ネット決済条件を利用した巧妙かつ広範な見積依頼(RFQ)詐欺が、脅威研究者によって発見されました。
この詐欺は、偽の調達依頼で企業を標的にし、高額な電子機器、医療機器、その他の物品を不正に入手しようとします。
月曜日にProofpointが公開したアドバイザリによると、この詐欺はNet 15、30、45日などの一般的なネット決済オプションを利用し、掛け(信用取引)で商品を要求することに依存しています。
攻撃者は実在する企業の正規の調達担当者を装い、雇用者識別番号(EIN)やDUNS番号など、盗まれた、または公開されているデータを用いて、不正な与信(ファイナンス)申請を裏付けます。
この手口は、一見すると通常のRFQメールから始まり、多くの場合、紛らわしい類似ドメインやフリーメールアカウントから送信されます。これらのメッセージには通常、次のような専門性が高く需要の高い品目が列挙されます。
-
Flukeブランドの試験・測定機器
-
監視機器
-
医療用機器
-
Wi-Fiルーターやハードドライブなど、業務に不可欠なハードウェア
標的が条件に同意すると、詐欺師は与信承認を早めるための事業関連書類を提示します。配送先住所は承認まで伏せられることが多く、攻撃者は運び屋(ミュール)や貨物転送業者と連携します。これらの業者の多くは、ナイジェリアやガーナなど西アフリカ諸国向けの出荷を専門としています。
貨物転送とサイバー犯罪について詳しく読む:米国の海運大手、ランサムウェア攻撃で750万ドルの損失
場合によっては、脅威アクターが米国内で倉庫を借りたり、住宅住所を使って盗品の配送を受け取ったりします。これらの住所は、事情を知らない個人、進んで協力する共犯者、または詐欺被害者が仲介役にされているケースもあります。
直接的な関与と緩和策
攻撃の連鎖を理解するため、Proofpointの研究者は、緩い金融条件を持つサプライヤーを装って複数の詐欺クラスターと直接やり取りしました。その結果、承認後の明確なプロセスが明らかになり、迅速な出荷要求、注文の一部納品、詐欺を成立させるための偽造書類の使用が含まれていました。
ProofpointのTakedown Teamは、19の悪性ドメインを無効化し、米国の配送会社と連携して不正な荷物を差し止めることで、この詐欺のインフラを妨害しました。
多くの場合、アクターは会話を放棄するか、計画を継続するために新しいドメインへ素早く切り替えました。
組織は、次の危険信号に注意することでリスクを低減できます。
-
見慣れない送信者からのネット決済(掛け)を急かす要求
-
住宅住所や貨物転送業者への配送
-
確立された企業を装うためのフリーメールサービスの使用
-
送信者ドメインの不一致、または不審なドメイン名
Proofpointは、これらの脅威の監視を継続し、パートナーと協力して、RFQ詐欺に関連する悪意ある活動を特定・遮断・無力化していくと述べました。
翻訳元: https://www.infosecurity-magazine.com/news/net-rfq-scam-targets-high-value/
