Proofpoint Blog 42回「ロマンス詐欺犯がギグ・エコノミーに参入：求職者を狙う暗号通貨詐欺師たち」

●主なポイント

・プルーフポイント社は、様々な組織になりすまして偽の求人情報でユーザーを狙う暗号通貨詐欺の増加を確認しています。

・研究者たちは、この詐欺は、ロマンス詐欺（別名：豚のブッタ切り詐欺、pig butchering）、暗号通貨を狙ったロマンス詐欺の犯罪者によって行われていると確信を持って評価しています。

・職業詐称は、ロマンス詐欺に比べれば、詐欺犯にとってリターンは小さいものの、より頻繁に実行されています。

・この活動では、長い間騙し続けるロマンス詐欺の代わりに、人気のあるブランドを悪用しています。

・このアクティビティでは、さまざまなルアーのタイプに合わせて詐欺を仕立てるために、柔軟なプラットフォームを使用しています。

・この活動は、ソーシャルメディア、SMS、WhatsApp や Telegram のようなメッセージングアプリを通じて開始されます。

●概要

　長年にわたり、ロマンス詐欺師は被害者から数十億ドルを騙し取ってきました。典型的な手口は、被害者に対して、長時間かけて信頼関係を構築したのち、最終的に偽の暗号通貨投資プラットフォームへと被害者を誘導します。ターゲットの最初の少額投資が多額の（しかし偽の）「利益」に変わり始めると、詐欺師は被害者に大金を投資するよう圧力をかけます。そして、被害者は、自分の資金がデジタル・ウォレットからなくなった時に、初めてすべてを失ったことを悟るのです。

　ロマンス詐欺師にとって、このような詐欺手法でかなり儲けることができますが、長い時間がかかるため、その間に被害者が何かおかしいと気づく機会も多いことは事実です。このビジネスモデルを成功させるためには、金銭的に余裕のある被害者をターゲットにする必要があります。このため、経済的に不安定な被害者（詐欺師にとって支払額は少ないが、より多くの人々が集まる）という大きな市場が事実上未開拓のままになっていたのです。しかし最近、プルーフポイントは、この種の詐欺師がこの市場を開拓するために、求人詐欺という新たな事業を立ち上げるのを目撃しました。

　2024 年 6 月、米国連邦捜査局は、モバイル機器から発信されるこのような詐欺的な求人詐欺について警告する公共サービスアナウンスを発表しました。

●職務内容

　詐欺は通常、ソーシャルメディア・プラットフォームや SMS、WhatsApp、Telegram などのメッセージング・アプリケーション上の迷惑メッセージから始まります。以下のような典型的な求人募集のメッセージが使われます（図1と2を参照）。彼らは特に、在宅勤務（WFH）の機会としての仕事を強調することが多いようです。最近、職場復帰（RTO）が推進されているにもかかわらず、リモートワークは依然として求職者に人気があるためです。

　その後、詐欺師は会社の「仕事プラットフォーム」の簡単な説明に入ります。具体的な仕事と ブランド の詐称は、Spotify の人気音楽ストリームのブーストから、偽の TikTokショップの商品やサービスのレビュー、あるいはホテルのレビューまで、実にさまざまです。基本的にはクリック農業です。

　ターゲットが仕事を引き受けることに同意すると、詐欺犯は悪意のあるウェブサイトに登録するよう指示します。登録するために、ターゲットには紹介コードが渡されます。ユーザーが登録されない限り、ページのコンテンツは閲覧できません。このため、ドメインの削除要求にはかなりの量の証拠が必要になることが多く、防御側にとっては、このようなウェブサイトを識別し、削除することがやや難しくなります。幸運なことに、プルーフポイントの Emerging Threats はこの課題に取り組み、これらの新しい求人詐欺サイトを特定するためのシグネチャを開発しました。

　被害者がサイトに登録した後、求人詐欺師（または「ハンドラー」）は、ターゲットがトレーニングアカウントを作成できるように、プロフィールページのスクリーンショットを共有するよう求めます。

●損をするために金を使わなければならないという皮肉

　トレーニングアカウントが作成されると、詐欺師は受信者に職務の遂行方法を指示します。この部分は、商品やサービスのレビューの提出、商品の注文、ホテルの予約など、プラットフォームのテーマによって多少異なりますが、核となる特徴は同じです。ユーザーは、レビューを投稿したり、販売データを送信したり、音楽を再生したり、その他のタスク、ボタンをクリックしなければなりません。以下は、なりすまされた企業と、彼らが研究者をリクルートしようとした「仕事」のリストです：

　ユーザーが「支払い」を受けるためにクリックしなければならない回数は、「ハンドラー」からの指示に基づいて、ジョブセッションごとに 30 ～ 50 回 と変動します。少しクリックした後（通常は半分以上）、ユーザーはエラーに遭遇し、続行できなくなります。偽の手数料口座の残高はマイナスを示しています。ハンドラーは、ユーザーが「ラッキー」な出来事に遭遇したと説明し、とても喜びます。

　担当者は、口座残高がゼロになった理由について明確な説明はしないが、被害者にとっては良いことだと主張している。詐欺師は、利用者が口座をマイナスから戻せば、収入に倍率がかかると説明します。トレーニングのため、今回はハンドラーが支払うが、ユーザーは自分のアカウントで開始すれば報酬を得ることができます。彼らはユーザーに、プラットフォーム上のサポート・エージェントに連絡を取り、暗号通貨のウォレット・アドレスを取得するよう指示します。作業が完了すると、ユーザーは自分のアカウントにログインするよう指示されます。通常、70 ～ 80 ドルの残高が表示され、再び作業を開始しようとすると、偽の口座残高の詳細が表示されたウェブページから、プラットフォームを利用するには口座を最低 100 ドルにする必要があることがユーザーに通知されます。ハンドラーは、そうしないとトレーニング中に受け取った「5倍のボーナス」を失うことになると促します。詐欺師はまた、「VIP手数料ティア」（図6参照）について、ワーカーが 100 ～ 5,000 ドルを投資することで、受け取れる手数料の数を増やし、1 日に提出できるタスクの数を増やすことができることをターゲットに知らせます。

●クリック、クリック、ブーム

　では、次に何が起こるのでしょうか？ 被害者が自分のお金を使って口座を満額にし、喜んでクリックし始めたとします。手数料の小切手を積み上げること数日後、彼らは「幸運」に恵まれ、訓練セッションのように再び残高がマイナスになります。担当者は、彼らに支払いを促し、それだけの価値があると安心させます。暗号通貨を指定されたウォレットに送金すると、被害者は確かに予測通り残高が増加し始めます。関連する Pig Butcher詐欺のように、この時点で被害者は最初の「給料」を引き出すことさえ許されるかもしれません。引き出しは、プラットフォームへの入金額以上にはならないが、いくらかは引き出すことができます。プラットフォームは支払いを処理しません。その代わり、「カスタマーサービス」担当者または担当者（担当者が支払いを継続すると考えていればの話だが）によって処理されます。この悪循環は、被害者がシステムに支払いを続けると考える限り続きます。詐欺師は、被害者が詐欺に気づいたと思えば、被害者の口座をロックし、被害者を追い出そうとします。一般的に、損失はありふれたロマンス詐欺（豚のブッタ切り詐欺）よりは低いが、損失は簡単に数万ドルに上ることがあります。

●数の危険

　このような詐欺の多くは、被害者とハンドラーが 1 対 1 の関係を築くものですが、プルーフポイントのリサーチャーは Telegram や WhatsApp上の大規模なグループチャットに誘導される被害者も確認しています。これにより、被害者をガス抜きしたり、自分がどれだけ稼いだかを自慢したりする仲間でチャットを埋めることができます。この種のグループチャットは、ロマンス詐欺（豚のブッタ切り詐欺）で頻繁に見かけます。このようなプラットフォームのグループチャットに突然追加された場合は、十分に注意してください。プルーフポイントのリサーチャーは、複数の国や言語でグループチャットや個人チャットが運営されていることを確認しています。

●"そんなことに引っかかるはずがない！"

　一見すると、この詐欺はうまくいきそうにない。お金をもらうために会社にお金を払わなければならないなんて馬鹿げている、とあなたは思うかもしれません。しかし、詐欺は感情や欲望のために働きます。そして、多くの求職者、特に収入を非常に必要としている人々にとって、、限られた仕事条件と一見すぐに支払われる高収入の仕事の見通しは、詐欺の潜在的な兆候を無視するのに十分魅力的に見えるかもしれません。

　このような詐欺に引っかかる理由とその手口について理解を深めるため、プルーフポイントの脅威リサーチャーはプルーフポイント社の専属心理学者であるボブ・ハウスマン博士に、詐欺を効果的に行う要因について質問しました。ハウスマン博士によると、3つ の心理的メカニズムが働いている可能性が高いとのことです：

1.サンクコスト効果（サンクコストの誤謬）
2.損失回避
3.互恵主義の原則

　サンクコスト効果（サンクコストの誤謬）とは、時間であれお金であれ、多額の投資をしているにもかかわらず、その投資が良い結果をもたらさないにもかかわらず、人は何かを放棄したり、何かをやめたりしないという考え方です。詐欺の一部であるこの考え方は、行動心理学者が「損失回避」と呼ぶもの、つまり失うことへの恐怖が同額の金銭を得る感覚を上回るという考え方によっても煽られています。この場合、求人詐欺の被害者は、高額と思われる金額を稼ぐためにあまりにも多くの時間と労力を費やしたと感じ、苦労して稼いだと思われる利益の損失を防ぐために偽サイトにお金を払うことになるでしょう。

　さらに、詐欺師が気づいているかどうかにかかわらず、ターゲットに偽プラットフォームに入金させるために、詐欺師は「互恵の原則」に依存しています。残高がゼロ以下になったときに最初の金額を支払うことで、ハンドラーはマイナス残高を支払うことでターゲットに好意を寄せているように見せかけ、ターゲットは恩義を感じます。この場合、ターゲットは次のサイクルに進んで同行し、自らマイナス残高を支払います。

　残念なことに、こうした心理的要因がすべて、詐欺が成功する理由の一部なのです。

　暗号通貨調査会社 Chainalysis の同僚によると、何千人もの人々が偽のジョブ・プラットフォームにお金を払うことを決めたといいます。プルーフポイントのリサーチャーは、特定された求人詐欺に関連する公開暗号通貨ウォレット・アドレスを共有し、そのスキームがどの程度効果的であるかを確認しました。Chainalysis の調査によると、 daptonerecordsmusicalbums[.]com の暗号通貨ウォレットは、レコードレーベルを装った偽の求人サイトで、わずか 2 カ月しか活動していませんでしたが、ビットコインとイーサリアムで 30 万ドル以上を稼いでいました。Chainalysisの調査結果によると、このウォレットからの資金は、短期貿易投資詐欺（別名Pig Butchers）や他の求人詐欺サイトが共有する口座に流れています。

　以下は、Chainalysis社との共同研究により、当社の研究者が特定した偽の求人詐欺サイトによって盗まれた暗号通貨の金額です：

・hotelassociationseogp[.]com - 3K2t5GuZrZRByvVC1LuHUKrJ5LtKGJF7Mv: 80回以上の入金が 1 ヶ月に行われ、詐欺師は 23,000 ドル以上の利益を入手。

・outlierventures-app[.]com - bc1qg9sz72jg3mptpmmqavjmqwq4dm3j5txpk0w0fu: 1 週間で 362 件の入金、合計 $ 95,000。

・temu-workbench[.]com - 3PZ1hqATmdncvuWUQaYfrLYXoRTMXres85: 1 ヶ月で 1000 件以上、合計 275,203 ドル以上の入金あり。

・tiktok-advance[.]com - 0x3D2C12420D829D8AFc166C1632a4c54e7798F4fd: 3 日間で 130 件、総額 80,000 ドル以上の入金あり。

　これはサンプル数としては少ないですが、このような求人詐欺グループは、短期間で暗号通貨を介してかなりの金額をもたらすことができるのは明らかです。

●結論

　暗号通貨投資や仕事関連の詐欺は非常に蔓延しており、洗練されたソーシャル・エンジニアリングのテクニックを使って人々に合法であると信じ込ませています。信用詐欺師が何世紀にもわたって行ってきたように、詐欺師は無防備なターゲットに簡単なお金を約束し、だまし取ることを続けています。

　この種の詐欺から自分自身や友人、家族を守るために、プルーフポイント社は次のことを推奨しています：

・どのようなプラットフォームやアプリケーションであれ、未承諾の求人情報には警戒を怠らないこと。こうした詐欺師はソーシャルメディアを利用することが多いが、同様の手口は電子メールでも確認されています。

・雇用主を名乗る人物には、決して金銭を提供しないでください。この特殊な詐欺は、ターゲットが偽の求人ウェブサイトにお金を支払うことに依存していますが、Proofpoint は、前払金詐欺（AFF）を行うために、コンピュータ機器のような疑惑のある商品やサービスの支払いを求める他の求人詐欺を観察しています。

・古い格言を思い出してください。おいしい話にはウラがあります。

・詐欺に対抗するには、知識が力となります。

※ 「 IoC (侵害指標）」と「付録：不正求人サイトのスクリーンショット例」はオリジナルを参照ください