Executive Summary

ゴーストタップは、主に中国語圏の脅威アクターが使用する比較的新しく人気のある攻撃ベクトルであり、近距離無線通信(NFC)中継手口、戦術を使用して、モバイル決済サービス(Apple PayやGoogle Payなど)にリンクされた盗まれた支払いカードの詳細を使用して小売詐欺を犯します。 この手法により、これらの脅威アクターは、非接触型決済システムにリンクされた盗まれた支払いカードの詳細をラバに直接提供して物理的な商品を入手し、最終的には盗品を輸送して転売して利益を得ることができます。Insikt Group アナリストは、Telegram、@webu8、中国語を話す脅威グループ(以下、シンジケート)へのバーナーフォン、ゴーストタップサービス、および関与した主要な脅威を特定しました 詐欺キャンペーン。 Telegram ベースの犯罪マーケットプレイスである Huione Guarantee は、2025 年 5 月 13 日に事業を停止すると発表しましたが、それ以来、サイバー犯罪者やシンジケートが Telegram 上の Huione Guarantee の既存の大規模な分散型インフラストラクチャを使用して取引を行っていることが観察されました。中国語を話すサイバー犯罪者は、ゴースト盗聴、輸送、再販業者、マネーロンダリングのラバを募集するためのワンストップショップとして、Xinbi GuaranteeとTudou Guaranteeプラットフォームにも軸足を移しています。2020年以降、詐欺行為(恋愛、投資詐欺、クリプトマイニングなど)に関与している東南アジアを拠点とする確立された犯罪グループが、金銭的利益を得るためにゴーストタップキャンペーンを活動に組み込んでおり、今後も取り入れていくと考えています。

このレポートには、 脅威アクター、ゴーストタップと非接触型ATMの引き出しを紹介するビデオデモンストレーションの分析、オープン情報源調査、および中国のゴーストタップエコシステムを説明するための法執行勧告。 Insikt Groupは、小売店での顧客確認(KYC)対策の欠如と、シンジケートが観光客を名乗るラバを送り込んで物理的な商品を購入し、転売して利益を得る可能性があるため、ゴーストタップキャンペーンを検出するのが難しいと評価しています。これらのキャンペーンは、支払いカード所有者が所有する不正な支払いカード取引の結果として、小売、銀行、非接触型決済プロバイダー、保険会社に悪影響を与える可能性があります。シンガポールでは注目を集めた逮捕事件によりゴースト盗聴キャンペーンが広く報告されていますが、これらのキャンペーンは世界規模で実施できます。

主な調査結果

• 中国語を話すサイバー犯罪者は、自動化を使用して盗んだ支払いカード情報を非接触型決済ウォレットに追加したり、バーナーフォンを販売したり、支払いカードの詳細を別のモバイルデバイスに中継できる不特定の周辺ソフトウェアを複数の中国語を話す犯罪シンジケートに提供したりしています。シンジケートは、バーナーフォンをこれらのサイバー犯罪者に送り返し、将来の小売詐欺キャンペーンのためにリサイクルすることもできます。
• ゴースト タッピング活動に関与する脅威アクターは、この手法は世界中で機能すると主張しており、一部のグループはカンボジアと中国に拠点を置いている可能性があります。私たちの取り組みを通じて、中国国内およびシンガポール、マレーシア、タイ、フィリピンなどの他の特定の地理的場所でのみ活動する脅威アクターを特定しました。
• 多くの犯罪グループがゴーストタップ技術を使用して、ATMの引き出しを行ったり、小売店で宝石や携帯電話などの高級品を購入したりしています。これらの商品が購入されると、脅威アクターは Tudou Guarantee、Xinbi Guarantee、Huione Guarantee などの Telegram チャネルで現金で転売します。
• Huione Guarantee、Xinbi Guarantee、Tudou Guaranteesでは、ゴーストタップキャンペーンやゴーストタップ技術を使用して物理的な商品を購入するラバの募集に関する広告が多数掲載されているため、これらの中国のサイバー犯罪マーケットプレイスで販売されている多数の物理的な商品は、ゴーストタップ技術によって入手されていると考えられています。

背景

「ゴーストタップ」は、Threat Fabricによって 造られた 用語です。これは、 手口、戦術 脅威アクターがモバイル決済サービス (Google Pay や Apple Pay など) にリンクされたクレジット カードの詳細を盗んだ後、お金を現金化するために使用します。 また、サイバー犯罪者がフィッシングを行ったり、盗んだ支払いカードを入手したりしてモバイルウォレットにロードしたりして、不正な取引に使用されるNFCトラフィックの中継も含まれます。Insikt Group は、ゴースト タッピングを NFC リレー詐欺と定義しています。ゴースト タッピングには、犯罪者がモバイル デバイスを使用して、被害者の知らないうちに被害者のカードまたはデバイスから支払い端末に支払い情報を中継することが含まれます。ペイメントカード情報が盗まれてモバイルウォレットにロードされると、犯罪者はペイメントカード情報を含むNFC信号を別の携帯電話に送信して作戦を拡大することができ、モバイルウォレット関連の詐欺を大幅に促進する可能性があります。

Recorded Future の Payment Fraud Intelligence チームは、「モバイル ウォレット、フィッシング、詐欺 Nexus がグローバルに分散されたカード詐欺をサポートする」というタイトルのレポートを公開しました。報告書の調査結果は、NFC リレー詐欺が、サイバー犯罪者が盗まれた支払いカード認証情報を使用して不正な取引を行うことを可能にする、新たな効果的な攻撃手法であることを示しています。 脅威アクターはフィッシングキャンペーンとマルウェアを利用して、 侵害、ハッキング支払いカード、ワンタイムパスワード(OTP)の傍受、これらのカードをモバイルウォレットに追加するために不可欠なことがよくあります。 NFCGate などのオープン情報源 NFC リレー ツールを使用すると、攻撃者はトークン化されたカード データを他のモバイル デバイスにリアルタイムで送信または中継できます。この方法により、世界中のどこにでも拠点を置く脅威グループが次のことが可能になります。

• フィッシングを一元管理して侵害し、外国の被害者が所有する支払いカードをハッキングし、その管理下にあるモバイルウォレットでカードを不正にアクティベートします
• 侵害のNFCトラフィックを中継し、モバイルウォレットに提供されたハッキングペイメントカードを、被害者の国で不正なタップ・トゥ・ペイ・カード提示取引を行うマネーラバに中継

ゴースト タッピング キャンペーンは、サイバー犯罪者とシンジケートが協力してスキームを成功させる必要があるサイバー要素と物理的要素で構成されています。これらのサイバー犯罪者は、フィッシングキャンペーン、モバイルマルウェア、ソーシャルエンジニアリング技術を使用して、支払いカード認証情報とワンタイムパスワードを取得し、被害者が所有する支払いカード認証情報バーナーフォンの非接触型決済システム(Apple PayやGoogle Payなど)にリンクします。 その後、サイバー犯罪者は、支払いカード情報がロードされたバーナーフォンを販売し、ゴースト盗聴キャンペーンのために支払いカードのデータを中国語を話すシンジケートに中継できる独自のソフトウェアを開発します。本質的に、サイバー犯罪者はゴースト タッピング キャンペーンのサイバー スペクトルのみを満たします。

シンジケートは、ゴーストタップキャンペーンを通じて違法に得た利益を洗浄しようとする確立された犯罪グループです。ゴーストタップキャンペーンでは、シンジケートの役割はサイバー犯罪者と緊密に連携し、ラバを雇って支払いカード認証情報を搭載したバーナーフォンを使用して物理的な商品を購入し、最終的には物理的な商品を現金で転売することです。 シンジケートは、ラバを雇い、独自の人脈を確立し、ネットワークとサプライチェーンを強化して、ゴーストタップキャンペーンを通じてマネーロンダリングを行う責任があります。シンジケートは、ゴースト タッピング キャンペーンのサイバーと物理の両方のスペクトルを満たします。2024年11月、ストレーツ・タイムズ紙は、中国の犯罪組織が2016年には早くも違法オンラインギャンブルや詐欺キャンペーンなどの違法行為から得た利益を洗浄するために、フィリピン、オーストラリア、シンガポールなどの国々に拠点を設置していると 報 じた。

Threat Fabricのゴーストタッピングに関するレポートによると、 手口、戦術 実行される前提条件には、モバイル決済システム(ほとんどの場合iOSまたはAndroid)にリンクされた盗まれた支払いカードデータを備えたNFCを搭載したモバイルデバイス、NFCGateがインストールされた2台のモバイルデバイス、およびトラフィックを中継するように構成されたサーバーが含まれます。NFCGate は、NFC トラフィックをキャプチャ、分析、または変更することを目的とした Android アプリケーションです。プロトコルをリバースエンジニアリングしたり、トラフィックの変更に対するプロトコルのセキュリティを評価したりするための調査ツールとして使用できます。

シンガポール警察によると、2024年10月1日から12月の間に、モバイルウォレットを含む侵害 、ハッキング 決済カードの報告が656件あり、損失額は少なくとも120万シンガポールドル(93万米ドル)に上った。 これらの事件のうち、少なくとも502件の報告は、侵害、Apple Payにリンクされたハッキング支払いカードに関するものでした。 被害者のクレジットカード情報をApple Walletにリンクすることに成功した後、詐欺シンジケートで働くラバは、NFCモバイル決済方法を使用して直接購入し、高額な電子製品や高級品などの物理的な商品を店舗で購入することができます。

2024年11月、ストレー ツ・タイム ズ紙は、全国の小売店でシンジケートによって外国人がシンガポールに送られ、ペイメントカード詐欺を行うという新たな傾向が報じられた。シンガポール当局はまた、一連のオンラインフィッシング詐欺を通じて被害者の支払いカードの詳細を盗んだとされるシンジケートについて小売業者に警告した。盗まれた支払いカードの詳細は、不特定のモバイル アプリケーションにロードされ、リモートで制御され、販売時点管理 (POS) 端末で動作する非接触型決済に使用されました。外国人は、ソーシャルメッセージングプラットフォームを介して母国の多国籍シンジケートに勧誘され、高価な携帯電話、電子アクセサリー、高級品、宝石、金の延べ棒などの商品を購入するためにシンガポールに入国するよう指示されていると考えられています。シンガポール警察の調査により、中国のシンジケートに採用されたラバは、小売店での対面購入の過程で身分証明書として使用される偽の日本のパスポートの画像も入手し、フィッシングを通じてクレジットカードの詳細が違法に取得されていたことが 判明 した。この事件は、遠隔操作が可能で、販売時点情報管理(POS)端末で動作する非接触型決済に使用できる不特定のモバイルアプリケーションに支払いカードの詳細がロードされるため、ゴーストタップの一例である可能性が最も高い。モバイル アプリケーションは、別のデバイスからの支払いカード情報を含む NFC トラフィックをリアルタイムで中継するために使用される可能性が最も高いです。

犯罪者が盗品を売買するのを観察しました 情報源、Telegram マーケットプレイスの Huione Guarantee、Xinbi Guarantee、Tudou Guarantee など。 異なる国籍の個人が関与する、同じTTP(戦術・技術・手順)を使用した同様のケースの報告(1、 2)があります。 中国のシンジケートは電子商取引ウェブサイトで商品を販売することについて明示的に言及していませんが、犯罪者はeBay(1)、Carousell(1)、メルカリ(1)などで盗品を販売することが知られています。中国のシンジケートも、盗んだ支払いカード情報で購入した商品を電子商取引プラットフォームで販売していると高い確信を持って評価しています。

2025 年 2 月 17 日付のシンガポール警察の 勧告 によると、海外に拠点を置く可能性が高い詐欺師は、ソーシャル メディア広告を含む電子商取引関連のフィッシング Web サイトを通じて被害者のカード認証情報を入手しました。この勧告には、被害者の支払いカード認証情報を取得した後、詐欺師は自分のデバイスの Apple ウォレットにカードの詳細を追加すると記載されています。 SMS ワンタイム パスワード (OTP) が被害者に送信され、被害者はだまされて詐欺師が運営するフィッシング Web サイトに OTP を入力し、詐欺師が被害者の支払いカードにアクセスできるようにします。被害者の支払いカードを乗っ取ることに成功した後、詐欺シンジケートはマネーラバと共謀して、ラバのモバイルデバイスを詐欺師の Apple ウォレットに接続して不正な取引を行います。マネーラバは、非接触型決済方法(NFC)を使用して直接購入し、店舗で商品を購入できるようになります。この警察勧告は、ラバのモバイルデバイスをシンジケートが遠隔操作するモバイルウォレットに接続する必要があるゴーストタップについて説明している可能性が高い。

2025年4月、中国から15台のiPhoneをシンガポールに密輸したとして中国人2人が 逮捕 された。この人物と共犯者は、不特定のシンジケートから、携帯電話を地元のショッピングモールの外のゴミ箱に投げ込むよう指示された。Insikt Groupは、この2人は中国語を話すシンジケートに勧誘された輸送用ラバである可能性が高く、iPhoneにはすでにApple Payにリンクされていた盗まれた支払いカードの認証情報が含まれている可能性が高いと高い確信度で評価しています。回収されると、シンジケートは携帯電話を使用して、すでにシンガポール国内に居住しているゴーストタップラバを起動させ、その後、携帯電話を使用して物理的な商品を直接購入することになります。この事件はモバイルウォレット詐欺の一例であり、盗まれた支払いカード情報がロードされたバーナーフォンが関与し、NFCリレーの使用を必要としません。

ゴーストタッピングと犯罪エコシステム

2024年以来、 Insikt Group は、中国のサイバー犯罪者がHuione Guarantee、Xinbi Guarantee、Tudou GuaranteeなどのTelegramベースのエスクロープラットフォーム上で活動し、一般的な詐欺からクリプトマイニングまで、犯罪サービスやTTP(戦術・技術・手順)を宣伝していることを観察しています。 犯罪のさまざまな側面に関与する脅威アクターとの関わりを通じて、詐欺関連の活動に関与する中国語を話す犯罪者が、現在、攻撃ベクトルにゴーストタップを採用していることがわかりました。ゴーストタップの脅威アクターは東南アジア諸国、特にカンボジアに拠点を置き、被害者の支払いカード認証情報がロードされたバーナーフォンを複数の中国語を話すシンジケートに販売していることを特定しました。単一のゴースト盗聴犯罪グループは、バーナーフォンなどの必需品を提供し、複数の中国語を話すシンジケートに独自のソフトウェアを貸し出す手段と能力を持っています。これは、複数のゴースト盗聴犯罪グループの存在により、世界中の複数の企業、特に小売部門を標的とするさまざまなゴースト盗聴キャンペーンのために、非常に多数の中国語を話すシンジケートを促進できることを意味します。

ゴーストタップサービスの広告に加えて、中国語を話すシンジケートがラバを募集して、上記の3つのTelegramマーケットプレイスで購入を行うことを観察しました。シンジケートは通常、中国語を話すラバを雇って彼らに代わって活動を行い、ラバは観光客を装ってシンガポールなどの外国に旅行し、金、高級品、携帯電話などの高額な物理的な商品を購入します。その後、中国の犯罪シンジケートは、3つのTelegramマーケットプレイスで商品を現金で転売します。

ゴーストタッピングエコシステムにおけるさまざまなタイプの脅威アクターとラバの定義

観察を通じて、 脅威アクター エンゲージメント、およびオープン情報源インテリジェンス (OSINT) (脅威についての)レポート作成、 Insikt Group さまざまなタイプの 脅威アクター そしてその役割を次のように定義しています。

• サイバー犯罪者: 盗まれた支払いカードの認証情報を取得し、Apple PayやGoogle Payなどの非接触型決済サービスにリンクします。サイバー犯罪者は、支払いカードデータを含むNFCトラフィックを他のモバイルデバイスにリアルタイムで中継できるソフトウェアを開発し、通常、ゴーストタップキャンペーンを通じて小売詐欺を行おうとするシンジケートに支払いカード情報を販売します。さらに、サイバー犯罪者は、盗まれた支払いカード認証情報が入ったバーナーフォンをシンジケートに販売し、小売詐欺を犯します。
• シンジケート： 作戦の成功を確実にするために、特定の目的のためにさまざまなラバの募集、訓練、指導を担当します。中国語を話すシンジケートのメンバーは通常、Telegramを使用して、Huione Guarantee、Xinbi Guarantee、Tudou Guaranteeプラットフォームでラバを募集します。
• ゴーストタッピングラバ: ゴーストタップ技術を使用して小売詐欺を行い、金、高級品、携帯電話などの物理的な商品を入手します。ラバは観光客として他国に入国し、高額な商品を購入し、輸送用ラバやシンジケートに直接配達することが多い。
• 輸送用ラバ: 国境内外の商品を、それらを雇ったシンジケートの目的の目的地に輸送します。
• リセラーミュール: 盗まれたテザー(USDT)の支払いカード認証情報を使用して購入した商品を、Huione保証、Xinbi保証、Tudou保証で販売します。そのような商品は、さまざまな地理的地域で輸送され、現金で販売される可能性もあると評価しています。
• マネーロンダリングラバ: シンジケートメンバーの銀行口座に送金します。シンジケートは、マネーラバを募集するプラットフォームとして テレグラムを使用すること が知られています。
• 買主： 中国語圏のシンジケートは、Huione Guarantee、Xinbi Guarantee、Tudou Guarantee プラットフォームで、金、高級品、携帯電話などの物理的な商品を現金で大量に購入することを提案しています。

脅威アクターが常に車隊(車列)の必要性を宣伝しているため、サイバー犯罪者は複数の役割を担い、複数のシンジケートで同時に働く可能性があると評価しており、これは、非接触型ATMの引き出しの実施、ゴーストタップ技術を使用した物理的な商品の購入など、シンジケートの目的を達成するためにさまざまな種類のラバに対する高い需要があることを示しています。 物理的な商品の輸送、転売、マネーロンダリング活動。

Xinbi Guaranteeでは、特定の国に向けて国境内および国境を越えて輸送できる物理的な商品の輸送サービスを提供する脅威アクターが観察されました。たとえば、脅威アクター「路飞」(@OPLuffy888)は、マレーシア、シンガポール、インドネシア、タイの内外で商品を輸送するために、Xinbi Guaranteeで物理的な商品の速達輸送サービスを宣伝しました。また、「黑猫」(@llan19889)がATM引き出しラバやゴーストタップラバを募集して金やアップルのモバイルデバイスを購入することも観察しました。

Huione 保証、Xinbi 保証、Tudou 保証によりゴースト タッピング キャンペーンを促進

Huione Guarantee(@hwdb)は、カンボジアに拠点を置く金融コングロマリットであるHuioneグループの下で運営されている中国語のクリアネットWebサイトです。Huione Guaranteeは、サイバー犯罪活動を可能にするさまざまなサービスを提供し、中国語を話すサイバー犯罪者にエスクローサービスを提供する、何千もの公的および私的な中国語のTelegramグループのプラットフォームとして機能します。Ellipticは、Huione Groupに関連する仮想通貨ベースの違法行為が少なくとも240億ドルに達したと 報告しました 。脅威アクターは、ソーシャルメディアや電子商取引のアカウント、SIMカード、個人を特定できる情報(PII)を含むデータ、サービスとしてのマルウェア(MaaS)、ディープフェイク技術、KYCバイパスサービス、マネーロンダリングの方法やサービスなどの販売を宣伝しました。Huione Guaranteeの詳細については、Insikt Groupのレポート「Huione Guarantee Serve as a One-Stop Shop for Chinese-Speaking Cybercriminals」を参照してください。

Huione Guarantee は 2025 年 5 月 13 日に業務停止を発表しましたが、サイバー犯罪者が犯罪行為や取引を促進するために Telegram 上の Huione Guarantee の広大なインフラストラクチャを使用し続けていることが観察されました。さらに、サイバー犯罪者が Xinbi Guarantee (@xbdb) と Tudou Guarantee (@tddb) に軸足を移していることが観察されましたが、これは Huione Guarantee と同じように機能し、中国語を話すサイバー犯罪者がサイバー、詐欺、詐欺のためにメンバーを募集し続けるための実行可能な代替手段として機能する他の 2 つの Telegram ベースのマーケットプレイスです。 すべての入金は、Xinbi Guarantee と Tudou Guarantee のカスタマー サービス担当者が運営する暗号通貨ウォレットに USDT で行う必要があります。

中国語を話すサイバー犯罪者が、3つのTelegramマーケットプレイスすべてでゴーストタップキャンペーンのために直接(一道)と中古(二道)の支払いカードを宣伝していることを観察しました。远程刷卡はリモートカードスワイプを指し、この場合はゴーストタップ操作を指します。サイバー犯罪者は通常、USDT を使用して被害者が所有するこれらの支払いカードの詳細を購入し、カードは NFC や POS 端末など、世界中で機能すると宣伝されています。

図8では、Xinbi Guaranteeの管理者が、現在はなきXinbi Guaranteeのパブリックコミュニティチャンネル(新币公群频道; @gqdh)で、ゴーストタップ操作に関与する複数のチャンネルを宣伝しているのが観察されました。管理者は、初代および中古の支払いカードを含むゴースト盗聴キャンペーンに関与する10以上の異なるチャネルを宣伝しており、これは複数のサイバー犯罪グループと中国語を話すシンジケートがそのようなキャンペーンに積極的に参加していることを示しています。

資金洗浄への商品の転売

Huione Guarantee、Xinbi Guarantee、Tudou Guarantee のプラットフォームでは、脅威アクターが違法な手段で入手した物理的なアイテムを大量に売買することを申し出ていることが確認されました。中国語圏のシンジケートは通常、そのような物理的なアイテムをどのように、どこで入手したかを特定しませんが、私たちの調査を通じて、ゴーストタップキャンペーンと電子商取引詐欺の2つの一般的な方法があると考えています。電子商取引の方法は、オンライン カード支払いの詳細、物理的な住所、電話番号などの重要な詳細が必要なため、デジタルおよび物理的なフットプリントが多いため、よりリスクが高いと考えられています。それに比べて、ゴースト盗聴キャンペーンは法執行機関による発見がはるかに難しく、ラバはシンジケートに代わって外国に旅行し、物理的な商品を購入することができます。ラバによって行われるこれらの対面取引は、シンジケートに商品を即座に、より細かく管理できるという利点を与え、多くの場合、当局に長期間知られていない可能性のある特定の場所に商品を配達するようラバにリアルタイムで特定の指示を出します。

ゴーストタップキャンペーンや、ゴーストタップ技術を使用して物理的な商品を購入するためのラバの募集に関する広告が多数掲載されているため、すべてがHuione保証、Xinbi保証、Tudou保証で一緒に議論され、宣伝されており、OSINTの記事とシンガポール警察の勧告(1、 2、 3)は、これらの中国のサイバー犯罪市場で販売されている多数の物理的な商品がゴースト盗聴技術によって入手されていると高い確信を持って信じています。

図9は、上記の3つのTelegramチャネルの広告に基づいて、中国語圏のシンジケートによるマネーロンダリング活動の一環として、物理的な商品がどのように輸送され、現金に転売されるかを示しています。ゴーストタップに関与した中国語圏のシンジケートが、盗まれた支払いカードで購入した物理的なアイテムを現金に転売する可能性が高いです。

たとえば、脅威アクター「莫淮」(@eyDLBhqqotRXfJ)が、シンジケートが Xinbi Guarantee で大量にオフロードできる金、携帯電話、その他の物理的な商品を購入していることが観察されました。

脅威の分析とエンゲージメント

Insikt Groupは、ゴーストタッピングエコシステムのさまざまな側面に関与する2つのTelegramのあだ名、@webu8(ゴーストタッピングに使用されるプロプライエタリソフトウェアの開発者)と@xingma888(ゴーストタッピングを通じて購入した高級品を購入および再販するラバのコントローラーおよびリクルーター)とエンゲージメントを実施しました。これらの取り組みにより、これらの脅威アクターとその関係者が使用する組織、構造、セキュリティ対策、TTP(戦術・技術・手順)について貴重な洞察を得ることができました。

@webu8: ゴースト タッピング ソフトウェア開発者

背景

Insikt Group は、執筆時点で 5,695 人のメンバーを抱える中国語の公開 Telegram チャンネル cvv教学顶端学習禁广告 (@daoshua00) を発見しました。このチャネルは、ゴースト タッピングおよびカーディング関連のサービス、およびゴースト タッピング キャンペーンで使用される資料、特に直接のフィッシング資料、侵入技術、CVV チュートリアル、ATM カードのクローン作成、データベースの流出を宣伝します。このチャネルの管理者は、Telegram ハンドルの@webu8と@xbdb0を操作します。@xbdb0 は Xinbi Guarantee の Telegram チャネル (@xbdb) に似ており、@xbdb0 との関わりを通じて、脅威アクターは Xinbi Guarantee と関係があると主張していることに注目します。私たちは、管理者がゴーストタップキャンペーンの実施に関心のあるシンジケートのためにゴーストタップの写真やビデオのデモンストレーションを投稿しているのを観察しました。ビデオと写真は主に現金、侵害付きのマルチバーナー携帯電話、Apple PayおよびGoogle Payサービスにリンクされたハッキング決済カード、クローン決済カード、POS端末で構成されていました。 個人は、詳細については@webu8に連絡するよう求められました。私たちは@webu8と連絡を取り、ゴーストタップの目的で使用されているソフトウェアの情報と説明を入手することができました。

図 13 に示す以下の 3 つの画像は、Telegram チャネル @daoshua00での @webu8 の広告を示しています。

左の最初の画像は、リンクされた支払いカード認証情報。 各電話機には、カードバインド時刻(バーナー電話に決済カードがリンクされた日と月)と侵害の数量がタグ付けされ、決済カードがリンクされています。 各携帯電話の価格は 90 USDT (約 90 ドル) で、各リンク カードは 41 USDT (約 41 ドル) です。最低5台のバーナー携帯電話を購入する必要があります。バーナーフォンにリンクされた侵害、ハッキング支払いカードが10枚含まれている場合、電話の価格は500 USDTです。 バーナーフォンは、中国福建省莆田市で購入できます。脅威アクターは中国語のテキスト「莆田可面基 打速卖通的不要找我!禁止打国内!」を使用し、これは「莆田で会うことができます。AliExpressを使用している場合は私に連絡しないでください! 国内通話は禁止です!」Insikt Group 、このような措置は匿名性を維持し、中国の法執行機関による検知を回避するためのものであり、中国のサイバー犯罪者間の強力で安定した関係を構築するには、対面で会合を開催する方が安全であると評価しました。 @webu8また、中国語を話すシンジケートに電話リサイクルサービスを提供し、新しい侵害、ハッキング支払いカード認証情報を既存のバーナーフォンにロードする可能性があります。 2023年8月、シンガポールの法執行機関が中国福建省出身の中国語圏シンジケートメンバー10人を 逮捕 し、30億シンガポールドル(23億3,000万米ドル)相当の資産を押収したことに留意した。メンバーは、中国での無許可の貸金、詐欺、フィリピンでの遠隔オンラインギャンブル運営に関係しています。Insikt Groupは、@webu8と@xbdb0が2023年にメンバーが逮捕された同じシンジケートと関係があるかどうかを確認できない。

中央の 2 番目の画像は、不特定の非接触型決済システムにリンクされた盗まれたカード認証情報@webu8表示されており、支払いカードの価値は利用可能な残りのクレジットを示しています。 脅威アクターは、これらのカードは Apple Pay および Google Pay と互換性があり、販売可能な在庫があり、ゴースト タップの目的に使用できると主張しています。

右の 3 番目の画像は、別のゴースト タップ販売者である @djdj8884 が、フィッシング キャンペーンで取得した PIN コードを使用して米国の支払いカードを宣伝している様子を示しています。この脅威アクターは、中国語を話すシンジケートに、新たにフィッシングされた支払いカードを定期的に提供しようとしています。このカードは、POS機で物理的な商品を購入するための支払いと互換性があると宣伝されています。スクリーンショットは、複数のカードがロードされたバーナーフォンを示しており、購入者が支払いカード情報をPINコードとともに自分のバーナーフォンにロードできることを示しています。

これら 3 つの画像から、ゴースト タップ犯罪者が使用する 2 つのビジネス モデルが観察されました。

1. @webu8脅威グループのビジネスモデルは、侵害、ハッキング 支払いカード認証情報 バーナーフォンに、シンジケートメンバーに中国福建省の「莆田」市にいる買い手と直接取引させることです。 このビジネスモデルでは、購入者は、すでに正常にロードされ、ゴーストタップキャンペーンの準備ができているバーナーフォンを入手しています。
2. @djdj8884脅威グループのビジネスモデルは、侵害、ハッキング 支払いカード認証情報、PINコードとともに、他の中国語を話すシンジケートメンバーに一括販売し、取引をリモートで行うことができます。 このビジネスモデルでは、購入者は、侵害、ハッキング 支払いカード認証情報を自分のバーナーフォンにロードする責任があり、将来のゴーストタップキャンペーンに備えます。 Insikt Group 、このビジネスモデルは、銀行ごとに採用されているセキュリティ対策が異なるため、すべての侵害、ハッキングカードを非接触型決済システムにロードできるわけではないため、より多くの準備時間が必要であると評価しました。

また、サイバー犯罪者が侵害、ハッキングカード認証情報をバーナーフォンの非接触型決済システムにリンクするプロセスを自動化しているという独自の手段による証拠も入手しました。 以下のスクリーンショットは、4〜8分間隔で、DBS銀行の支払いカードをApple Payに侵害、ハッキングする自動追加の試みを示しています。 この場合、DBS Bankは、個人がモバイルアプリケーションにログインして、支払いカードをApple PayやGoogle Payなどのモバイルウォレットにリンクする認証を承認する必要がある セキュリティ機能 を採用しています。DBSカードを追加したいお客様は、まずDBS digibankアプリ内の支払い管理で「モバイルウォレット」トグルをオンにする必要があります。ユーザーをさらに保護するために、この「モバイルウォレット」機能は、カードが10分以内にモバイルウォレットに追加されない場合、自動的にオフになります。ただし、個人の銀行ログイン情報が侵害された場合、モバイルマルウェアまたはソーシャルエンジニアリング技術によるハッキング、このセキュリティ機能は、サイバー犯罪者が侵害、ハッキング支払いカードを非接触型決済システムにリンクするのを防ぐことはできません。

婚約

Insikt Group は、ゴースト タッピングについて詳しく調べるために @webu8 に働きかけました。この脅威アクターは、ゴースト タッピング技術はどの国にも適用でき、このスキームには支払いカード データを他のモバイル デバイスに中継できる一種のプロプライエタリ ソフトウェアが含まれており、定期的に開発および更新されていると主張しました。脅威アクターは、私たちが購入した場合、プロプライエタリ ソフトウェアを無料で貸し出してくれると述べました 侵害、ハッキング 支払いカード認証情報 彼らから、彼らのチームのメンバーがその使用方法を指導してくれるでしょう。

この取り組みから、この脅威グループは、 図13に示すように、侵害、ハッキングペイメントカードの詳細がロードされたバーナーフォンを販売しているだけでなく、ペイメントカード情報をリアルタイムで中継できる独自のソフトウェアを使用して、侵害、ハッキングペイメントカードの詳細を他の中国のシンジケートに直接販売していることがわかりました。 ゴーストタップ計画を画策するこの犯罪グループは、ゴーストタップ手法を使用して小売詐欺を行うためにラバを雇うことを望まず、小売詐欺を行っているときに法執行機関に捕まるリスクを負いません。

このゴーストタップ脅威グループから侵害、ハッキング支払いカード情報、または侵害がロードされたバーナーフォン、ハッキングカード情報を購入する中国語圏のシンジケートは、ゴーストタップラバを派遣して小売詐欺や非接触型NFC ATM引き出しを直接行う責任があり、ラバは法執行機関に逮捕されるリスクが最も高いです。

カンボジアでのビジネスの詳細について直接話し合うために、脅威アクターから会いを要請されたことにより、東南アジアで活動する中国語圏の確立されたシンジケートには、カンボジアに物理的に所在するメンバーがおり、契約条件についてさらに話し合うことができると確信を持って評価しています。 また、物理的なミートアップの要求は、脅威アクターがあまり目立たない犯罪組織を除外するために使用する方法であり、利益を最大化するために、より確立されたシンジケートとはるかに大規模な取引を行いたいという願望であると解釈しています。

Cleafy によると、「SuperCard X」MaaS 製品は中国語を話す脅威アクターによって作成され、前述のプロプライエタリ ソフトウェア@webu8類似点を共有しています。Cleafy 氏によると、「Reader」アプリケーションには、複数の「Answer To Reset」(ATR) メッセージを保存する埋め込みファイルが含まれています。これらのメッセージは、通常、スマート カードと NFC リーダー間の通信パラメーターの開始とネゴシエーションに使用されますが、カード エミュレーションを容易にするために再利用されます。「リーダー」が被害者のカードデータをキャプチャして中継すると、対応するATRがコマンドアンドコントロール(C2)インフラストラクチャを介して「タッパー」デバイスに送信され、このメッセージを使用して仮想カードをエミュレートし、POS端末やATMを効果的にだまして正規の物理カードとして認識させます。SuperCard X は ATR を活用することでシームレスなリアルタイムのリレー攻撃を可能にし、脅威アクターが物理的な近接性の制約を回避して不正な取引を実行できるようにします。Insikt Groupは、Huione Guarantee、Xinbi Guarantee、Tudou Guaranteeで同様のスキームを宣伝する複数のゴーストタップ犯罪者が存在するため、SuperCard Xプラットフォームアプリケーションが@webu8が使用する独自のソフトウェアであるかどうかを確認できません。

Cleafy はまた、イタリアを ターゲットとした SuperCard X キャンペーンを特定し、特定のアフィリエイトや地域事業に合わせたカスタム ビルドを示唆する証拠を見つけました。この研究は、ゴースト盗聴攻撃ベクトルは世界中のどこでも実行でき、そのような独自ソフトウェアが中国語を話さないシンジケートに貸与される可能性があるという@webu8の主張を裏付けています。

Insikt Group はまた、SuperCard X キャンペーンに関する Cleafy の調査に基づいた「SuperCard X MaaS Expands Infrastructure, Likely Targeting High-Profile Organizations」というタイトルのレポートを発行しました。

@xingma888: リセラーと Mule コントローラー

背景

Xinbi Guaranteeでは、物理的な商品への資金洗浄と現金化に関与している脅威アクター「星马集团」(@xingma888、直訳すると「シンガポールとマレーシアの組織」)と連携しました。会話を通じて、脅威アクターがシンガポールとマレーシアで活動する中国語を話すゴースト盗聴シンジケートの一員であることを特定しました。この脅威アクターの関与により、中国語を話すシンジケートがどのように活動しているか、また、Huione Guarantee、Xinbi Guarantee、Tudou Guarantee などのプラットフォームがゴースト タッピング キャンペーンやその他の形態のサイバー犯罪をどのように促進しているかが明らかになります。

婚約

エンゲージメント中に、@xingma888がシンガポールとマレーシアの小売店で直接購入するためのゴーストタップキャンペーン用のラバである「車隊」を供給できることを知りました。このようなサービスを必要とする脅威アクターは、どのような種類の物理的な商品を入手したいかを指定する必要があり、@xingma888ゴーストタップキャンペーンにラバを動員するために必要なデポジット金額を見積もる。入金額は、Huione、Tudou、または Xinbi Guarantee のいずれかに属するエスクロー システムに USDT で支払う必要があります。注文するのと同様の方法で、買い手は物理的な商品を配達するために@xingma888のために働くラバの物理的な住所を提供する必要があります。@xingma888、商品の配達に成功した後、購入者は開梱プロセスのビデオを撮影し、商品の信頼性を確認し、購入者が選択したエスクロー システムに属するカスタマー サービス担当者に USDT の金額を@xingma888に解放するよう依頼する必要があると述べました。

ゴーストタップに関与するさまざまなサイバー犯罪者との複数の脅威の関与の詳細を考慮して、キャンペーン、およびラバの輸送費と航空券に資金を提供するシンジケートに関するオープン情報源記事 (脅威についての)レポート作成、 Insikt Group は、@xingma888資金を提供していると高いレベルの信頼度で評価します。

• 盗まれた支払いカードの認証情報がロードされたバーナー電話
• ラバの航空券などの交通費
• ラバの宿泊施設
• ラバを募集して支払うためのUSDTまたは現金
• USDTを法定通貨に洗浄するマネーミュール

一方、通常は中国のシンジケートを指す購入希望者は、ゴーストタップキャンペーンで購入した物理的な商品を現金で転売することができ、このキャッシュアウト方法を通じてUSDTを法定通貨に変換することに成功します。ほとんどの場合、購入希望者は@xingma888などのラバハンドラーにより多くのUSDTを支払う必要があります。また、シンジケートは、物理的な商品を現金で転売するために再販業者のラバを募集する必要がある可能性が高いと評価しています。Insikt Groupは、東南アジアが中国の犯罪組織の温床であるサイバー犯罪、違法オンラインギャンブル、詐欺などの違法な手段を通じて入手される可能性が高いUSDTの取得コストをまだ考慮していません。

図 16 は、Xinbi Guarantee などの Telegram ベースのエスクロー システムが、中国語を話すシンジケートと、協力したい @xingma888 などのラバ コントローラーとの間の取引を促進および仲介するのにどのように役立つか、およびプロセス中に各当事者が受け取る金銭的利益の概要を示しています。

軽減策

銀行および決済プロバイダーの場合:

• 銀行は、支払いカードのモバイルウォレットへのリンクを承認するために個人が自分の銀行口座にログインすることを要求するセキュリティ機能など、支払いカードのフィッシング詐欺を防ぐためのセキュリティ対策を導入する必要があります。この機能は、指定された短時間内にカードがモバイルウォレットに追加されない場合、自動的にオフになります。
• カード発行会社は、デバイスウォレットの認証とアクティベーションのために、SMSまたは電子メールベースのOTPの代替手段を検討する必要があります。これらには、カスタマーサービスとの自動通話や「有人」通話、またはフィッシングの影響を受けにくい発行者の公式モバイルアプリケーションからのプッシュプロビジョニングが含まれる場合があります。
• SMSまたは電子メールベースのOTPが引き続き使用されているシナリオでは、カード発行会社は、OTPをメッセージの後半に配置し、モバイルホーム画面のプレビューテキストから除外して、カード所有者が不審なアクティビティに気付く可能性を高めることを検討する必要があります。
• 支払いカードをデジタルウォレットに追加する前に、デバイスのリスク要因を分析します。認識できないデバイスまたは場所からカードが追加される場合、より厳格な認証を適用します。
• 非現実的な時間枠内に地理的に離れた場所で同じ支払いカードが使用されているトランザクションにフラグを立てます。
• 複数のカードが同じデバイスにリンクされているパターンを分析します (特に既知のフィッシング インシデントの後)。
• 機械学習モデルを活用して、中継された支払いの特徴と、NFC中継詐欺に関連するデバイスの動作の異常を認識します。
• 顧客が、リスクの高い取引やデジタルウォレットのプロビジョニングの試みを、最終決定する前に、銀行アプリを介して確認できるようにします。

消費者向け:

• 個人は、不正使用の通知を受け取ったらすぐに、それぞれの銀行機関に連絡し、侵害、ハッキング支払いカードへのアクセスをブロックする必要があります。
• 個人は、公式アプリストア以外でサードパーティのモバイルアプリケーションをダウンロードしないでください。
• 個人は、未知の Web サイトや信頼できない Web サイトに支払いカード情報を追加したり、OTP や PIN を誰とも共有したりしてはなりません。支払いカードの PIN を定期的に変更し、支払いカードの取引を監視することで、支払いカードのフィッシングの可能性を減らすことができます。
• 個人は銀行職員になりすました詐欺師に注意し、公式の銀行ホットラインを通じて銀行に連絡して、自分の銀行業務に関する情報を入手し、明確にする必要があります。

法執行機関の場合:

• 決済ネットワーク、金融機関、デジタルプラットフォームと協力して、NFCリレー詐欺やペイメントカードフィッシングに関連する新たなトレンドを特定し、追跡します。
• 決済認証情報盗難スキームで使用されるフィッシングキットやモバイルマルウェアの配布に使用されるインフラストラクチャの解体活動を支援します。

今後の展望

Insikt Group は、中国語を話すシンジケートが、侵害、ハッキングペイメントカードで購入した商品から小売詐欺や資金洗浄を行うための攻撃ベクトルとしてゴーストタップを使用する方向に軸足を移していると考えています。 ゴーストタップ犯罪者は、データ侵害、銀行や通信会社に属するハッキングを利用してPIIを取得し、ソーシャルエンジニアリング技術を使用してフィッシングを介して支払いカード情報を盗むことができると評価しています。 データ侵害、顧客に属するデータベースを含む通信会社のハッキングは、サイバー犯罪者がバーナーフォンに支払いカード情報をリモートで追加、リンク、認証できる可能性のあるSIMスワッピングのリスクを高める可能性があります。

2025 年 5 月 13 日に Huione Guarantee の業務が停止したにもかかわらず、サイバー犯罪者は Xinbi Guarantee や Tudou Guarantee などの代替の Telegram ベースのエスクロー システムに急速に軸足を移していることが観察されました。これらのプラットフォームは、サイバー犯罪者が取引を行い、ゴースト盗聴作戦のためにラバを募集する力を与え続けています。これらのマーケットプレイスは犯罪であるため、 情報源 信頼できるプラットフォームであると主張しているため、Huione Guaranteeのように運営を停止する可能性が残っていますが、これら2つのプラットフォームにリンクされたチャネルを取り締まるTelegramなどのイベントは、一時的に混乱する可能性があります ゴーストタップキャンペーン。 これら2つのマーケットプレイスが運営を停止した場合、中国語を話すシンジケートは、より強力な運用セキュリティ対策を備えた別のプラットフォームに軸足を移す可能性が高く、その結果、研究者や法執行機関がゴースト盗聴関連の情報を監視するための可視性が低下する可能性があります。

ゴーストタップキャンペーンが成功すれば、シンジケートとサイバー犯罪者の両方にさらに多くの資金がもたらされます。 ゴーストタッピングは世界的に拡大すると予想されており、脅威アクターは中国語を話さない組織や地域の活動に合わせてカスタムビルドされたツールを提供しています。逆に、世界中の銀行が、 DBS のセキュリティ機能と同様の方法で、ペイメント カードのフィッシング詐欺を防止するためのより厳格な措置を導入した場合、情報漏洩 / 侵入ペイメント カードの認証情報を非接触型決済システムにリンクする全体の成功率は低下するでしょう。
分析全体を読むには、 Click Hereレポートを PDF としてダウンロードしてください。

付録A:用語集