ビジネスメール詐欺(BEC)攻撃は、組織の従業員を狙った詐欺の一種で、攻撃者は経営幹部や企業に関係する信頼できる人物になりすまします。詐欺師は通常、被害者を騙して送金させたり、給与口座を変更させたり、会社の資金を盗むためのその他の行動を取らせようとします。BEC攻撃は通常は電子メールを介して行われますが、最近ではSMSテキストメッセージも利用されています。サイバーセキュリティ企業Trustwaveの最近のレポートでは、SMSベースのBEC攻撃の増加について解説し、その対策に関するアドバイスを提供しています。
参照:意図ベースの BEC 検出による企業メールのセキュリティ保護(TechRepublic)
SMSベースのBEC攻撃の仕組み
SMSをベースとしたBECキャンペーンは、携帯電話にテキストメッセージが送信されたという報告が寄せられた2019年に表面化し始めました。BEC攻撃は多くの場合、詐欺師が被害者の電話番号を尋ねるメールから始まります。その情報を基に、サイバー犯罪者はSMSを主要な通信手段へと移行します。
最初のメッセージは通常、受信者との関係を構築し、信頼を得ることを目的としています。また、被害者に迅速な行動を促すために、緊急性を伝えるメッセージとなることもあります。発覚を避けるため、攻撃者は会議中または電話会議中であるため電話に出られないと伝えることがあります。
被害者がメッセージに返信すると、攻撃者は詐欺を開始します。通常、詐欺は金銭取引を軸に展開されます。よくある詐欺の手口の一つとして、受信者にギフトカードの購入を促し、返金を約束するというものがあります。この策略が成功すると、攻撃者はスクラッチカードの画像を通して、被害者にギフトカードのコードを送信するよう指示します。
攻撃者が携帯電話番号を入手する方法
攻撃者は、最初のメールでのやり取り以外にも、他の手段で携帯電話番号を入手する可能性があります。データ侵害では、氏名、メールアドレス、その他の個人情報とともに電話番号が漏洩することがよくあります。ソーシャルメディアサイトで共有された電話番号は、攻撃者によって手動またはボットの使用によってスクレイピングされる可能性があります。
人物検索サイトは、サイバー犯罪者が電話番号を入手するもう一つの手段となります。データブローカーは消費者の個人情報を収集・販売し、それらの情報はこれらの検索サイトで無料または少額の料金で入手できます。電話番号を入手するもう一つの方法は、ポートアウト詐欺(SIMスワッピングとも呼ばれます)です。この場合、攻撃者は被害者を装い、被害者の電話番号を攻撃者が使用する別のプロバイダとアカウントに転送するよう手配します。
BEC攻撃を防ぐための推奨事項
組織を BEC 攻撃から保護するために、Trustwave はセキュリティ専門家とユーザーに次のヒントを提供しています。
セキュリティ意識向上トレーニングを提供する
BECメッセージは、スパムフィルターを回避し、人間の弱点を突くように設計されているため、ITおよびセキュリティ担当者は、従業員に対し、疑わしい、または悪意のあるメールやテキストメッセージを識別する方法について適切なトレーニングを提供する必要があります。ユーザーは、メッセージが詐欺である可能性があると疑われる場合、どのような手順を踏み、誰に連絡すればよいかを知っておく必要があります。
電話による金融取引の確認を要求する
BEC攻撃者は通常、電話での発覚を避けるため、テキストメッセージのみで通信を行います。この罠を回避するには、組織内で要求される金融取引はすべて、電話または対面で確認するように徹底してください。また、社内で取引のある人物は、本人確認のため、公式ディレクトリに登録されている必要があります。
多要素認証を実装する
MFA 要件を追加すると、たとえアカウントの認証情報が漏洩したとしても、攻撃者はその二次認証なしではアクセスできなくなります。MFA は、専用の認証アプリ、ワンタイムパスワード、セキュリティの質問、あるいは顔認証や指紋認証などの生体認証技術を通じて実現できます。
ソーシャルメディアの認知度を高める
従業員には、オンラインに投稿されたデータはスクレイピングまたは収集される可能性があることを必ず認識させましょう。つまり、連絡先情報、個人情報、職務内容や組織図などの会社情報を投稿しないようにする必要があります。
TechRepublic Premium からこの既成のセキュリティ認識およびトレーニング ポリシーをダウンロードすることで、会社、特に IT チームの時間を節約できます。
