米連邦取引委員会は、海外の詐欺師が米国の消費者から数百万ドルを盗み出すことを可能にした長期にわたるオンライン詐欺を阻止した。多くの場合、一度に数セントを奪うだけだった。
FTCによれば、この詐欺は約4年間行われており、21世紀のビジネスを円滑にするために使われているオンラインサービスの多くが、同じように詐欺に悪用される可能性があることを示す事例となっている。
「非常に根気強い詐欺だった」と、FTCの専属弁護士でこの事件を担当するスティーブ・ワーニコフ氏は述べた。「この件の背後にいる者たちは、非常に綿密な計画を立てている」
FTCは詐欺の犯人を特定していないものの、3月にイリノイ州の連邦地方裁判所にひそかに民事訴訟を起こした。これにより、犯罪組織の米国資産は凍結され、FTCは加盟店アカウントと14人の「マネーミュール」(犯罪組織がブルガリア、キプロス、エストニアなどの国に資金を移動させるために雇った米国居住者)のアカウントを閉鎖することができた。
「この計画の首謀者を徹底的に特定していきます」とワーニコフ氏は述べた。彼によると、詐欺師たちはクレジットカード処理システムの抜け穴を見つけ、偽の米国企業を設立し、正規のクレジットカード処理会社を通じて100万件以上の偽のクレジットカード取引を実行したという。
ワーニコフ氏は、詐欺師たちが請求したクレジットカード番号をどこで入手したかは知らないが、オンラインのカード詐欺フォーラムや、犯罪者が盗んだ情報を売買する闇市場のウェブサイトから購入された可能性があるという。
見逃される小さな盗難
詐欺師たちは、非常に少額(通常カード1枚あたり0.25ドルから9ドル)を請求し、取引を処理するために100社以上の偽の会社を設立することで、気付かれずに活動していた。
この詐欺の費用の大部分は米国消費者が負担しました。驚くべきことに、請求額の約94%は被害者から異議申し立てを受けなかったからです。FTCによると、詐欺師たちは135万枚のクレジットカードに合計950万ドルを請求しましたが、実際に気付かれたのはわずか78,724件でした。通常、詐欺師たちはカード番号ごとに1件の請求を行い、Adele ServicesやBartelca LLCといった架空の会社名を名乗っていました。
クレジットカードは安価な買い物にますます利用されるようになっており、今では自動販売機やパーキングメーターでも利用できるようになっている。犯罪者はこの傾向に乗じて、この種の不正請求詐欺を働いて金儲けをしている。
「ほとんどの不正検知システムは10ドル以下の不正は検知できないことを彼らは知っているし、消費者も20セントの手数料に文句を言わないことも分かっている」と、銀行詐欺を追跡するガートナー社のアナリスト、アビバ・リタン氏は述べた。「今回のケースと違うのは、その規模の大きさと、彼らが長年にわたり不正を見逃されてきたことだ」と彼女は付け加えた。
類似事例の傾向
3月、カリフォルニア州ローズビル在住のアレクサンダー・バーニクは、同様の詐欺行為を行ったとして懲役70ヶ月の判決を受けました。彼はアメックスの口座に、1件あたり9ドルから15ドルの請求を数万件も行っていました。連邦当局もアメリカン・エキスプレスも、バーニクがどのようにして彼のカード番号を入手したのかを説明していません。
バーニック氏はLexbay Ltd.という架空の企業を名乗って告訴を行ったが、FTCの訴訟では、詐欺師たちは合法的な企業を装い、実在する連邦納税者番号を取得し、ほぼ同じ名前で近隣に所在しているように見せかけた偽の企業を設立していた。例えば、Adele Servicesは、クレジットカード決済代行業者を騙して加盟店アカウントを付与させる手口で、ニューヨーク州ブロンクスに拠点を置くAdele Organizationという合法的な団体を装って設立された。
詐欺師がクレジットカード処理業者に販売者のアカウントを登録しようとすると、処理業者は調査を行いますが、このようなトリックを使用して、詐欺師は常に一歩先を進んでいました。
実際、FTC の活動に関する説明は、インターネット時代に偽の仮想企業を設立する方法を解説した教科書のようです。
犯罪者は、米国に足を踏み入れたことがないにもかかわらず、クレジットカード処理業者に合法的な米国企業であるかのように見せるために、さまざまな合法的なビジネスサービスを利用していた。
例えば、リージャスという会社を利用することで、盗んだ納税者番号を持つ企業に非常に近い住所を架空の企業に提供することに成功しました。リージャスは、米国各地の著名な住所(例えばニューヨークのクライスラービル)を企業に「バーチャルオフィス」として運営するサービスを提供しており、月額わずか59ドルで郵便物の転送サービスも提供しています。
Regus の拠点に送られた郵便物は、その後、Earth Class Mail という別の会社に転送され、そこで通信文がスキャンされ、インターネットを使用して PDF 形式で顧客に配信されます。
彼らは、別の合法的なバーチャルビジネスサービス、ユナイテッド・ワールド・テレコムのCallMe800を利用して、電話を海外に転送していました。さらに、自分たちの会社が合法であるように見せかけるため、詐欺師たちは偽の小売ウェブサイトを立ち上げていました。また、クレジットカード会社から会社の役員に関する情報の提供を求められた場合は、ID盗難の被害者から盗んだ、実名と社会保障番号を提供していました。
支払い処理業者の Web サイトにログインする必要がある場合、彼らは仮想オフィスの近くにある IP アドレスからログインし、支払い処理業者の不正検出サービスを回避していました。
米国最大手の決済処理会社の一つであるFirst Dataは、詐欺師たちのお気に入りの存在でした。FTCが摘発した116件の偽加盟店アカウントのうち、110件はFirst Dataのものでした。詐欺師たちは、ElavonやBBVA Compassにも偽アカウントを設定していました。
ファースト・データは、加盟店審査プロセスを改善するために講じた措置についてはコメントしなかったが、FTCの調査に協力したことは認めた。
「ミュールズ」の助け
詐欺師たちは、資金を米国から持ち出すために、マネーミュール(資金運び屋)を雇わなければなりませんでした。マネーミュールとは、多くの場合スパムメールを使ってオンラインで募集された米国在住者です。マネーミュールは、オフショアビジネスを支援していると誤解させ、銀行口座を開設し、詐欺師たちの海外送金を支援しました。
事件を担当する裁判官に宛てた書簡の中で、運び屋の一人であるテキサス州ブラウンウッド在住のジェームズ・P・スミス氏は、詐欺師の一人の下で4年間働いていたが、違法行為が行われているとは知らなかったと述べています。スミス氏は現在、FTCの訴訟で自分の名前が挙がったことを「恥じている」と述べ、アレックス・ムーアという名前を使っていた元上司を逮捕するために協力を申し出ています。
FTCのワーニコフ氏は、この犯罪の犯人は米国外に居住していると考えているが、現金化事業が摘発されたことで、詐欺師たちは消費者から引き続き金を巻き上げたいのであれば、ゼロからやり直さなければならないだろう。そして、犯罪捜査官たちは今、その足跡を辿る必要がある。
「最終的な責任者たちがゼロから再建するのを阻止できるのか?」と彼は問いかけた。「いいえ。しかし、これが彼らに深刻な混乱をもたらすことを期待しています。」
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
