攻撃者が技術ではなく信頼を標的にする場合、組織は検証習慣と権限を与えられたスタッフで対応する必要があります。
ビジネスメール詐欺(BEC)は見栄えの良く装った詐欺です。きれいで、綿密に計算され、最も鋭い目さえも騙す準備ができています。これらの詐欺師は、杜撰なハッキングで自分たちの正体を明かしません。彼らはなじみのある声でささやき、あなたのCEO、HR、または信頼できるベンダーになりすまします。そしてフィッシングとは異なり、内部情報に基づいた精密な攻撃です。
わずか去年、BEC攻撃は驚くべき27億ドルの損失をもたらし、2021年比で12.5%増加しました。これは小銭ではなく、経済的な惨事です。そして何だと思いますか?詐欺師はマルウェアを必要としません。彼らに必要なのはあなたの信頼だけです。
あなたの受信箱のすべてのメールを二重確認させる10のメール詐欺の例を分解してみましょう。
ビジネスメール詐欺とは?
BECは、サイバー犯罪者が信頼している人(あなたの上司、弁護士、ベンダー)になりすまし、お金や機密情報を手渡すよう騙す場合です。彼らはあなたの習慣を研究し、あなたの連絡先を模倣し、完璧なタイミングを待ちます。
これらの詐欺がどのように展開され、どのようにそれより先を行くのかを見たいですか?ビジネスメール詐欺の戦術とトレンドの完全な分析をチェックしてください。
BECはフィッシングとどう違うのか?
各攻撃戦略がどのように機能するかの簡単な概要は次のとおりです:
ビジネスメール詐欺のタイプ(および新しい手口)
BECは常に進化しています。最新のビジネスメール詐欺のトレンドをチェックしてください:
- AI風複製:AIを使ってあなたのボスのように正確に聞こえるようにしています。
- 偽の請求書スキーム:偽造された請求書は信頼できるベンダーからのように見えますが、偽のアカウントへの直接支払いです。
- QRコード攻撃:メールに埋め込まれたQRコードで、被害者をフィッシングサイトに送信または悪意のあるダウンロードを引き起こします。
- 会話ハッキング:攻撃者は正当なメールスレッドを乗っ取り、機密情報を盗んだり、従業員を特定のアクションに操作したりします。
これはあなたのおばあちゃんのナイジェリアの王子詐欺ではありません。それはGmailを使った「オーシャンズ11」です。これらの高額詐欺がどのように展開されるかを味わうために、ここに10の実生活でのビジネスメール詐欺の例があります。
2019年、トヨタのサプライヤーは3700万ドルのBEC攻撃の被害者になりました。トヨタの子会社の1つのビジネスパートナーになりすましている第三者のハッカーが、財務会計チームにメールを送信し、資金を彼らの管理下にあるアカウントに転送するよう要求しました。このタイプの攻撃は、ベンダーメール詐欺(VEC)として一般的に知られています。
ネットワーキング会社のUbiquitiは、2015年に偽のベンダーなりすましを含む4670万ドルの大規模な損失を被りました。攻撃は外部ソースからなりすまし電子メールと不正な要求を行い、財務部門を欺いて第三者が管理する海外アカウントへの転送を承認させました。
3. FacebookとGoogle:1億2100万ドルのBEC詐欺
信じがたいことですが、FacebookやGoogleなどのテック大企業は、2013年から2015年の間に1億2100万ドル以上の損失をもたらしたフィッシング攻撃に騙されました。Evaldas Rimasauskasは外部ベンダーになりすまし、支払いを要求する説得力のある請求書を含むメールを会社職員に送信しました。企業が金銭を送金すると、彼は迅速に資金を世界中のさまざまな銀行口座に移動させました。
4. 詐欺師がミシガン州グランドラピッズ公立学校から280万ドルを盗む
ミシガン州グランドラピッズ公立学校は280万ドルを失いました。詐欺師は地区の給付コーディネーターのメールにアクセスし、それを使用して通信を傍受し、地区の保険金を別のアカウントにリダイレクトしました。
5. CFOになりすまし者がChildren’s Healthcare of Atlantaから360万ドルをだまし取る
2018年、詐欺師がCFOになりすました場合、Children’s Healthcare of Atlantaが被害を受けました。詐欺師は病院の買掛金部門をだまして、ファイル内の銀行口座の詳細を更新させ、その結果、不正なアカウントへの360万ドルの転送が発生しました。
不動産会社は、2021年に社会工学的戦術を使用した国際的な詐欺師グループに3800万ユーロだまし取られました。詐欺師は弁護士になりすまし、機密で緊急の送金を押し付けることで企業の信頼を獲得しました。
7. 建築詐欺:教会の建設基金から79万3000ドルが盗まれる
詐欺師はノースカロライナ州の教会の新しい建設プロジェクトを利用して、2022年に79万3000ドルを盗みました。請負業者になりすまし、詐欺師はメールアドレスの1文字を微妙に変更して、資金を自分の手に誘導しました。
8. サイバー犯罪者がメディケアとメディケイドから1110万ドルを盗む
標的型BEC攻撃では、サイバー犯罪者は信頼できる人物になりすまし、政府のヘルスケアプログラムであるメディケアとメディケイドを標的にしました。メールなりすましにより、彼らは1110万ドルを不正な銀行口座に成功させました。
セーブ・ザ・チルドレンは、2017年に詐欺師が従業員のメールアカウントにアクセスし、スタッフメンバーになりすました場合、100万ドルを失いました。偽の請求書とメール要求を使用して、彼らは慈善団体に資金を移動させるよう説得しました。
10. ギレルモ・ペレス:220万ドル
2018年から2019年の間に、ギレルモ・ペレスは複数の被害者から220万ドルをだまし取ったBEC詐欺を主導しました。彼は日常的な金融取引の中で個人や企業になりすまし、被害者を彼と彼の共犯者が管理するアカウントに送金するよう説得したと思われます。
対抗する方法:賢い防御戦略
BECを止めることは、ストリート知識とシステムについてです。ここであなたができることは:
- 要求を確認する:常に電話をかけるか、既知の連絡先を使用して、資金の移動を二重確認します。
- 2組の目:転送に対して承認層を設定します。特に一定の金額を超える場合。
- チームを訓練する:詐欺のにおいを嗅ぎ分けるようにチームに教えます。Huntress Managed Security Awareness Trainingがそれに役立つ可能性があります。
- メールセキュリティに投資する:なりすましと疑わしい送信者にフラグを立てるツールを取得します。
信頼しないでください。検証してください。常に。
BEC詐欺はノックして、微笑んで、丁寧にあなたを奪うよう頼みます。これらの攻撃は、信頼、タイミング、および親密さに基づいているため、機能します。それらに対するあなたの最良の防御は恐れではなく、戦略です。物事を遅くする習慣を作成し、検証を要求し、簡単なターゲットを排除します。BECが当たったとき、あなたは信頼、評判、時間を失うからです。そしてそれは誰も払いたくない価格です。
資格情報の盗難と不正アクセスなどの脅威がビジネスにとって何を意味するのかを理解しており、お手伝いします。Huntressはマネージド ID 脅威検出と応答(ITDR)でカバーしており、組織全体のアイデンティティを24/7保護しています。
翻訳元: https://www.csoonline.com/article/4128950/what-does-business-email-compromise-look-like.html
