Macos Brawte nfaq 0 Comments

フィッシング対策はCEOメール詐欺の蔓延に対する最も重要な防御策

Table of Contents

フィッシング対策はCEOメール詐欺の蔓延に対する最も重要な防御策

最高経営責任者(CEO)が詐欺師に送金するのを防ぐためには、 AusCERT内部のフィッシング対策プログラムが不可欠だと、脅威専門家のドナルド・マッカーシー氏は語る。

これらのプログラムは、企業や個人を攻撃するためにおそらく世界で最も成功し、広く使用されている手段を取り締まるための、過小評価されているが実績のある方法です。

ビジネスメール詐欺は、企業の幹部を騙して攻撃者に送金させるフィッシングの一種で、FBIの推計によると、2013年以降、米国だけで7億4000万ドルの被害が出ている。

フィッシング対策には、社内セキュリティチームが現実的でありながら無害なフィッシングメールを従業員に送信し、誰が何をクリックしたかを追跡することが含まれます。従業員のスキルが向上するにつれて、メールはより巧妙なものになります。

Twitter 社は社内フィッシング キャンペーンを公開した最大手の企業のひとつであり、社内全体での受け入れと成熟したフィードバック ループのおかげで、ソーシャル エンジニアリング詐欺の被害を劇的に減らすことができました。

ドナルド・マッカーシー、myNetWatchman。写真:ダレン・パウリ、The Register

ドナルド・マッカーシー、myNetWatchman。画像:ダレン・パウリ、The Register。

ジョージア州アトランタに拠点を置く調査会社 myNetWatchman の McCarthy 氏は、ビジネスメール詐欺について詳しい。このデジタル探偵は先週開催された AusCERT カンファレンスで、今年初めにアフリカで米国の W2 税詐欺師の個人情報を入手した経緯を振り返った。

その結果、ハッカーの命を脅迫する内容の脅迫や、アフリカのメール詐欺師たちがノートパソコンを手に集まっている様子を写した一連の写真が公開された。

マッカーシーは西アフリカのビジネスメール詐欺師の個人情報を暴露した。

「メールは何通かありましたが、概して私は比較的安心しています。できることをし、毎月生命保険を払っています」とマッカーシー氏はエル・レグ紙に語った。

マッカーシー氏の推定によると、西アフリカには約1万7000人のビジネスメール詐欺師が活動していると考えられており、これは世界の約40%に相当します。これらの詐欺師は企業に数十億ドルの損害を与えており、フィッシング対策を導入する最も切実な理由の一つとなっています。

「1人以上の組織はすべてフィッシング対策を導入すべきだと考えています」とマッカーシー氏は言う。

「あの人だけでも使ってみよう」。

返金はできません

通常のカード詐欺とは異なり、銀行はビジネスメール詐欺の被害者への補償をほとんど義務付けられていません。銀行は顧客の信頼確保を名目にこれまで補償を行ってきましたが、調査官によると、この「ただ乗り」は終わりを迎える可能性が高いとのことです。

マッカーシー氏は、ちょっとした挨拶が、普段は厳しい財務管理者を柔軟にすることができると語る。「電子メールで『お願いします』や『ありがとう』を頻繁に言うだけで、相手が普段はやらないようなことをやらせることができるのです」。

彼は、騙された経営者が会社から数千万ドルをビジネスメール詐欺の犯人に送金していた複数の事件を取材した。

4月には、こうした詐欺師らが玩具メーカーのマテル社から300万ドル近くを奪い取ったが、中国の銀行休業日のおかげで輸送途中で止まっただけだった。

この銀行は、フィッシング詐欺で盗まれた現金をトンネル状に送金することで悪名高い中国温州地域に所在しています。ビジネスメール詐欺によって欧州企業から盗まれた資金の90%は、この東海岸の荒涼とした地域に送金され、そこから国外へ送金されていると考えられています。

フィッシング対策プラットフォームは数多く存在します。PhishMeのような有料ホスティングサービスは既に定着していますが、オーストラリアの企業は、ニュースレターの配信に利用しているアウトソーシングメールサービスにフィッシング詐欺を仕掛けることで成功を収めているようです。

「このことから一つ言えることは、フィッシング対策はわざわざ購入しなくてもいいということだ」とマッカーシー氏は言う。

洗練されたオープンソースの代替手段も存在します。Jordan Wright (@jw_sec) は、GoPhish モジュラーフレームワークを公開し、現在も積極的にメンテナンスを続けています。

好みは様々ですが、従業員へのインセンティブとエンゲージメントが最も重要です。社内フィッシングメールを報告し、回避した従業員への効果的な報酬として、ギフトカードやグミベアなどが挙げられます。

マッカーシー氏は、これにより実際のフィッシング攻撃に関するスタッフの報告が「急増」するだろうと述べている。

企業は、正規の企業のアドレスを装ったドメインに標的のビジネス サイトを複製する URL スクワッターを監視することで、攻撃を防御することもできます。

WhiteHat Security の創設者 Jeremiah Grossman 氏は先月、組織がこの脅威からどのように防御できるかについて説明しました。®

Macos

Smart Recommendations

Discover More