Googleでの偽広告フィッシング詐欺で80億円超の仮想通貨が盗まれる
偽広告によるフィッシング詐欺
Web3の詐欺防止プラットフォームScam Snifferは21日、マルウェアの一種MS Drainerにより、過去9か月間で約63,210人の被害者から約84億円(5,898万ドル近く)が盗まれていたと発表した。
MS Drainerは、ウォレットから暗号資産(仮想通貨)を盗むトランザクションを作成するために設計されているマルウェア「Wallet Drainer」の一つだ。
Scam Snifferは、3月から12月現在まで、MS Drainerを使用した約10,072のフィッシング詐欺ウェブサイトを検出している。特に5月、6月、11月に活発だった。
ウェブ上の広告を装ったフィッシング詐欺の形を取っており、インターネットユーザーが、公式ブロックチェーンプロジェクトなどの広告をクリックしたつもりでも、実際は偽サイトに遷移している格好だ。
詐欺師はたとえば、Zapper、Lido、DefiLlama、Radientなど人気のプラットフォームの詐欺バージョンを作成し、Googleの広告システムを利用して被害者を偽サイトに誘導していた。Xのプラットフォーム上でもこうした詐欺の広告リンクが確認されている。
リダイレクト技術も使用しており、広告に記載されているURLを公式ドメインのものに見せかけるが、実際にはフィッシング詐欺のサイトに転送されることになる。
また、地域ターゲティングを利用し、ランディングページを頻繁に切り替えることでGooglによる広告の監査システムをすり抜けていた。
各種フィッシング詐欺には仮想通貨ユーザーをターゲットにしたものも多い。最近では9月、一つのフィッシング詐欺で36億円相当のイーサリアム(ETH)が盗まれた事例がある。仮想通貨に関する単独の詐欺としては過去最大級の被害額となった。
関連:フィッシング詐欺で36億円相当のイーサリアム盗難、単独被害では過去最大規模か
クリスマスの日にも4億円の盗難
Scam Snifferは、25日のクリスマスの日にも、Google広告から詐欺サイトに転送する手口により、24時間で、ラップドビットコイン(wBTC)、Aave USDC(aUSDC)、USDTやその他で約4.3億円(300万ドル)相当の仮想通貨が盗まれたと報告している。
また、ユーザーは広告にはつねに疑いを持ち、署名リクエストがあった場合、フィッシング詐欺ではないかと注意深く確認することが大切だと続けた。広告プラットフォームも、検証プロセスを強化する必要があるとしている。
「アドレスポイズニング」とは
詐欺の手口としては、新手のものとして「アドレスポイズニング」にも注意が呼びかけられているところだ。
これは、被害者が以前に送金した受取人アドレスと似た偽のアドレスから、被害者のウォレットに少額送金して、取引履歴を残すものである。被害者が、本物のアドレスと誤認して、取引履歴から偽のアドレスを選択し送金してしまうことを狙う。
関連:メタマスク、新手の詐欺「アドレスポイズニング」について注意喚起
CoinPost 仮想通貨初心者向け特集
| イチから学ぶ仮想通貨投資、ビットコインの買い方まで徹底解説 | どれを買えばいい?仮想通貨(ビットコイン、アルトコイン)銘柄の選び方 |
| 人気銘柄別、日本国内の仮想通貨取引所、おすすめ5選 | 仮想通貨の仕組み【初心者向け図解】暗号技術と問題点について |
| 暗号資産とは|初心者でも5分でわかる仮想通貨の始め方 | Twitter投稿が3億円の価値に|大企業も注目する「NFT」の仕組みと可能性 |
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します