Telegram 上の公開グループに投稿されていた中国語の動画のうち、リアルタイムフィッシングの方法を解説したコンテンツを翻訳1しました。
林月(@yueyuetongbuyu)による 2024 年 11 月 25 日の投稿2
TL;DR
動画では、リアルタイムフィッシングに対応した PhaaS(Phishing as a Service)を使用して、窃取したカード情報を不正利用するための手順が紹介されています。
動画の作成者によれば、PayPal を利用したリアルタイムフィッシングのコツ3として以下のものが挙げられるようです。
- 換金ルートとして PayPal を利用する場合、ウィンドウを多めに開いておく
- PayPal のログイン試行回数はひとつのアカウントにつき最大 5 回まで
- 正しい電話番号を入力してもエラーになる場合、先頭に 0 を追加してみる
- 被害者がフィッシングサイトを離脱してもまた戻ってくる場合があるので、しばらく待ってみる
- 被害者が正しい OTP 認証コードを入力しているか確認する場合、ひとつ前の画面に戻して再入力させてみる
- 被害者が電話番号による認証を選択した場合、電話番号の一部を「*」でマスキングして被害者に表示する必要がある
なお、動画の作成者はフードデリバリーサービス Just Eat で商品を注文し、リアルタイムフィッシングで PayPal の OTP 認証を突破してから決済していますが、被害者になりすますため、事前に以下の準備をしているものと考えられます。
- SOCKS5 プロキシ 9224 を利用して発信源を秘匿しつつ、被害者の居住地域の IP アドレスに変更
- ブラウザー Multilogin5 を利用して被害者の User-Agent などを設定し、複数のアカウントでログイン
クレジットカードと PayPal の利用方法に関するチュートリアル
00:00:03 大家好啊。
(JU-2 のタブに切り替えて操作)みなさん、こんにちは。
00:00:05 录一期这个……“卡和贝宝6使用教程”,好吧。
この「クレジットカードと PayPal の利用方法に関するチュートリアル」を録画しておきましょう。
00:00:23 贝宝了以后,我们先点 “进入”。
PayPal のフィッシングサイトにアクセスしてきたら、最初に「入場」ボタンをクリックします。
00:00:48 等待他输入账号密码的同时,我们先到登录页面等待。
(JU-1 のタブに切り替えて操作)アカウント ID とパスワードが入力されるのを待っている間、まずは PayPal のログイン画面に遷移して待ちます。
00:01:09 它是手机号和密码的形式。
選択されたログイン方法は携帯電話番号とパスワードを入力する形式です。
00:01:20 那,它这个……提示账号不存在,那,这个就是账号……是不存在的一个……账号。
入力された情報を確認したところ、「アカウントが存在しません」というメッセージが表示されたので、これは存在しないアカウントのようです。
00:01:29 我们直接给它 “密错”。
このまま「パスワードの誤入力」ボタンをクリックしてフィッシングサイトに通知します。
00:01:34 我们再来看一下这个接码情况。
(JU-2 のタブに切り替えて操作)もう一度 OTP 認証コードの受信状況を確認してみましょう。
00:01:51 我们等待他验证码。
OTP 認証コードが入力されるのを待ちましょう。
00:01:57 那,在操作的同时,一定要多打开一些窗口,
作業している間は必ず複数のウィンドウを開いておく必要があります。
00:02:01 然后放到支付页面,好吧。
そして、それらのウィンドウで PayPal の支払い画面を表示しておきます。
00:02:03 放到支付页面,然后去做好准备。
支払い画面を表示し、準備しておいてください。
00:02:07 然后来的时候,操作的间隙和节奏一定要把握好。
また、OTP 認証コードを受信した場合は、作業のタイミングやリズムについて、きちんと理解していなければなりません。
00:02:11 不然时间太久,也不行……太快了也不行。
理解せずに、レスポンスを返す時間が遅すぎたり、速すぎたりするのはいけません。
00:02:39 好,接完码以后,我们直接点 “通过”。
OTP 認証コードを受信したら、そのまま「通過」ボタンをクリックします。
00:02:53 啊,这个没付出去,我们来试这个。
これはまだ支払いまで進んでいないので、これで試してみましょう。
00:03:25 好……
(JU-1 のタブに切り替えて操作)よし…
00:03:45 找好以后,我们输密码。
アカウント名としてメールアドレスを入力した後、パスワードを入力します。
00:03:59 那,到这页面要接验证码。
この画面まで遷移し、OTP 認証コードを受信してください。
00:04:02 我们注意复制的时候,复制到加 44 之前,啊,加 44 之前,然后后台这里点击 “验证”,选择手机号,把它复制上确定就可以。
電話番号をコピーする際は、国番号 +44 を除いた値をコピーしてから管理画面で「認証」ボタンをクリックし、携帯電話番号を選択してコピー&ペーストで確認すれば OK です。
00:04:14 那,在这个 “验证选择” 的同时,这个环节先不要发送验证码。
この「認証」ボタンを選択している間、この段階ではまだ OTP 認証コードを送信しないでください。
00:04:20 要等到它等待短信中的时候,我们再点 “下一步”。
OTP 認証コードの受信を待つ状態になってから、PayPal の二要素認証画面で「Next」ボタンをクリックしてください。
00:04:28 然后在同一个窗口……在同一个窗口中大家一定要注意,贝宝一个窗口最多尝试五次登录。
そして、同じウィンドウにおいて、気をつけなければならないのは、PayPal は 1 つのウィンドウで最大 5 回までしかログインを試せないということです。
00:04:37 超过五次以后呢?
5 回を超えるとどうなるでしょうか?
00:04:38 它贝宝会有自己一个风控体系,会密码正确的再登录,它也会提示你密码错误。
PayPal には独自のリスク管理システムがあります。正しいパスワードで再度ログインしようとしても、「パスワードが間違っている」と表示される場合があります。
00:04:47 所以说,一个环境在登录贝宝的同时,一定不可以说,一直在操作这个……在严重选择……跑掉了。
そのため、一つのウィンドウで PayPal にログインしている間、確かなことは言えませんが、このままこの認証を選択する画面で作業を続けるか…逃げてしまったか。
00:04:56 跑掉了,我们就下一个……唉,好了,他又回来了。
カモ(フィッシングサイトに誘導された被害者)が逃げてしまったので、別のウィンドウで…お、よし、カモが戻ってきました。
00:05:02 所以在这个同时,一定要多稍微多等一下,有可能还会回来的。
このようにカモが戻ってくることもあるので、ちょっと待っている必要があります。
00:05:05 然后我们这个时候,“下一步”,好吧。
それから、この段階で「Next」ボタンをクリックします。
00:05:09 然后我们同时在操作这个第二步。
同時に別のアカウントでもやってみましょう。
00:05:13 那,在操作的同时,可以先让他填写账号和密码。
同時並行でやりますが、まずはアカウント ID とパスワードを入力させてみましょう。
00:05:25 8 9 4 1 7 6
8 9 4 1 7 6
00:05:33 好,在这个时候呢,我的习惯是直接会点 “密错(密码错误)”。
このような場合、自分はそのまま「パスワードの誤入力」ボタンをクリックすることにしています。
00:05:38 因为贝宝的话,一般会需要接两次码。
PayPal の場合、通常は OTP 認証コードを 2 回受信する必要があります。
00:05:42 唉,这个不需要。
今回は必要ありません。
00:05:44 这个不需要接两次码。
この場合、2 回受信する必要はありません。
00:05:46 这个上来我们直接看它有几种卡。
まずはカモが何種類のカードを持っているか見てみましょう。
00:05:48 在这个地方卡片多的话,你可选择卡片用哪一个,然后再进去支付,好吧。
この段階でカード情報がたくさんあれば、どのカードを使用するか選んで支払いに進むことができます。
00:05:52 行,我们再等下一个。
よし…では、もう一度、次のカモを待ちましょう。
00:06:01 这个不对,这个密码错误,我们就直接 “密错”,再一个接码。
(JU-3 のタブに切り替えて操作)これは正しくありません。このパスワードは間違っているので、そのまま「パスワードの誤入力」ボタンをクリックし、再度 OTP 認証コードを受信してみましょう。
00:06:05 然后这个已经支付成功了啊。
(JU-1 のタブに切り替えて操作)そして、これはすでに支払いに成功しました。
00:06:09 大家看一下,这是贝宝。
みなさんご覧になりましたか。これが PayPal での利用方法です。
リアルタイムフィッシングのながれ
