現在、韓国国内ではコイン投資ルームやロマンススキャムなど、様々なコイン関連のスミッシングが拡散しており、主に偽装製作されたフィッシングサイト、または不正なアプリを利用して個人情報の流出、金銭の損失、コインの奪取など、様々な形で被害が発生している。
AhnLab モバイル分析チームは、「イーサリアムのバーン」を名目に配布されたスミッシングを通じて実際の配布者がどのようなシナリオで被害者から金銭を奪取するかについてアプローチし、これに関する解析内容を紹介する。
本文のスミッシングキャンペーンは、[図1]のように被害者が覚えていない過去のイベントを通じてイーサリアムコインを採掘しており、当該資産を復元するためにはメッセージ内に含まれたリアルタイム相談リンクをクリックするよう誘導する。
[図1. イーサリアムコインのバーンに関するスミッシング]
リンクをクリックすると、[図2]のように NAVER が提供する「ネイバートークトークサービス」に接続する。メッセンジャーにおいて配布者は「DUAL-COIN」という名前を騙っており、これは実際には存在しない企業である。
[図2. ネイバートークトークで運用されているスキャム企業担当者]
詐欺師に接触するため嘘の個人情報を伝えたにもかかわらず、身元照会が完了した旨を被害者に伝える。このことから、詐欺師はターゲットに選定した被害者の個人情報は所有していないものと推定される。
以後、スミッシングメッセージの内容の通り、特定個数のイーサリアム採掘記録があると被害者に伝える。
[図3. コインのバーンに関する内容]
続いて、所有するイーサリアムがバーンされる予定であり、バーンをキャンセルするにはフィッシングサイトのコインウォレットリンクに加入するよう指示する。
このリンクは「DUAL-COIN」のフィッシングサイトであり、会員登録の際に詐欺師が提供する紹介者コードを入力することで登録ができる。([図4]参照)。
[図4. DUAL-COIN のフィッシングサイトおよび会員登録ページ]
詐欺師が提供する紹介者コードで会員登録を行ったあと、ID を教えると[図5]のように、当該アカウントにイーサリアム58個が表示されていることを確認できる。
[図5. フィッシングサイト内のイーサリアム58個]
その後、連動したイーサリアムは現在もバーン予定の状態にあり、バーンをキャンセルするにはバーンキャンセル担当者の案内に従う必要があるとキャンセル担当者の LINE ID を教えてくる([図6]参照)。
[図6. コインのバーンキャンセル担当者への引き継ぎ]
引き継がれた LINE の担当者は、[図7]のようにコインのバーンのキャンセルを希望する人々を集めて一括処理を行うと言い、詐欺師と被害者を除く3人を追加してグループチャットルームを作成する。追加した3人は再度接触した際も同じ人物であることから、これらはすべて詐欺師の協力者であるものと推定される。
イーサリアムのバーンのキャンセルを希望する場合、現在のイーサリアム相場の0.25%にあたる手数料を要求し、58個の場合約48万ウォンが必要であると説明する。
[図7. コインのバーンのキャンセル手数料案内と仕掛けの参加者]
すべての案内手続きが完了すると、[図8]のようにフィッシングサイトが提供する口座へ手数料を入金するよう指示する。この金額を入金してしまうと、お金は返金されないだけでなく、会員登録時に提供した個人情報も流出するおそれがある。
[図8.フィッシングサイト内の入金口座]
上記で紹介したスミッシングキャンペーンは、今年初めから現在に至るまで行われており、ユーザーはこれらのスミッシングキャンペーンの事例を認知した上で、証明済みの正式なサイトを使用して暗号通貨関連の情報を再確認するなど、特に注意が必要である。