日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
サイバー犯罪者は、より高度なカードを使用して新たな被害者を狙う
アシュ・ハール・クライシ、エイミー・コラル、ライアン・ビアード著
2023年4月25日 / 午前7時31分 / CBSニュース
マイケル・ペレス氏は、サイバー犯罪者になるつもりはまったくありませんでした。
1980 年代、パーソナル コンピューターが全国の家庭に普及し始めた頃、ペレスはおもちゃよりもテクノロジーをいじることの方がずっと楽しいと感じていた少年でした。 彼は 12 歳になるまでに自分でコンピューターを組み立てていました。
「叔父が部品を持ってきて買ってきて、作り始めたんです」とマイアミ出身の彼は語った。 「私は昔からコンピューターが大好きでした。プログラミングに魅了されてはきましたが、実際にプログラミングを勉強したり学習したりする時間がありませんでした。」
しかし、ヒスパニック系が大半を占める貧しい地域で育ったペレスさんは、時折電子機器や携帯電話の修理の仕事をする以外に、経済的な機会がほとんど見つからなかったという。
「微細はんだ付けをしたり、基板上のコンポーネントを固定したりしていました。そして、これらのことをやり始める段階に達しましたが、当時は利益が出ていませんでした」とペレス氏は語った。
そのとき、近所の友人がカードスキマーを作り、それを全国のガソリンスタンドに設置してお金を稼ぐというアイデアを紹介してくれたと彼は語った。
「なんとか組み立てて、2日ほどで使えるスキマーが完成しました。」
南フロリダの法執行機関は、こうした犯罪者を「機械仕掛け人」と呼んでいる。
ペレス氏は、Google ストリートビューを使用して、ターゲットとする最も簡単なガソリンポンプを見つけたと言います。
「どこにズームインして、顔がどのように見えるか、ドアがどのように見えるか、ガソリンポンプのモデルが何であるかを確認します」と彼は言いました。 「ユニバーサルキーを使ってガソリンスタンドのポンプにアクセスし、それを開けました。そして中にリーダーを取り出し、改造したリーダーを入れました。」
ペレス氏は、スキミング装置のそれぞれが 750 ~ 1,000 個のカード番号を収集して保管できると述べました。 その後、ポンプに近づき、Bluetooth 経由で情報を抽出しました。 3日間のスキミングで最大3万ドルを盗むことができた。
FBI によると、スキミングにより金融機関と米国の消費者は毎年 10 億ドル以上の損失を被っています。
データ分析会社 FICO は、毎月 20 億件以上の金融取引を監視し、スキミングなどの異常な支出行動を探しています。 収集したデータによると、昨年は侵害されたカードの数が前年比で 368% 増加しました。
「パンデミックの影響でスキミング活動が急増していると思います」とFICO製品管理担当バイスプレジデントのTJ・ホーラン氏は語った。 「パンデミックの間、POS取引は大幅に減少しました。私たちの多くは家にいて、通常のようなことをしていませんでした。そして、突然大幅な増加が見られました。もう1つは、詐欺師は常に弱点を探し、チャンスを狙っているのです。」
そしてそれは挑戦でもありました。 専門家らは、セキュリティーやテクノロジーが新たに進歩したにもかかわらず、詐欺師たちは法執行機関や銀行よりも一歩先を行くという良い仕事をしていると述べている。
「それらは常に進化している。法執行機関は常にそれに追いつく方法を見つけようとしている」と米国秘密情報局マイアミ現地事務所の特別捜査官補チャールズ・レオパード氏は語った。
この大規模な研究室では、技術者たちが、偽造通貨からメールフィッシング詐欺、あらゆる種類の住宅ローンやローン詐欺に至るまで、米国の経済インフラに影響を与える調査に取り組んでいます。 それに加えて、クレジット カード詐欺やスキミングなどのアクセス デバイス詐欺も調査します。
「この研究所は、押収されたものや連邦政府の一部である、大量の凶悪犯罪、殺人、その他検査が必要な電子機器を受け入れているため、特にこの研究所はこの地域の自治体や州、地方機関にとって非常に有益です」 、州または地方の犯罪だ」とレオパード氏は語った。
毎年、フルタイム 50 名とパートタイム 75 名のコンピュータ フォレンジック技術者が約 5,000 件の検査を実施し、1 ペタバイトを超えるデータ量を処理しています。 しかし、これらのリソースとコンピューティング能力があっても、詐欺師は最新のセキュリティ対策を阻止するために常に新しい方法を使用していると Leopard 氏は言います。
Leopard 氏によると、スキミングが存在する 25 年間で、デバイスは 1990 年代後半にレストランの給仕スタッフが使用していた携帯用カード リーダーから、ATM オーバーレイや、カード リーダーの上に滑り込む POS パネルへと進化しました。 近年、彼らはカードリーダーのすぐ上にある小さな隠しカメラを発見し始めました。
「このプラスチック片には小さなピンホールがあり、通常はこのようにATM機に置かれ、キーパッドを捕捉します。そこで、彼らはこれらのオーバーレイスキマーの1つを使用し、次にカメラを挿入してピンを取得しました。 。」
「犯罪者が情報を入手する方法が進化しただけだ」と彼は言う。
それらは、彼が深挿入スキマーと呼ぶものにさえ移行しており、非常に薄いため検出されずにリーダーに直接滑り込むことができるデバイスであり、プロの技術者でも取り外しが困難であり、法執行機関が追いつくのはさらに困難になっています。
「法執行機関とそのパートナーは、ATMやPOS端末、販売業者に見られる脆弱性の一部を阻止するだろう」とLeopard氏は述べた。 「そして数か月も経つと、すべてが静かになります。その後、サイバー犯罪者が回避方法を見つけるでしょう。そして、私たちがそれを止めるまで、新たなスパイクが発生するでしょう。したがって、常にいたちごっこです。それを防ぐ方法を見つけてください。」
2022 年半ば以来、スキミング窃盗犯は特に弱い立場にあるグループ、つまり食糧不安に照準を合わせる訓練を続けています。
ここ数カ月間、連邦補足栄養支援(SNAP)に依存している何千人ものアメリカ人が、口座から資金を盗まれている。
ボストンの大学生、ソン・ヒ・リーさんは、「食料品の購入を助けるために、毎月政府から一定のお金がもらえるんです」と語る。彼女は週に30時間働き、フルタイムで学校に通い、家計をやりくりするのに苦労しているという。 。
彼女は毎月食料品を買い込むために食料品店に行きますが、最近の旅行の際、電子特典 (EBT) カードがリロードされたわずか 1 日後に、アカウント残高がほぼ完全になくなっていることに気づきました。 残りは40セントだけでした。
「食料品店でこれらすべてに対応しようとしていたときに、電話でのカスタマーサービスからそのことを知りました。私のお金は数日前、ちょうどお金が入ってきた直後にすべて使われてしまいました」とリーさんは語った。
リーさんは、何者かが彼女のカード番号を使用して、千マイル近く離れたイリノイ州のサムズクラブ店で買い物をしたことを発見した。
リーさんはサムズクラブで買い物をしたことがない。
「サムズクラブの会員権を買う余裕はない」と彼女は言った。
「カードは常に私の所有物であり、私は自分の情報を決して漏らしたことはありません」と彼女は言いました。 「したがって、これが起こった唯一の方法は、私がランダムなコンビニエンスストアでそれを使用したときに、誰かがそれを直接盗んだことです。そして、私の情報が販売され、スキミングされた可能性があります。」
連邦SNAPプログラムを監督する米国農務省は電子メールでCBSニュースに対し、今年以前はカードスキミングやカードクローン作成、その他同様の不正手段による給付金盗難の報告を追跡するという連邦政府の義務は各州に存在していなかった、と語った。
私たちはSNAPプログラムを管理する50の州政府機関すべてに連絡しましたが、盗まれた金額を教えてくれたのはほんのわずかでした。しかし、その額が数百万ドルであることは明らかです。
マサチューセッツ州では、2022年6月から2023年3月にかけて290万ドルが盗まれ、6,700世帯以上に影響が及んだ。 ニューヨークでは、2022年1月から2023年3月にかけて700万ドルが盗まれ、スキミングの苦情は1万件以上寄せられている。 そしてカリフォルニアでは、2021年7月から2022年11月の間に700万ドルが盗まれた。
EBT カードは、平均的なデビット カードやクレジット カードとは異なります。 これらの銀行には、2015 年にほとんどの銀行が導入した統合 EMV チップのような強化されたセキュリティがありません。代わりに、1970 年代のテクノロジーである磁気ストライプのみに依存しています。
レクシスネクシス・リスク・ソリューションズ・ガバメント・ビジネスの最高経営責任者(CEO)ヘイウッド・タルコーブ氏は、「年間1570億ドルを費やしているSNAPプログラムが、食糧不安の人々に利益を提供するために美化されたホテルの部屋の鍵を使用しているのは意味が分からない」と述べた。
タルコーブ氏の会社は、公的プログラムにおける詐欺、浪費、悪用の防止に役立てるため、政府機関向けにデータを収集しています。
LexisNexis の最近の調査によると、詐欺によって失われた利益 1 ドルごとに、最終的に SNAP 機関は検出、調査、報告、管理業務に関連する追加コストとして 3.72 ドルの費用がかかることがわかりました。 これらのコストは最終的にはSNAPプログラムに資金を提供する納税者に転嫁されます。
この調査では、SNAP への攻撃が主に ID 詐欺、資格、アカウント乗っ取り、および人身売買によるものであることも判明しました。 最終的にはすべての納税者に損失が転嫁されることになります。
「あなたが持っているのは時代遅れのシステムです。あなたが持っているテクノロジーは時代遅れで、農務省には執行ツールが非常に(ほとんど)ありません。犯罪グループは新型コロナウイルスのパンデミック中に起こったことや政府の恩恵を盗む方法から多くを学びました」とタルコーブ氏は述べた。
タルコーブ氏は、犯罪企業が盗んだカード情報をダークウェブ上で最高額入札者、場合によっては危険な国際犯罪組織に販売していると述べた。
「農務省の規制が欠如しているため、これらの組織的グループ、特にルーマニア、ナイジェリア、ロシア、中国などの国内および多国籍国が、フィッシングやスキミング装置を設置し、国民の貴重な利益を盗み、国民の生活を賄うことが非常に容易になっています。家族たちよ」と彼は言った。
「農務省が今日しなければならないのは、あの美化されたホテルの部屋の鍵を撤去し、チップ搭載カードを導入することだ。農務省はフロントエンドの本人確認を始めなければならない。」
データによると、チップ技術により、SNAP カードで使用されている磁気ストリップよりもペイメント カードの安全性が向上しています。
VISA によると、2015 年に IC カードの受け入れを開始した店舗では、その後 3 年間で不正行為が 76% 減少しました。
「磁気スワイプは暗号化されておらず、広く公開されているため、どのリーダーを使用してもその情報を引き出すことができます」とレナード氏は述べた。
昨年10月、地元ニューヨーク州で有権者からの苦情が高まるなか、カーステン・ギリブランド上院議員と他のニューヨーク州議員十数名がトム・ヴィルサック農務長官に書簡を送った。 彼らは州がスキミング被害者に補償することを許可し、EBTカードのより優れたセキュリティ技術を検討するよう求めた。
「この問題を確実に解決することが私にとって最優先事項でした」とギリブランド氏は語った。 「追加の栄養支援を受けられない多くの家族にとって、家族や子どもたちに食事を与え、月末には十分な食料を得ることができないのです。」
議会によるオムニバス法案の可決には、スキミングされたSNAP受信者に返金するよう連邦資金を各州に指示するジリブランド上院議員のSNAP盗難防止法の枠組みも含まれていた。 また、SNAP詐欺データを追跡し、EBTカードのセキュリティ強化を調査することも初めて求めている。
しかし、この法案はUSDAにチップなどのより安全な技術への切り替えを要求するまでには至らなかった。
CBSニュースは2カ月間にわたり、SNAP詐欺とスキミング問題について議論するため複数回の取材要請を農務省に提出したが、代表者を派遣することはできなかった。
Sung Hee Lee さんも USDA と連絡を取るのに苦労したと語った。
「さまざまなメニューオプションをすべて押しても、誰も担当者に連れて行ってくれません。そして、メールを書こうとしても返事がありません」と彼女は語った。 彼女は結局、盗まれたSNAP給付金を取り戻すことを諦めた。
同庁は、イリノイ州、ミズーリ州、ルイジアナ州、オクラホマ州、マサチューセッツ州の5つの州でSNAP受信者を対象に、より安全な非接触型およびモバイル決済をテストするパイロットプログラムを開始すると発表した。
「タップして支払うことも、携帯電話で支払うことも非常に安全な方法だと思います」とレナード氏は語った。 「非接触型決済を侵害する方法をすでに見つけている人もいます。しかし、スキマーで確認されているほどではありません。」
そのパイロットプログラムは、早くても来年まで開始されない。
マイケル・ペレスに関しては、スキミングの日々がついに追いつきました。
「私は2017年11月27日に逮捕され、郡刑務所に連行されました。それはシークレットサービスとマイアミデイドとの共同作戦でした」と彼は語った。
ペレス氏は連邦刑務所で2年以上を過ごした。 しかし、テキサス州のハリケーンの最中に、自分の犯罪に対する罪悪感が忍び寄ってきたという。
「ホテルに行くと、家がないのでみんな家から出てホテルにチェックインしていたのを覚えています」と彼は語った。 「すべてが破壊されました。そして、私はそこにいて、彼らにそのダメージを与えました。そして、私の前にいた人がカードを拒否され、その瞬間にホテルに滞在する方法がなかったのを覚えています。その時が問題でした。私はそこで心が折れました。」
ペレス氏は「メカニック」というあだ名を捨て、スキミング対策コンサルタントに就任した。 彼は現在、セキュリティ会社Unchained Leadership & Consultingと協力して、法執行機関が詐欺師の一歩先を行こうとしている。
「私は彼らのためにソフトウェアを作り、デバイスを作り、詐欺を防止したり、詐欺を発見するのに役立つテクノロジーを思いついた」と彼は語った。 「それを続けていきたい。好きなことをやっているし、それが気持ちいい」。
初公開日 2023 年 4 月 25 日 / 午前 7 時 31 分
© 2023 CBS Interactive Inc. 全著作権所有。