Pindrop SecurityのVijay Balasubramaniyan氏によると、コンタクトセンターへの電話2900件のうち1件は、顧客のアカウント情報を入手して資金を盗んだり商品を購入したりしようとする詐欺師によるものだった。
研究者らは1億500万件の通話を調査し、詐欺師が電話交換手を騙して個人情報を変更し、アカウントを危険にさらすという方法で個人情報窃盗を実行する方法を研究した。
攻撃者は個人情報にアクセスしただけでなく、被害者が警告を受け取らないように顧客アカウントの連絡先の詳細も変更しました。
詐欺師たちは、コンタクトセンターに電話をかける際に使用する電話番号を偽装したり、性別を含む声を歪めるソフトウェアを使用したりして、身を隠していた。
バラスブラマニアン氏は、木曜日に他の2人の研究者とともにブラックハットラスベガスで研究結果を発表する予定だ。
彼はThreat Postに対し、研究者らが電話回線を監視し、攻撃者が盗んだ社会保障番号を次々と入力し、最終的に名前の知られていない銀行の有効な入力が見つかるまで入力しているのを発見したと語った。そこから攻撃者はソーシャルエンジニアリング攻撃を開始し、アカウントを侵害した。
ヴィジェイ・バラスブラマニアン
同氏は、連絡電話チャネルのこのような監視は、攻撃が行われる2週間前に詐欺を予測するのに役立つ可能性があると述べ、多くの組織が攻撃の原因をソーシャルエンジニアリングや音声自動応答によるブルートフォース攻撃ではなくマルウェアだと誤って判断していると付け加えた。
「彼らは顧客を守ろうとあらゆる努力をしているにもかかわらず、不正行為を誤って異なるカテゴリーに分類し、全体的な視点を持っていない。それだけでは不十分だ。なぜなら、詐欺師が正面玄関から入り込める広く開かれた経路が存在するからだ」とバラスブラマニアン氏は語った。
CEOは、組織は詐欺検出を、他の業務部門と連携しない部門のサイロにまとめてしまうことが多く、攻撃者が詐欺を遂行しやすくなっていると述べた。
ソーシャルエンジニアリングと情報収集は、多くの複雑な攻撃において重要な側面でした。従業員は往々にして、説得の心理学に精通した者であれば誰でも、企業の強固な技術的防御線を突破できる、いわばソフトターゲットでした。®
