はじめに
こんにちは.morimolymolyです.
DeNA 21新卒×22新卒内定者 Advent Calendar 2021の8日目の記事です.
本日は僕が2年前にCS:GOのナイフ(スキン)が奪われて,1.8万の損害を出したことについて書きたいと思います.
CS:GOにおけるスキンとは武器の見た目を切り替えるだけのもので,高級なものだとウン十万円もする代物です.
僕は2万円以下と決めて購入していました.
本記事はインターネット詐欺の撲滅を啓発する目的です.
とある日
陽気な外国人からチャットが届きました.
「Hey, 君のスキンかっこいいね!僕のと交換しない?」
相手のインベントリをみるとなかなかかっこいいスキンがあったため了承しました.
すると相手はBitSkins.comやCS.MONEYなどの正規のウェブサイトで価格の比較をするように指示してきました.
定番のサイトばかりだったので指定されたサイトでログインして比較しました.
その後,相場がわかったので値段を伝えると,じゃあこのスキンと交換しようと,僕のものより少し高いくらいのスキンを提示されました.
喜んで取引を開始し特に何も見ずに承認をすると,手元には何も残っていませんでした.
何がおかしい?
今のやり取りで一体どこに罠があったでしょうか?
- 提示されたサイトにログインしている
- 取引内容をきちんとみていない
この2点に罠がありました.
詐欺の手法
詐欺の手法は以下の通りになっています.
まず詐欺師は正規のサイトに紛れ込ませフィッシングサイトにログインさせます.
被害者はまずトレードのリクエストを送ります.(from:被害者, to:詐欺師)
詐欺師は盗んだ認証情報を用いて,詐欺師のbotが自動的にリクエストをキャンセルし,新しい偽のトレードを作ります(from:被害者, to:詐欺師のbot).
詐欺師のbotは詐欺師と同じプロフィールをしています.
トレードを承認するためにモバイルアプリを用いますが,UIがあまりよくできておらず,偽のトレードだと気づくことが難しいです.(2019年当時)
フィッシングサイト
フィッシングサイトは以下のようになっています.
一見分かりづらいですが,Steamのログイン画面はJSで作られたWindowsの窓にみせかけたフローティングウィンドウです.(picture-in-picture attack)
この攻撃に気が付かないとログイン画面は極めて正当にみえます(URLやSSL表示など)
詐欺サイトは誰が作ったのか?
早速ソースコードをダウンロードし,解析,OSINTを行いました.
github.com
このサイトを販売しているのは,Fakerと呼ばれる人物でした.
Telegram: https://t[.]me/savage67
また詐欺のチュートリアルマニュアルを発見いたしました.
- scam tutorial: https://telegra[.]ph/Coins-v2-Faker-05-01
- scam introduction: https://pastebin[.]com/HMQubyxR-
- scam introduction: https://pastebin[.]com/AXvhC9UF
- scam introduction: https://pastebin[.]com/GYeEV9BG
- scam introduction: https://pastebin[.]com/87v0fULC
Fakerの提供するサービスは以下のサイトにあります.
https://webdev0[.]com/services/
おわりに
現在でもFakerの作成したフィッシングキットは使われているようです.
謎のウェブサイトにログインするときはpicture-in-picture attackなどにも気をつけてログインしましょう.
またトレードの際にはしっかりとトレード内容を確認するようにしましょう.
