Tenable ブログ
ブログ通知を受信する暗号通貨詐欺: 政治家や著名人のフォロワーになりすました偽の無料配布ツイート(英語)
President, Tesla CEO and other notable figures, impersonating followers and using photoshopped tweets to promote fake cryptocurrency giveaways.
2020年の初頭から、詐欺師はフォロワー数の多い Twitter アカウントのツイートへの関心の高さを利用して、フォロワーを騙し、暗号通貨の無料配布に参加させることを企んでいます。
The crypto scam level on Twitter is reaching new levels. This is not cool.
— Elon Musk (@elonmusk) February 1, 2020
古典的なオンライン詐欺の新しい手口
Since 2018, a variety of cryptocurrency scams have circulated on Twitter impersonating cryptocurrency figures as well as Elon Musk and President Trump, two of the most popular personalities in these impersonations.
画像出典: BuzzFeedNews
トランプ大統領の Twitter フォロワーのなりすまし
暗号通貨詐欺師の最新手段は、トランプ大統領のツイートに頻繁に返信する主張の強い Twitter ユーザーになりすます手口です。
One of the earliest instances of this tactic was seen on January 2. Scammers used an impersonation account of Ryan Hill, a vocal Twitter user who regularly responds to President Trump. 詐欺師はトランプ大統領にあてたヒル氏のツイートに返信しました。ツイートには「あと、この件について。ありがとう、イーロン」という文言と、イーロン・マスク氏のフォトショップで加工した偽ツイートの画像が含まれていました。フォトショップで加工したこのマスク氏のツイートは、テスラが「暗号通貨パーティー」を開催し、そのパーティーで2大暗号通貨であるビットコインとイーサリアムを無料配布するというものでした。それには「暗号通貨パーティー」の詳細が記載された Web サイトへのリンクが貼られていました。フォトショップで加工したこのツイートには、無料配布は本物だという、ユーザーからの偽の返信も含まれています。
様々ななりすまし
トランプ大統領のツイートには主張の強い Twitter ユーザーの様々ななりすましが現れます。そして、これらのなりすまし犯は大抵、大統領のツイートではなく、なりすましている人に直接返信する形を取ります。
社会的証明を偽造し正当に見せかける
なりすましアカウントの存在をサポートし正当感を演出するために、詐欺師は他のアカウントを利用して社会的証明を偽造します。
なりすましアカウントのツイートは、多くの場合最大で数百件のリツイートや「いいね」が付けられています。
当然ながら、これらのリツイートや「いいね」は偽造されたもののようです。
これらのツイートに付けられた「いいね」を見てみると、いくつかのことが分かります。これらのアカウントの一部には、プロフィール写真が使用されていません。これは通常、新規または非アクティブなユーザーアカウントか、プロフィール写真を公開しないことを選択をしたユーザーアカウントであることを示しています。表示名はロシア語のように見えます。
いくつかのアカウントを見てみると、極めて少ない活動しか行っていないことが分かります。これらは放棄された Twitter アカウントで、アンダーグラウンドフォーラムで売買されたものである、あるいは、パスワード設定の弱いアカウントが詐欺師に利用されてしまっている可能性があります。
これらのアカウントに関連する「いいね」を掘り下げると、主に偽の無料配布に関連するアカウントに「いいね」を付けたり、リツイートしたりするのに使用されていることが確認できます。
詐欺師は「いいね」やリツイートすること以外に、偽の無料配布ツイートに返信して、それらが正当なものだと主張することにも、これらのアカウントを使用しています。
これらのツイートもまた、社会的証明を偽造するために、数百件の「いいね」が付けられたりリツイートされたりしてます。
認証済みアカウントの乗っ取り
私は詐欺師が認証済みアカウントを乗っ取り、詐欺ツイートを支援するためにこれを使用する事案を何件か目にしています。
実例として、カナダ人ラジオ・テレビパーソナリティーのジョージ―・ダイ氏の例が挙げられます。同氏のアカウントは詐欺師に乗っ取られ、無料配布が「公式なイベント」だとツイートするのに利用されました。
Recently, scammers used the Twitter account of The Florida Times-Union reporter Ann Friedman in the same way as Dye’s account to claim the giveaway was an “official event,” adding she “can confirm it.”
明らかに、これらの認証済みアカウントから発信された無料配布を支持するツイートは、どちらも本物ではありません。しかし認証済みバッジがあることで、詐欺被害者は無料配布が本物だと信じてしまいます。
Historically, when scammers compromised verified Twitter accounts, they used them to pivot to impersonate Musk because the verified badge creates more of a sense of legitimacy. では、なぜ詐欺師は認証済みアカウントを直接的に利用してイーロン・マスク氏やトランプ大統領になりすまさないのでしょうか。認証済みアカウントでプロファイル写真やユーザーネームがマスク氏などの著名人に突然変更された場合に、Twitter はそれを検出する何らかのメカニズムを実装したのではないかと、私は推測しています。したがって、詐欺師はこれらのアカウントへのアクセス権限を維持するために、代わりに社会的証明を偽造するのに利用することを選択しているのです。
マスクからトランプへの転向
詐欺師にとってマスク氏は暗号通貨を盗むのに非常に有効な人物であることが証明されていますが、最近はマスク氏からトランプ大統領に転向し、実験を重ねています。
大統領のツイートに頻繁に返信する Twitter ユーザーであるジェフ・ティドリッチ氏になりすましたツイートを発見しました。ティドリッチ氏のなりすましは、ツイートの中で「ドナルドに神の祝福を」とつぶやき、大統領からのものと思われるフォトショップで加工したツイートを添付していました。このツイートの興味深い点は、ツイートの一部分のみがフォトショップで加工されていたことです。President Trump actually tweeted about Bitcoin and cryptocurrencies back in July 2019.
I am not a fan of Bitcoin and other Cryptocurrencies, which are not money, and whose value is highly volatile and based on thin air. Unregulated Crypto Assets can facilitate unlawful behavior, including drug trade and other illegal activity....
— Donald J. Trump (@realDonaldTrump) July 12, 2019
詐欺師は明らかにこのツイートを再利用し、修正を加えて、トランプ大統領が「cryptolover」と呼ばれるフォロワーに向けて暗号通貨の無料配布を始めたように見せ掛けました。捏造されたツイートには新たに登録されたドメイン donaldcrypto[.]com へのリンクが含まれていました。
その他の人物のなりすまし
こういったなりすまし事案に加えて、これまでにトランプ大統領に関係のある政治評論家や政治家になりすましたツイートもありました。たとえば、政治評論家のマリア・バルティロモ氏になりすまし、彼女のトランプ大統領へのインタビューに関するツイートに返信する形で、マスク氏の「暗号通貨パーティー」と題する無料配布イベントを支持しました。
さらに、詐欺師は、共和党全国委員のロナ・マクダニエル委員長になりすまし、バルティロモ氏のなりすまし犯が使用したフォトショップで加工したツイートを宣伝しました。
他の政治家への返信
これらの暗号通貨詐欺ツイートはトランプ大統領への返信内で多く見られますが、バラク・オバマ前大統領、国会議員、政治評論家など、他の政治家に向けられたツイートも目にしています。
バラク・オバマ大統領
Rep. Jim Jordan
Entrepreneur and Political Activist Kim Dotcom
政治評論家ジョン・ソロモン
上の例からも分かるように、なりすまし犯のすべてがなりすましている人に対して直接返信するわけではありません。これが意図的なものなのか、プロセス上のバグなのかは不明です。
追加的観測結果
すべてのツイートで同じテンプレートが使用されるわけではありません。例として、あるツイートは、本物のツイートのスタイルとは一致しない画像やテキストを使用していました。以下の例では、フォトショップで加工した画像が Twitter のデザイン美学と一致せず、ずいぶんと手抜きに見えます。急いで完成した可能性があります。
場合によっては、なりすましアカウントが返信時にはなりすましをしていないこともあります。以下の例では「Emre」というアカウントがジェフ・ティドリッチ氏に返信していますが、なりすますためにティドリッチの名前とアバターを修正していないように見えます。
他の事案では、詐欺師が意図しているかどうかは不明ですが、自分のツイートに返信しています。これは、これらのツイートを特定して返信するために使用している自動化ソフトウェアの誤設定によるものと見受けられます。
最後の例は、詐欺師が偽造した社会的証明を利用してこれらのツイートを支援しようとしますが、文言をアップデートし忘れているケースです。
上記の例では、いくつかのツイートでテスラの広報やマスク氏を参照しているにも関わらず、トランプ大統領のフォトショップで加工した画像が使用されています。最後のツイートのみがトランプ大統領に言及しています。(“Pretty neat.This is official event from Trump.” (素晴らしい。これはトランプの公式イベントだ。)
途切れないイタチごっこ
2018年に登場して以来、詐欺師はアカウントの検出や削除を逃れる試みを続けており、Twitter と暗号通貨詐欺師との間で終わりの見えないイタチごっこが繰り広げられています。その結果、詐欺師は様々な方法で手口の修正を続けています。
初期の手口は著名人に直接的になりすますことを意図していました。なりすまし犯のツイートにはビットコインやイーサリアムのアドレスが含まれていました。Twitter によってアカウントが削除されないようにするために、詐欺師はツイートをスレッド化するという形を取り始めました。最初のツイートで偽の無料配布について言及すると、2番目のツイートでは外部の Web サイトへのリンクをユーザーに紹介します。この時、ビットコインやイーサリアムといった暗号通貨への直接的なアドレスは記載されません。最終的には、ツイートに直接リンクを貼る方法から転向し、URL を含んだ画像で表示するようになりました。最近ではその方法も切り替わり、上述のプロセス全体を回避し、偽の無料配布ページの URL を含む著名人のツイートをフォトショップで作成するようになりました。
暗号通貨詐欺の偽 Medium ページ
詐欺師は外部の Web サイトに、人気のあるパブリッシング・プラットフォームである Medium からテンプレートを盗用し、マスク氏やトランプ大統領のいわゆる「公式」無料配布イベントのプロモーションに使用しました。
詐欺師は偽の「コメント」セクションまで作成し、無料配布イベントでイーサリアムを受け取ったと証言するユーザーのコメントを投稿しました。
同じテンプレートが donaldcrypto.com という Web サイトでも使用されました。この事案では、詐欺師はトランプ大統領の Twitter アカウントを指すリンクを更新し忘れていたので、リンクはマスク氏のアカウントを指したままになっていました。
アドレスを検証し、暗号通貨を倍にする?
主な策略は、ユーザーの暗号通貨を倍にするという申し出です。ユーザーは0.1から10ビットコインまたはイーサリアムを送金すれば、その倍の0.2から20ビットコインまたはイーサリアムを返金すると誘われます。This is akin to the premise of “flipping,” which I talked about in my Cash App Friday scam blog series. The general concept is the same: You send money to “verify” yourself (or your cryptocurrency wallet address) and, in return, you receive more money than you sent. この事案では、暗号通貨は2倍になるとされています。
ご存知の通り、無料配布などというものはあり得ません。暗号通貨が2倍になるなどという申し出は、詐欺師がユーザーの暗号通貨を盗み取る手口に過ぎないのです。
暗号通貨詐欺の影響
暗号通貨アドレスの回転や、詐欺師が自身に暗号通貨を送金して取引を偽装する可能性などに基づく、これらの詐欺の真の影響を測定することは困難です。However, a recent Reddit thread shed light on a real example of a cryptocurrency enthusiast losing their cryptocurrency in one of these scams.
このスレッドによると、あるユーザーはイーロン・マスク氏のフォトショップで加工したツイートを偶然見つけたということです。The user said they “frantically rushed” to send 0.4 Bitcoin, which was worth $3,000 at the time of the transaction, to the address. そのユーザーは「ちょっと調べれば、明らかに自分が詐欺にあったことはすぐに分かった」と認めています。残念ながら、このような報告されていない事案は他にも数多くあると考えられます。
しつこい暗号通貨詐欺に抵抗
前述の例から明らかになったように、たとえ高額の暗号通貨を得られないとしても、詐欺師が Twitter や他のプラットフォームでこのような陰謀を追求する誘因は十分にあります。ですから、こういった詐欺師をすぐに排除できるとは期待しない方がよいでしょう。彼らは単に、Twitter の Trust & Safety 協議会とのイタチごっこに付き合っているに過ぎないのです。
Twitter ユーザーは、詐欺の惨禍と闘うために、詐欺師の偽装アカウントを Twitter 内蔵の報告ツールを使用して Twitter に報告することができます。
こういったアカウントを報告するための、いくつかのオプションを紹介します。
疑わしいまたはスパムとして報告する
[疑わしいまたはスパム] オプションから、これらの詐欺アカウントに「潜在的に有害、悪意のある、またはフィッシングサイトへのリンクを共有している」というフラグを立てることができます。リンクを含むフォトショップで加工したツイートを宣伝しているので、これは最適なオプションです。
なりすましとして報告する
もう一つのオプションは、アカウントをなりすましとして報告することです。[自分または他人になりすましている] オプションに移動し、他人になりすましていることを指定します。なりすまし対象アカウントのユーザーネームも提供すると役立ちます。上の事案では、詐欺師は @mmpadellan になりすましています。その事情を追加しておくと、Twitter 側のレビューの際に役立ちます。
マスク氏は人々がどのように対応したらよいか質問された際に、「見つけ次第速やかに」報告して欲しい、と回答しています。
見つけ次第速やかに報告してください。Troll/bot networks on Twitter are a *dire* problem for adversely affecting public discourse & ripping people off. これらのよるシステムの悪用を目立たないようにするだけでも、大きな改善につながるでしょう。
— Elon Musk (@elonmusk) February 1, 2020
イタチごっこを終わらせる解決の糸口は Twitter コミュニティにあります。このプラットフォームから詐欺師を排除できるかどうかは、Twitter ユーザーの協力次第です。詐欺師はお金を稼げる限り、繰り返し繰り返し新しい手口を探し求めてこの詐欺を続けるからです。