FBIは、過去10年間でこのサイバー犯罪カテゴリが脅威アクターに数百億ドルをもたらしてきたことを明らかにしたうえで、組織に対しビジネスメール詐欺(BEC)の試みに厳重な警戒を呼びかけた。
BECはプリテキスティング(口実詐欺)の一形態であり、通常はサプライヤーなどの正当な組織を装う詐欺師に対して、多額の送金を行うよう個人がだまされるソーシャルエンジニアリングの一種である。別のケースでは、詐欺師がCEOやCFOになりすまし、その権限を利用して財務担当者に電信送金を要求する。
脅威アクターはしばしばメールアカウントを侵害し、正当な組織からのメッセージを監視することで、要求内容をより現実味のあるものにする。
FBIのインターネット犯罪苦情センター(IC3)は昨日の通知で、2013年10月から2023年12月までの間に、BECにより米国および世界の組織が約555億ドルの損失を被ったと主張した。これは30万5000件超のインシデントに基づくという。
同センターによれば、この10年間で米国内の被害者は158,436人、国外の被害者は6,545人に上った。
BECについて詳しく読む:2022年にBEC攻撃が81%増加
IC3はさらに、英国と香港の銀行が、BEC詐欺師の支配下にある口座へ資金が移される際の中継地点として機能することが多いと付け加えた。
「BEC詐欺は、小規模な地域企業から大企業、さらには個人取引までを標的にし続けており、ビジネスまたは個人のアカウントへアクセスする手口を進化させている。2022年12月から2023年12月の間に、特定された世界全体の露出損失は9%増加した」と同センターは述べた。
「2023年、IC3は、資金が第三者決済事業者が保管口座を置く金融機関、またはP2P決済事業者、暗号資産取引所へ直接送金されるBECの報告が増加しているのを確認しており、これが世界全体の露出損失の増加に直接寄与した」としている。
被害者は、不正なBECの電信送金を発見した場合、直ちに銀行へ連絡するよう促されている。
FBIは、BECリスクを軽減するために次の助言を示した:
- 多要素認証(MFA)を使用し、口座情報の変更依頼は必ず別の担当者の確認(ダブルチェック)を入れる
- オンラインサービスごとに固有のパスワードを使用し、定期的に変更するよう努める
- メール内のURLが、送信元を名乗る企業/個人に紐づくものであることを確認する
- 実在するドメイン名のスペルミスを含む可能性のあるハイパーリンクに注意する
- 依頼が正当なものに見えても、メールでログイン認証情報や個人を特定できる情報(PII)を決して渡さない
- 特にモバイル/携帯端末を使用している場合は、送信者のメールアドレスが実際の送信元と一致していることを確認する
- 従業員のPC設定で、メールの拡張子が完全に表示されるようにする
- 入金漏れなどの不審な点がないか、金融口座を定期的に監視する
翻訳元: https://www.infosecurity-magazine.com/news/business-email-compromise-55bn/
