ビジネスメール詐欺(BEC)はマルウェアではなくソーシャルエンジニアリングを使用します。段階的な防御とユーザーの警戒が不可欠です。
ビジネスメール詐欺(BEC)は、巧妙に偽造された手書きの手紙のサイバー版です。マルウェアの花火はなく、点滅する警告もありません。ただ誰かを騙して金銭を送金させたり機密データを提供させたりする説得力のあるリクエストです。BECを防ぐ方法を知ることは、すべてのセキュリティのやることリストの最上位にあるべきです。なぜなら、1通の詐欺メールだけでも数分間で6桁または7桁の金額を失う可能性があるからです。
BEC攻撃がこれほど強力な理由
感染した添付ファイルに依存する無差別なフィッシングとは異なり、BECは純粋なソーシャルエンジニアリングです。攻撃者は下準備をします。LinkedInのプロフィールをスクレイピングしたり、ベンダーのドメインを偽造したり、あなたの売掛金ワークフローを研究したりします。時には、あなたが取引している上流のベンダーのメールアカウントを侵害して、既存のメール会話に身を潜ませるために使用することもあります。
詐欺を実行するために、攻撃者は完璧なタイミングを待ち、1通の洗練されたメールを送信します。信頼できるサプライヤーからのように見える偽の請求書かもしれません。「CEO」からの銀行詳細の変更を求める要求かもしれません。または、給与計算日の直前に財務チームの受信トレイに到着する緊急の給与更新かもしれません。
悪意のあるリンクまたは添付ファイルが関係していないため、多くのメールスキャナーはメールを無視します。これが、メール詐欺防止が人間の直感、ID制御、および段階的な監視に依存する必要がある理由です。
実際に機能する5つの予防措置
基本から始めましょう。多要素認証は、認証情報の詰め込み試行の99%を阻止します。これをDMARC、DKIM、SPFレコードをチェックする高度なフィッシングおよびスプーフィングフィルターと組み合わせます。メールを本当に保護したい場合は、そっくりなドメインをブロックし、返信先アドレスが一致しないメッセージにフラグを付けます。
セキュリティ認識は年1回のスライドショーではありません。それは継続的な習慣です。人々はあなたの最大のリスクまたは最強のファイアウォールのいずれかです。セキュリティ認識トレーニングは、スタッフがBECの兆候(文法の不備、奇妙なタイミング、または異常な緊急性)を認識するのに役立ちます。シミュレートされた攻撃は、従業員が(本能的に)クリックまたは返信する前にフィッシング詐欺を報告するように、これらのレッスンを強化します。Huntress Managed Security Awareness Trainingは、短くて力強いレッスンとシミュレートされたBECメールを提供し、チームが実践を通じて学習できます。ここで詳細を確認してください。
大きな送金をボルトを開けるように考えてください。1つのキーでは不十分です。設定した一定のしきい値を超える支払いについて、理想的には異なる部門から2人の承認者を必須にします。1人の従業員が詐欺に引っかかったとしても、2番目の承認者は、ビジネスメール詐欺を直ちに停止するために必要です。そして、攻撃者がラップトップに汗ばんだこぶしを叩き付けて、頭をかき乱す様子を想像できます。
BEC関係者は、「いや、わかりませんが、何らかの理由でメールにアクセスできません」と言う出張中の経営幹部になりすまして、サポートラインに電話をかけることがよくあります。非拒否認証を採用することで、彼らを即座に阻止します。既知の番号へのアウトオブバンドコールバック、従業員バッジ、または二次メール確認。本当のものであることを証明できない場合は、パスワードリセットなしです。
今日の脅威環境では、すべての迷惑メッセージが無実と証明されるまで有罪と見なしてください。それを要求していない場合、そして添付ファイルを期待していない場合は、細心の注意を払って対処してください。この疑わしい考え方は、お金またはデータが建物を離れる前に追加の検証ステップを強制することで、BEC攻撃を防止し、罠に引っかかることがないようにします。
コストが発生する前に問題を検出する
では、ビジネスメール詐欺をどのように検出しますか?通常のパターンから目立つ異常を探します。
- タイミングの異常:営業時間外、または休日の直前のリクエスト
- 財務上の危険信号:銀行詳細の変更または緊急の支払い経路の変更(例:「1時間以内に支払いを送信してください!」)
- 技術的なマーカー:経営幹部のメールボックスに追加された転送ルール、不可能な場所からのログイン、またはMFA試行の失敗の急増
BEC インシデント対応
強力な防御でさえ、攻撃者が時々ゴールキーパーを超えることがあります。これがあなたの迅速な対応シーケンスです。
- 資金を凍結する:お金が動いた場合は、すぐに銀行の詐欺部隊に電話してください。多くの送金は、最初の数時間以内にフラグが付けられた場合、回収できます。
- アカウントをロックする:パスワードを回転させ、サインアウトを強制し、侵害されたID に関連するアクティブなセッションを終了します。
- ログを掘り下げる:元のヘッダー、メールボックスルール、エンドポイントログを保持します。攻撃者がどの程度浸透し、他に何に接触したかを教えてくれます。
- 完全なフォレンジックを実行する:EDRを使用して、ローカルスクリプト実行または認証情報を収集しているマルウェアを探し、必要に応じて感染したデバイスを隔離します。
- ステークホルダーに通知する:透明性は常に秘密の混乱に勝ります。リーダーシップ、影響を受けたベンダー、および個人識別情報が関係している場合は、法的助言を与える必要があります。
Huntressでのビジネスメール詐欺の防止
Huntressを使用すると、BEC攻撃を防ぐ方法を考えることが簡単になります。
- Huntress Managed ITDRは24時間7日、IDシグナルを監視し、疑わしいインボックスルール、MFAの変更、または異常なログイン地域に警告を発します。
- Huntress Managed Security Awareness Trainingスタッフの調子を整えたままにして、クリック率を低下させ、インシデント報告を加速させます。
- Huntress Managed EDRエンドポイントの洞察を提供し、認証情報フィッシング後にインストールされるサイレントマルウェアをキャッチします。
これらのレイヤーが組み合わさることで、継続的な監視、即座のアラート、および人間主導の分析が得られ、BECを存在的な脅威から単なる別のクローズ済みチケットに変えます。
翻訳元: https://www.csoonline.com/article/4128848/how-to-prevent-business-email-compromise.html
