ビジネスメール詐欺
ビジネスメール詐欺(BEC)とは、スピアフィッシング攻撃の一種で、従業員がよく知っている人物になりすまして、資金の送金や機密情報の開示、またはその他の有害な処理を実行させようとする行為です。
ビジネスメール詐欺の例
通常、BECは、組織内で影響力を持つ人物、または予算を直接管理する人物を単独でターゲットにします。攻撃の成功は、対象となる個人が、社内の上司や同僚、または外部のパートナーやベンダーからの一見正当なメールに対応して、リンクをクリックしたり、加害者にログイン認証情報を提供したりすることを当てにしています。
さまざまな形態がありますが、ビジネスメール詐欺の一般的な例として次のようなものがあります。
ギフトカード詐欺:この攻撃では、ハッカーは社員や顧客のためにギフトカードを購入するように従業員に依頼します。多くの場合、ハッカーは秘密保持を要求し、実際のギフトカードではなく、ギフトカードの裏面のスクリーンショットを送信するよう従業員に指示します。
CEO詐欺:ビジネスメール詐欺の最も高額な形態の1つであるこの攻撃には、CEOや役員のなりすましが使われます。この場合も、ハッカーは秘密保持を要求し、従業員に何らかの処理をするように促します。たいていの場合、それは金銭的なものです。多くの場合、ハッカーは従業員に多額の送金を依頼します。
ベンダー詐欺:この攻撃では、ハッカーがベンダーのアカウントを侵害し、そのアカウントを使って、そのベンダーの顧客にフィッシングやスピアフィッシング攻撃をしかけます。これは、ベンダーの請求書の支払いをしていると信じ込んでいる被害者から迅速な支払いをハッカーが受け取る一般的なスキームです。
確定申告詐欺:このスキームでは、ハッカーは通常、従業員になりすまして人事チームのメンバーに連絡し、W2(米国の源泉徴収票)またはその他の損益計算書フォームのコピーを要求します。
BEC攻撃が成功した場合の影響
2019年から2021年の間に、世界中で発覚したBEC攻撃による損失が 65%増加したとFBIは報告しました。これは、3年足らずで430億ドルの損失に相当します。当然のことながら、BEC攻撃の成功による経済的損失は、ほとんどの組織が予防措置を講じる原動力となっています。
見落とされがちな影響として、消費者の信頼の低下やブランドの評判の低下などが挙げられます。企業のセキュリティ体制が不十分であるという噂が広まると、見込み客はためらうことなく他社に支援を求めるでしょう。
。