犯罪者にワンタイムパスコードなど銀行の不正チェック回避手段を提供していたサービスの運営者3人が有罪を認める

「OTP(ワンタイムパスコード)を盗むニーズに対する最初で最後のプロフェッショナルサービス」を名乗り、銀行が詐欺や不正行為を防ぐために導入しているチェック機構を回避するサービスを月額制で犯罪者に提供していた3人の容疑者が有罪を認めたことがわかりました。

Website operators promised fraudsters profit within minutes if they subscribed to illegal service - National Crime Agency
https://www.nationalcrimeagency.gov.uk/news/website-operators-promised-fraudsters-profit-within-minutes-if-they-subscribed-to-illegal-service

Admins of MFA bypass service plead guilty to fraud
https://www.bleepingcomputer.com/news/legal/admins-of-mfa-bypass-service-plead-guilty-to-fraud/

イギリス国家犯罪対策庁によると、問題のサービス「OTP.Agency」を運営していたのはカラム・ピカリ容疑者(22歳)、ヴィジャヤシドゥルシャン・ヴィジャヤナサン容疑者(21歳)、アザ・シディーク容疑者(19歳)の3人。

サービスの内容は、銀行口座の所有者に本物のワンタイムパスコードを開示させたり、そのほかに個人を特定できる情報を得るためのソーシャルエンジニアリングを行ったりして、入手した情報を犯罪者に売りつけるというもの。

週30ポンド(約5700円)の基本プランでは、大手銀行のHSBCやMonzo、Lloydsなどのプラットフォームの多要素認証を回避することで、詐欺的なオンライン取引を完了できるサービスが提供されていました。また、週380ポンド(約7万3000円)のエリートプランでは、VISAとMastercardへのアクセスも含まれていたとのこと。

イギリス国家犯罪捜査局のサイバー捜査官の調べによると、3人が逮捕されてサイトが閉鎖された2021年3月までの1年半の間に1万2500人以上が標的になっていたそうです。

グループがどれだけ利益を上げたのかはわかっていませんが、基本プラン中心であれば約3万ポンド(約576万円)、エリートプラン中心であれば約790万ポンド(約15億1700万円)だったと推定されています。

なお、OTP.Agencyは閉鎖されましたが、同種のサービスは健在であるため、セキュリティ情報サイトのKrebs on Securityは注意を呼びかけています。

Owners of 1-Time Passcode Theft Service Plead Guilty – Krebs on Security
https://krebsonsecurity.com/2024/09/owners-of-1-time-passcode-theft-service-plead-guilty/