャルでは、困難度は高いものの好まれる方法はATM詐欺です。ATM詐欺では、キャッシャーが銀行情報をATMカードにエンコードし（トラッキング）そして、一日の引出し上限高を引き出します。トラッキングをする上で、主な困難な点は、銀行のデータをATMカードにエンコードすることです。銀行の磁気ストリップカードに情報をエンコードするのに好まれるハードウェアがMSR-206です。キャッシャーによって好まれているMSR-206ハードウェアは入手は簡単ですが、各銀行は特定のエンコーディング・アルゴリズムを使ってクレデンシャルをエンコードデータに翻訳してATMカードに書き込みます。トラッキングアルゴリズムには、有効期限とcvv2コードに一定した数値を付加し、それをチェックカードの最後の番号につなげたという簡単なものもあれば、情報をシークレット・キーとともに暗号化し、さらにはそれをカードにエンコードするという複雑なものもあります。

Washington MutualやKey Bankそしてその他いろいろな機関がフィッシャーのトップリストに入っているのは当然と言えます。これらの金融機関のトラッキング・アルゴリズムは簡単にフィッシング・コミュニティ内で入手できます。一方、Bank of Americaのような大手銀行がフィッシャーのレーダーにほとんど探知されずにいるのは、彼らのエンコーディング・アルゴリズムの入手と解読が非常に困難だからです。フィッシャーの話によれば、Bank of Americaのエンコーディング・アルゴリズムはTriple-DESという強力な暗号化アルゴリズムをベースにしている可能性があるということです。

どの金融機関がフィッシング詐欺の標的となるかの確率は、フィッシャーの供給能力よりも、特定の金融機関と消費者クレデンシャルへのキャッシャーからの需要のプレッシャーによって影響されます。同じように、クレデンシャルの需要はキャッシャーの特定の金融機関での引き出し能力によって生まれます。よって、フィッシング・エコノミーでは、需要は標的となる機関が使うトラッキング・セキュリティ、もしくはクレデンシャル・エンコーディング・アルゴリズムと直接関係しています。