カテゴリー
ネットの事件

詐欺業者に毎秒28回電話を掛け続けるスクリプトで反撃したエンジニア

国税局を名乗った詐欺業者からの「あなたに脱税の疑いがあり、取り締まりの対象となっているので電話をしてださい」という留守電メッセージ電話を受け取ったセキュリティ開発者が、その後に取った反撃を記録し、動画公開して話題となって […]

国税局を名乗った詐欺業者からの「あなたに脱税の疑いがあり、取り締まりの対象となっているので電話をしてださい」という留守電メッセージ電話を受け取ったセキュリティ開発者が、その後に取った反撃を記録し、動画公開して話題となっています。

IRS(アメリカ国税局)のフリをした留守電メッセージを聴いたこの匿名のセキュリティ開発者は、まずは指定の番号に掛けてます。

電話に出てきた「IRSの」女性は、強い訛りで長々と、原稿を読み上げるように、彼の過去数年にわたる納税に関する間違い、当局が今にも家宅捜索し免許証・動産・銀行口座などすべて差し押さえられること、未払い税の総額、などについて告げます(00:08~01:39)。途中かなり”BS(たわごと)だ”として録音を飛ばしているのですが、それでも長い。

彼が未払いの税の支払いに(もちろんフリで)同意すると、使っている銀行名を訊かれ、相手は上司らしい男性に替わります。男性が「あなたの銀行はあなたが政府とトラブルを起こしていることをまだ知らない。トラブルについて知られると口座が凍結されて引き出せなくなってしまう。まず現金を引き出しなさい」と言うあたりまで聴いて、もう十分だと(詐欺であることは間違いないと)思った彼は電話を切りました。

セキュリティ開発者である彼はもちろんこんなヨタ話に騙されないのですが、他にも多くの人がこのメッセージを受け取っていること、その中には信じて言われるがままに言われたところへ送金してしまう人がいるだろうことを想像し、この詐欺業者を懲らしめることを考えたようです(02:14)。

# 実際、ウィスコンシン州でこの手の詐欺に$6000(66万円) 払ってしまった人がニュースになっています。業者も引っかかる人がいないと続けてないでしょうから、一定数の人は騙されているのでしょうね

彼が書いたスクリプトは、複数の電話番号からこの業者の番号に掛けて、以下のようなメッセージを喋るというもの(02:24)。

ハロー。あなたは詐欺業者であると検出しました。そのため、私たちはこの回線を溢れさせることでこれ以上の詐欺電話を掛けられないようにしています。

02:34 からは、このスクリプトが掛けた電話をモニタした様子です。「はい、こちらIRSの…」と出た相手は、上の自動メッセージを聴かされ続けて、「ああ、また『検出』だ」とか、「お前の名前は?」とか、あきれて歌を歌い始めたり、そのうち、ヒンディー語で悪態をつきはじめます(YouTubeのコメント欄に翻訳あり)。「ああ、これ10-15ぐらいの違う番号から掛かってきてるぞ」というのも。

第一弾の動画が100万回以上再生されたのを受けて、同メイフェムプロジェクトは他のツールも作成し、詐欺業者に対して使用しています。

こちらは、警告文の代わりに「ハロー」を、いろいろな種類の声や速さで言わせるというもの。毎回違う人に聴こえるので、本当に騙されて掛けている人かどうかを知るためには切らずに聴き続ける必要があります。少し時間を置いて、いつもの合成音声で「私は交渉に来た。私は次も、その次も、その次も、詐欺業者を回線から取り除くまで…」と話し続けます。

国税局ではなく、Windowsのライセンス更新でお金を振り込ませる、という別の詐欺業者へも同ツールを使って攻撃しています

スクリプトの内容

スクリプト自身は公開されていないのですが(悪用も簡単ですからでしょうか)、画面に映ったスクリプトからか、動作からの推測か、同じように動くスクリプトを再現してGitHubで公開した人も現れました。

スクリプトはC#で書かれており、電話を掛けるのはTwilioのAPIを使っています。なお、今回のような利用はTwilioの利用規約違反です。

複数の電話番号をTwilioで取得し、それをセットすることで多数の異なる番号から相手に掛けるようにしています。Twilio APIで電話を掛けるのはタダではないので、このエンジニアの行動にもそれなりにコストが掛かっているようで、寄付を募るページをPatreonというサイトで開いています。

自力救済問題

たとえ相手が詐欺を行っていたとしても、電話を掛け続けて回線を使えなくするのは別の犯罪なように思います。この開発者が名前を明かさず、寄付もBitcoin経由で受け付けているあたり、やっている方もわかっているのだと思いますが。動画があっというまにバイラルで広まり、この彼をヒーローだと評するコメントも多数集まっているのは、普段こういった詐欺的なメッセージに悩まされたり時間を取らされたりしている人が多いことの現れかもしれません。

京都府警が詐欺グループの電話番号に対して同様の攻撃を掛けた、というのが先月NHKニュースで報じられていた(記事は消えているのではてなブックマーク)ので、相手が悪いとわかってるなら構わない、とか、警察がやるなら構わない、とか、人によって意見がわかれるところなのかもしれないですね。

via BGR

「詐欺業者に毎秒28回電話を掛け続けるスクリプトで反撃したエンジニア」への31件の返信

電話を取り次ぐAIとか需要ありそう。でもしばらくしたら留守電みたいにAIと分かるとすぐ切られるのかな? / “詐欺業者に毎秒28回電話を掛け続けるスクリプトで反撃したエンジニア | 秋元@サイボウズラボ・プログラマー・ブログ” https://t.co/pmOW1wX62B

米国で詐欺を電話DoS攻撃で撃退とな。

日本では自動リダイアルは電気通信事業法で禁止だと思うけど、米国はどうなのかな。記事によると複数の電話番号から攻撃してたらしいから、各番号が発信規制の範囲内なら合法なのか気になる。

https://t.co/YHFu9ZNfJb

詐欺業者に毎秒28回電話を掛け続けるスクリプトで反撃したエンジニア
https://t.co/krl1dBi7Ok

この手の詐欺の対抗策で秀逸だと思ったのは、振込先の口座番号を聞き出してすぐ別の電話で銀行と警察に連絡し口座凍結させるやつ
今回のはビットコインなので使えないけど

コメントは受け付けていません。