テクノロジー セキュリティ CEO からのメール?: 捕鯨フィッシング詐欺の説明

CEO からのメール?: 捕鯨フィッシング詐欺の説明

最近、「CEO」から「ベンダー」への送金を求めるメールを受け取りましたか?やめてください! CEO詐欺について詳しく説明します。

ちょっとした背景話から始めましょう。

私がフルタイムのライターとして に入社してからほぼ 2 か月後、CEO の不正行為が私に起こりました。

社長詐欺詐欺
社長詐欺詐欺

詐欺師は評判の高いドメイン名 Virgin Media (canaee@) を使用していたため、すぐにはわかりませんでした。 ヴァージンメディア.com )、両方ともイギリスにあるので、私の CEO がこの通信会社と何らかの関係があるのではないかと思いました。

そこで私は、最初の「仕事を割り当てたいのですが、空いていますか?」に返答しました。積極的に。次に、送信者は、ベンダーへの 24,610 インドルピー (約 300 ドル) の送金を含むタスクの詳細を説明しました。私が同意していれば、その詳細は共有されていたはずです。

しかし、これには少し疑問を感じたので、何かを転送する前に送信者に身元を証明するように依頼しました。数通のメールの後、詐欺師はやめるよう電話をかけてきたので、私はその会話を実際の CEO と Virgin Media の IT 担当者に送りました。

私はこの種の詐欺に対処するための事前訓練を受けていませんでしたが、この罠にはまらなかったのは幸運でした。

しかし、完全に運に頼るべきではありません。代わりに、このことを事前に知って、他の人を教育してください。

CEO からのメール?: 捕鯨フィッシング詐欺の説明
CEO からのメール?: 捕鯨フィッシング詐欺の説明
コンテンツ 表示

CEO 詐欺、別名エグゼクティブ フィッシング

これは、特定の組織またはその従業員の一部を標的とした攻撃であるスピア フィッシングに該当します。ターゲットが組織の高名な従業員 (経営幹部など) である場合、これは 捕鯨フィッシング攻撃 として知られます。

米国連邦捜査局は、これらの詐欺を ビジネス電子メール侵害 (BEC) または 電子メール アカウント侵害 (EAC) に分類し、この インターネット犯罪報告書 によると、2021 年の損失額は約 24 億ドルに達しました。

地理的には、ナイジェリアが CEO の不正行為の 46% を最も多く発生している 国であり、米国 (27%) と英国 (15%) がそれに続きます。

これはどのように作動しますか?

これはどのように作動しますか
これはどのように作動しますか

特に、CEO 詐欺には技術的なスキルや犯罪のノウハウは必要ありません。あなたが受け取ることになるのは、あなたをだまして資金を送金させたり、さらなる違法行為のために機密情報を暴露させたりするためのランダムな電子メールとソーシャル エンジニアリングだけです。

悪質な行為者が「現時点で」これを行う方法をいくつか確認してみましょう。

タイプ1

CEO であるかのような無作為の電子メール アドレスで金銭を要求するのは、このようなトリックの最も単純な形式です。そして、これは簡単に見つけられます。探す必要があるのは電子メール アドレスだけです ( 名前ではありません )。

通常、ドメイン名 (xyz@) 会社名.com )詐欺を与えます。ただし、電子メール アドレスが有名な組織を示している可能性があります (私の場合がそうでした)。

これらの受賞により、知識のない専門家が被害に遭う可能性のある詐欺に正当性が加わりました。さらに、電子メール アドレスは本物のように見えますが、@gmail.com の代わりに @gmial.com を変更するなど、わずかに目立たない変更が加えられている場合があります。

最後に、正規であっても侵害された電子メール アドレスから送信される可能性があるため、詐欺を検出することが非常に困難になります。

タイプ2

もう 1 つのより高度な手法は、ビデオ通話を使用します。これには、主に財務部門の従業員に「緊急」のオンライン会議出席依頼を送信する最高位の役人の「管理」電子メール アドレスが含まれています。

次に、参加者は、接続が期待どおりに機能していないという主張を伴う、音声なし (またはディープフェイク音声あり) の画像を表示します。

その後、「経営者」は未知の銀行口座への電信送金を開始するよう依頼し、詐欺が成功した後、そこからお金が他のチャネル(仮想通貨)を介して吸い上げられます。

タイプ3

これはタイプ 1 のバリエーションですが、従業員ではなくビジネス パートナーをターゲットにしており、請求書詐欺という名前が付けられており、その手口により適しています。

この場合、組織のクライアントは、特定の銀行口座に緊急に請求書を支払うよう電子メールを受け取ります。

出典: CBCニュース
ceo-詐欺-1
ceo-詐欺-1

これは通常、ハッキングされた会社の電子メール アドレスを使用して実行されるため、最も成功率が高くなります。また、電子メールは、場合によっては専ら専門家間のコミュニケーション手段であるため、対象となる組織に多大な経済的損失と評判の損失をもたらします。

CEOの不正行為をチェックするには?

CEO の不正行為をチェックする方法
CEO の不正行為をチェックする方法

従業員として、CEO からの要求を拒否するのは困難です。この心理が、加害者がランダムなメールだけで簡単に成功してしまう主な原因です。

財政的要求に質問するだけでなく、「協力」する前にビデオ会議を依頼するのが最善です。

さらに、ほとんどの場合、電子メール アドレスを注意深く確認するだけで十分です。これはあなたの組織に属していないか、会社名のスペルが間違っている可能性があります。

さらに、教育機関はすべてのドメイン拡張子を登録できるわけではありません。したがって、正式なアドレスが xyz@company.com であるはずのときに、 xyz@company.net からメールを受信することに注意する必要があります。

最後に、「外部」または不正な内部メンバーから操作された会社アドレスから電子メールを受信して​​いる可能性があります。このような状況を解決する鍵となるのは、支払いを行う前に口頭で確認するか、複数の幹部に状況を伝え続けることです。

そして、組織を率いる場合、組織を保護する最も効果的な方法は、定期的な従業員トレーニングにフィッシング シミュレーションを組み込むことです。なぜなら、これらの詐欺師は常に進化しているからです。したがって、1 回限りの警告は従業員にとってあまり役に立ちません。

まとめ!

残念なことに、私たちはビジネスメールに大きく依存しており、犯罪者が悪用する大きな抜け穴が残されています。

このコミュニケーション形式に代わるものはまだありませんが、Slack や WhatsApp などのアプリケーションでビジネス パートナーを追加できます。これにより、何か不審な点があるかどうかをすぐに確認し、そのような失敗を避けることができます。

PS: 私があなただったら、インターネット リテラシーを高めるために、サイバー犯罪の種類について説明したこの記事を見逃さないでしょう。

「 CEO からのメール?: 捕鯨フィッシング詐欺の説明」についてわかりやすく解説!絶対に観るべきベスト2動画

【解説】“偽メール・サイト”横行に注意! 判別困難?『知りたいッ!』
https://www.youtube-nocookie.com/watch?v=I3BlxWTUb0o&pp=ygVHIENFTyDjgYvjgonjga7jg6Hjg7zjg6s_OiDmjZXpr6jjg5XjgqPjg4Pjgrfjg7PjgrDoqZDmrLrjga7oqqzmmI4maGw9SkE%3D
LINE詐欺にひっかかってみた。
https://www.youtube-nocookie.com/shorts/1uLhemmYmj8

最近、「CEO」から「ベンダー」への送金を求めるメールを受け取りましたか?やめてください! CEO詐欺について詳しく説明します。

ちょっとした背景話から始めましょう。

私がフルタイムのライターとして に入社してからほぼ 2 か月後、CEO の不正行為が私に起こりました。

社長詐欺詐欺
社長詐欺詐欺

詐欺師は評判の高いドメイン名 Virgin Media (canaee@) を使用していたため、すぐにはわかりませんでした。 ヴァージンメディア.com )、両方ともイギリスにあるので、私の CEO がこの通信会社と何らかの関係があるのではないかと思いました。

そこで私は、最初の「仕事を割り当てたいのですが、空いていますか?」に返答しました。積極的に。次に、送信者は、ベンダーへの 24,610 インドルピー (約 300 ドル) の送金を含むタスクの詳細を説明しました。私が同意していれば、その詳細は共有されていたはずです。

しかし、これには少し疑問を感じたので、何かを転送する前に送信者に身元を証明するように依頼しました。数通のメールの後、詐欺師はやめるよう電話をかけてきたので、私はその会話を実際の CEO と Virgin Media の IT 担当者に送りました。

私はこの種の詐欺に対処するための事前訓練を受けていませんでしたが、この罠にはまらなかったのは幸運でした。

しかし、完全に運に頼るべきではありません。代わりに、このことを事前に知って、他の人を教育してください。

CEO からのメール?: 捕鯨フィッシング詐欺の説明
CEO からのメール?: 捕鯨フィッシング詐欺の説明
コンテンツ 表示

CEO 詐欺、別名エグゼクティブ フィッシング

これは、特定の組織またはその従業員の一部を標的とした攻撃であるスピア フィッシングに該当します。ターゲットが組織の高名な従業員 (経営幹部など) である場合、これは 捕鯨フィッシング攻撃 として知られます。

米国連邦捜査局は、これらの詐欺を ビジネス電子メール侵害 (BEC) または 電子メール アカウント侵害 (EAC) に分類し、この インターネット犯罪報告書 によると、2021 年の損失額は約 24 億ドルに達しました。

地理的には、ナイジェリアが CEO の不正行為の 46% を最も多く発生している 国であり、米国 (27%) と英国 (15%) がそれに続きます。

これはどのように作動しますか?

これはどのように作動しますか
これはどのように作動しますか

特に、CEO 詐欺には技術的なスキルや犯罪のノウハウは必要ありません。あなたが受け取ることになるのは、あなたをだまして資金を送金させたり、さらなる違法行為のために機密情報を暴露させたりするためのランダムな電子メールとソーシャル エンジニアリングだけです。

悪質な行為者が「現時点で」これを行う方法をいくつか確認してみましょう。

タイプ1

CEO であるかのような無作為の電子メール アドレスで金銭を要求するのは、このようなトリックの最も単純な形式です。そして、これは簡単に見つけられます。探す必要があるのは電子メール アドレスだけです ( 名前ではありません )。

通常、ドメイン名 (xyz@) 会社名.com )詐欺を与えます。ただし、電子メール アドレスが有名な組織を示している可能性があります (私の場合がそうでした)。

これらの受賞により、知識のない専門家が被害に遭う可能性のある詐欺に正当性が加わりました。さらに、電子メール アドレスは本物のように見えますが、@gmail.com の代わりに @gmial.com を変更するなど、わずかに目立たない変更が加えられている場合があります。

最後に、正規であっても侵害された電子メール アドレスから送信される可能性があるため、詐欺を検出することが非常に困難になります。

タイプ2

もう 1 つのより高度な手法は、ビデオ通話を使用します。これには、主に財務部門の従業員に「緊急」のオンライン会議出席依頼を送信する最高位の役人の「管理」電子メール アドレスが含まれています。

次に、参加者は、接続が期待どおりに機能していないという主張を伴う、音声なし (またはディープフェイク音声あり) の画像を表示します。

その後、「経営者」は未知の銀行口座への電信送金を開始するよう依頼し、詐欺が成功した後、そこからお金が他のチャネル(仮想通貨)を介して吸い上げられます。

タイプ3

これはタイプ 1 のバリエーションですが、従業員ではなくビジネス パートナーをターゲットにしており、請求書詐欺という名前が付けられており、その手口により適しています。

この場合、組織のクライアントは、特定の銀行口座に緊急に請求書を支払うよう電子メールを受け取ります。

出典: CBCニュース
ceo-詐欺-1
ceo-詐欺-1

これは通常、ハッキングされた会社の電子メール アドレスを使用して実行されるため、最も成功率が高くなります。また、電子メールは、場合によっては専ら専門家間のコミュニケーション手段であるため、対象となる組織に多大な経済的損失と評判の損失をもたらします。

CEOの不正行為をチェックするには?

CEO の不正行為をチェックする方法
CEO の不正行為をチェックする方法

従業員として、CEO からの要求を拒否するのは困難です。この心理が、加害者がランダムなメールだけで簡単に成功してしまう主な原因です。

財政的要求に質問するだけでなく、「協力」する前にビデオ会議を依頼するのが最善です。

さらに、ほとんどの場合、電子メール アドレスを注意深く確認するだけで十分です。これはあなたの組織に属していないか、会社名のスペルが間違っている可能性があります。

さらに、教育機関はすべてのドメイン拡張子を登録できるわけではありません。したがって、正式なアドレスが xyz@company.com であるはずのときに、 xyz@company.net からメールを受信することに注意する必要があります。

最後に、「外部」または不正な内部メンバーから操作された会社アドレスから電子メールを受信して​​いる可能性があります。このような状況を解決する鍵となるのは、支払いを行う前に口頭で確認するか、複数の幹部に状況を伝え続けることです。

そして、組織を率いる場合、組織を保護する最も効果的な方法は、定期的な従業員トレーニングにフィッシング シミュレーションを組み込むことです。なぜなら、これらの詐欺師は常に進化しているからです。したがって、1 回限りの警告は従業員にとってあまり役に立ちません。

まとめ!

残念なことに、私たちはビジネスメールに大きく依存しており、犯罪者が悪用する大きな抜け穴が残されています。

このコミュニケーション形式に代わるものはまだありませんが、Slack や WhatsApp などのアプリケーションでビジネス パートナーを追加できます。これにより、何か不審な点があるかどうかをすぐに確認し、そのような失敗を避けることができます。

PS: 私があなただったら、インターネット リテラシーを高めるために、サイバー犯罪の種類について説明したこの記事を見逃さないでしょう。

「 CEO からのメール?: 捕鯨フィッシング詐欺の説明」についてわかりやすく解説!絶対に観るべきベスト2動画

【解説】“偽メール・サイト”横行に注意! 判別困難?『知りたいッ!』
https://www.youtube-nocookie.com/watch?v=I3BlxWTUb0o&pp=ygVHIENFTyDjgYvjgonjga7jg6Hjg7zjg6s_OiDmjZXpr6jjg5XjgqPjg4Pjgrfjg7PjgrDoqZDmrLrjga7oqqzmmI4maGw9SkE%3D
LINE詐欺にひっかかってみた。
https://www.youtube-nocookie.com/shorts/1uLhemmYmj8

最新記事一覧

関連記事一覧