Visaがトークンブリッジのダークサイドを暴露 ― 知っておくべきこと

世界最大級の決済 処理会社を発表した 報告書 。この報告書によると、攻撃者は特に取引認証の分野において、新たな技術や手法を用いて不正行為を行っていることが明らかになった。

この報告書はまた、暗号通貨コミュニティにとって大きな懸念となっている、トークンブリッジの盗難に対する脆弱性についても強調している。.

Visaの調査結果

消費者市場における最大の脅威の一つは、ソーシャルエンジニアリングを悪用してカードデータを入手したり、アカウントを乗っ取ったりすることです。多くの場合、脅威アクターはカード所有者の銀行の従業員を装い、機密情報を要求します。.

これらのスキームにより、多くの場合、ワンタイム パスワード (OTP)、トークン化された 1 回限りの PAN、または銀行のログインdent情報 (ユーザー名/パスワード) などの機密性の高いユーザー アカウント データが侵害されることになります。.

脅威アクターは、多要素認証（MFA）の回避を容易にするカスタムフィッシングキットも使用します。これらのフィッシングキットはリバースプロキシを利用し、詐欺師が正規の消費者と正規のウェブサイトの間で中間者（MiTM）として行動することを可能にします。.

このアプローチは、消費者に対して正当なウェブサイトを提示し、目に見えない仲介者として機能するため、消費者の疑念を軽減します。.

その後、攻撃者は、OTP、ユーザー名、パスワード、セッション Cookie など、消費者が Web サイトに入力したあらゆる情報を収集できます。.

脅威アクターがトークンブリッジを悪用して数百万ドルを盗む

Visaのレポートによると、2022年にはトークンブリッジが窃盗犯の好むターゲットになっているという。レポートでdent、カード所有者からOTPを取得するために使用されるソーシャルエンジニアリング、広告詐欺、ボット、フィッシングキット、顧客の連絡先情報にアクセスして変更するための発行者を標的としたマルウェア、トークン詐欺を実行するためのソーシャルエンジニアリングの使用などの手法が特定されている。.

このレポートでは、2022 年 3 月下旬に発生したdent についても取り上げています。このインシデントでは、dentのマルウェア亜種を使用してユーザーのエンドポイントを感染させた脅威アクターが組織を攻撃しました。.

最終的に、攻撃者は被害者の環境内で水平移動し、モバイル バンキング アプリケーション ポータルの管理ユーザーのdent情報を侵害しました。.

このアクセスは、特定の顧客の連絡先情報を編集し、顧客アカウントの制限を引き上げるために使用されました。変更された情報にはモバイルデバイスの番号が含まれており、これにより、脅威アクターはワンタイムパスワード（OTP）を新しいモバイルデバイスに送信することで、OTP認証を回避できました。.

犯人は、アカウント制限の引き上げと顧客情報の変更を利用し、短期間で不正な資金移動を通じて不正アクセスで収益を得ました。.

同様の戦術、手法、手順 (TTP) は、被害者の発行者ネットワークにマルウェアを展開し、カード所有者のデータ環境にアクセスし、選択した数の支払いアカウントの制限を増やすことによって、ATM cashアウト攻撃を実行するために攻撃者によって頻繁に使用されます。.

これらの口座は、ミュールネットワークによってATMから多額の cash を引き出すために利用されます。さらに、脅威アクターは同様の手法を用いて顧客口座を乗っ取り、連絡先情報を変更することで、取引中のOTP認証を回避します。.

脅威の主体はますます洗練された手法を使って詐欺行為を働いており、トークン ブリッジの脆弱性は暗号通貨コミュニティにとって大きな懸念事項となっています。.