現在もなお被害者が後をたたず、一月に10万ドル以上を稼ぐ犯罪者集団もいる模様だ。
セクストーションのEメールには常に、送金先の仮想通貨のウォレットのアドレスが記載されている。セキュリティの専門家は、このウォレットを調べ、犯罪の実態の解明にあたっている。
セキュリティ企業Sophos Labsがウォレットの調査を行った結果を4月20日に報告した。彼らは昨年9月1日から今年1月31日までの、詐欺犯のウォレットの状況を確認し、総額で50万ドル近くの仮想通貨の入金があったことを把握した。
調査にあたっては仮想通貨のアナリティクス企業CipherTraceの支援も受けた。なぜなら犯罪者集団は50万アカウント以上のウォレットを用いており、調査には膨大なタスクが要求されるからだ。
全アカウントのうち、支払いを受け取ったのはわずか261だったという。しかし、1月の終わりまでに96ビットコインが支払われていた。これは当時のレートで47万2700ドル(約5000万円)に及ぶ金額だ。
犯罪者らは1日あたり3100ドルを脅し取っていたことになる。身代金の平均は800ドルだったことから、1日に4人の新たな被害者が偽の脅迫メールに騙されていたことになる。
犯罪者がセクストーション詐欺であげる利益は、マルウェアによる身代金攻撃やビジネスメール詐欺(BEC)、仮想通貨の採掘マルウェアを用いた犯罪よりは少ないものだ。しかし、セクストーションは非常に少ない手間で利益をあげられる点が、犯罪者側のメリットと言える。
Sophosによると、セクストーションは低スキルなサイバー犯罪者によって行われているという。あなたがもしも、脅しのメールを受け取った場合、次のような事柄を覚えておくべきだ。
詐欺犯は、実際には「恥ずかしい写真や動画」などを持っていない。被害者のコンピュータに侵入し、人に見られたくない画像や動画データを盗み出すのは理論的には可能だが、Sophosによると、これらの詐欺犯はそれほど洗練されたテクニックは持っていないという。
被害者が詐欺メールを信じ込む1つの理由が、彼らが被害者が使用中のパスワードを提示し、あたかもネットワークに侵入したかを装うことにあるが、これも非常にシンプルな理屈で説明できる。
ここ数年、様々なサービスから膨大なアカウント情報が盗み出されており、ダークウェブなどでそれが販売されている。セクストーションを行う詐欺犯は、買い取ったデータを詐欺に利用しているだけなのだ。
セクストーションの詐欺メールを受信した場合は、とにかく無視しておくことが一番だ。メールに返信した場合、詐欺犯はそのメールアドレスが有効であることを知り、さらに別の攻撃をしかけてくることも考えられる。