今回の追跡は、ロシアのアンダーグラウンドフォーラム上で確認された投稿から始まった。「acmpassagens」と名乗るユーザーが、POS システムを狙った不正プログラム「Virtual Skimmer」に関し、協力を求めて投稿した。この投稿は、ロシア語で書かれているものの、文章が不自然だったこと、400以上のガソリンスタンドや店舗にある POS 端末にアクセスできるとしているが、すべてブラジル国内だったことの2点で目を引くものだった。つまり、このユーザは、ブラジルから、ロシアのアンダーグラウンドフォーラムに投稿していた。
この acmpassagens は、自身のメールアドレス(acmpassagens3@yahoo.com.br)と Skype アカウント(acmpassagens)を投稿メッセージに記載していた。これらとユーザー名で、この人物のオンライン上での他の行動も追跡できる。
クレジットカードのスキミングに関する動画には、このユーザーのメールアドレスが記載されていたため、他のユーザーは、彼の「ビジネス」に参加したいと思えば、直接連絡を取ることができた。
トレンドマイクロは、この人物が利用するメールアドレスと、2つの Skype アカウント(acmpassagens および _brenosk815)を入手した。さらに、オンラインファイル保存サービス「4shared」で、acmpassagens が利用しているアカウントを発見した。このアカウントで保存されている 1GB 分のファイルはすべて公開されており、ユーザー名やパスワードなしに誰でもインターネット上で閲覧できるようになっていたという。
4shared のアカウントに含まれるファイルは、acmpassagens がこれまでに実行してきたサイバー犯罪の記録のようなもの。不正プログラムや、フィッシング詐欺サイトのひな形、サイバー犯罪者や共犯者、被害者の個人情報と思われるさまざまなファイルが保存されていた。さらに、「Money-Mule」(運び屋)に関する情報も、多数確認された。トレンドマイクロは、Visa カードの明細書や銀行口座の明細書を含むさまざまな書類を確認したという。
このアカウントによると、「acmpassagens」とは、「Breno Franco」と名乗るブラジル国籍の男性。自身を「ビジネスマン」と称し、ブラジルで 8番目に人口の多い都市、サルヴァドールに正式な住所を持っているという。
 |
| 窃取されたクレジットカードの件数 |
