高度で広範囲にわたるネットファイナンス条件を利用した見積依頼(RFQ)詐欺が、脅威リサーチャーによって明らかになりました。
この詐欺は、企業を標的に偽の調達依頼を送り、高額な電子機器や医療機器、その他の商品を不正に入手しようとするものです。
Proofpointが月曜日に発表したアドバイザリーによると、この詐欺はNet 15、30、45日などの一般的な後払い(ネット決済)オプションを利用し、商品の掛け売りを要求する仕組みです。
攻撃者は実在する企業の正規調達担当者になりすまし、雇用者識別番号(EIN)やDUNS番号などの盗まれた、または公開されているデータを使って、不正なファイナンス申請を裏付けます。
この手口は、一見通常のRFQメールから始まり、多くの場合、似たようなドメインや無料メールアカウントから送信されます。これらのメッセージには、以下のような専門性が高く需要のある商品が記載されていることが一般的です:
-
Flukeブランドのテスト機器
-
監視機器
-
医療機器
-
Wi-Fiルーターやハードドライブなどの業務に不可欠なハードウェア
ターゲットが条件に同意すると、詐欺師は信用承認を迅速化するために企業の証明書類を提供します。配送先住所は承認が下りるまで明かされないことが多く、攻撃者は多くの場合、ナイジェリアやガーナなど西アフリカ諸国への発送を専門とする運び屋やフォワーダーと連携しています。
フォワーディングとサイバー犯罪について詳しくはこちら:米大手運送会社、ランサムウェア攻撃で750万ドルの損失
場合によっては、脅威アクターが米国内の倉庫を借りたり、住宅の住所を利用して盗品を受け取ることもあります。これらの住所は、無関係な個人や協力者、または詐欺の被害者が仲介役として利用される場合があります。
直接的な関与と対策手順
攻撃の流れを理解するため、Proofpointのリサーチャーは寛容なファイナンスポリシーを持つサプライヤーになりすまし、複数の詐欺グループと直接やり取りを行いました。その結果、承認後には迅速な配送依頼や部分的な注文、偽造書類の使用など、詐欺を成立させるための明確なプロセスが明らかになりました。
Proofpointのテイクダウンチームは、19の悪意あるドメインを無効化し、米国の運送会社と連携して不正な荷物の差し止めに成功し、詐欺のインフラを妨害しました。
多くの場合、詐欺師はやり取りを放棄したり、すぐに新しいドメインに切り替えて詐欺を継続しようとします。
組織は、以下のような警告サインに注意を払うことでリスクを軽減できます:
-
見知らぬ送信者からの緊急のネットファイナンス(後払い)依頼
-
住宅住所やフォワーディング会社への配送依頼
-
無料メールサービスを使って実在企業になりすます行為
-
送信者ドメインの不一致や不審なドメイン名の使用
Proofpointは、これらの脅威を引き続き監視し、パートナーと協力してRFQ詐欺に関連する悪質な活動の特定・遮断・無効化に取り組むと述べています。
翻訳元: https://www.infosecurity-magazine.com/news/net-rfq-scam-targets-high-value/