この記事はDeepLを使って自動翻訳されています。ご意見、改善点などございましたら、[email protected] までご連絡ください。
詐欺師たちは、従業員を騙して知らず知らずのうちに自分たちの言いなりになるように仕向ける様々な方法を考え出しました。この記事では2つの例を紹介します。1つ目の例は、メールフィルターを回避して、犯人がほとんど手をかけずに受信者を行動させることができるシンプルなものです。これは実際には攻撃ではなく、有望なターゲットを特定するための攻撃の前兆です。もう一つは、古くからあるなりすまし詐欺に新たな工夫を加えたものです。
偽情報を利用したフィッシング詐欺
詐欺師は、有効なメールアドレスを特定するために、メッセージ本文にほとんど、あるいは全く内容のないメールを送信しています。このような「おとり」メールは、件名に「hi」とだけ書かれていて、本文には何も書かれていないこともあります。悪質業者は、受信者のアドレスが有効でないことを知らせる自動返信を受け取ると、次のステップに進みます。何の反応もない場合は、そのアドレスが有効である可能性が高いので、より本質的なフィッシング・メールでフォローアップすることができます。
場合によっては、詐欺師が予想していた以上に受信者からの協力を得ることもあります。受信者の中には、何も書かれていないメールに返信したいという衝動に駆られる人もいるようで、おそらく送信者に「どうすればお役に立てるか」と尋ねているのでしょう。詐欺師は、メールアドレスが有効であることを知っているだけでなく、相手が一般的なターゲットよりも攻撃を受けやすい人物であることも知っています。
このようなメールは、添付ファイルがなく、リンクも貼られておらず、実際には何も語っていないため、メールフィルターを通過してしまうことが多いのです。
顧客からの苦情
もし、あなたの職場のマネージャーから、顧客があなたに対して苦情を申し立てたという内容のメールを受け取り、リンクをクリックしてコピーをダウンロードするよう指示されたら、あなたはどうしますか?一見して、メッセージがしっかりと書かれていて本物のように見えた場合、リンクをクリックしてダウンロードを開始するでしょうか?もしそうなら、マルウェアをダウンロードしている可能性があります。
接客業やプレッシャーのかかる仕事、顧客満足度を重視する仕事をしている人は、他の人よりもこのなりすまし詐欺に遭いやすいようです。自分の仕事が危険にさらされていると感じている人は、上司からの苦情に関するメールを受け取っても、すぐにリンクをクリックして悪意のあるペイロードをダウンロードしてしまう可能性があります。
これは詐欺師にとっては良いアイデアですが、これまでに見つかったメッセージはそれほど説得力のあるものではありませんでした。nakedsecurity.sophos.comに掲載された記事によると、顧客からの苦情を装ったメッセージが出回っているが、その内容はいい加減なものだという。しかし、これは良いアイデアなので、文章力のある犯罪者はすぐにこの戦術を採用し、改良していくことでしょう。
これらのメッセージは、ランサムウェアの配信に使用される可能性があります。これが実行された場合、企業は莫大な損失を被ることになり、メール受信者のキャリアには、実際のお客様からのクレームよりもはるかに大きな悪影響を及ぼす可能性があります。
これらのメールにはリンクや送信者情報の偽装が含まれているため、意図した受信者に届く前にフィルタリングされる可能性が高くなります。しかし、中にはフィルタリングを通過するものもあります。どんなに優れたフィルターでも、悪意のあるメールを100%ブロックできるわけではありません。
最善の防御策
今回もまた、サイバー犯罪者は、従業員をターゲットにして、知らず知らずのうちに詐欺行為に加担させる様々な方法を用いています。他のソーシャル・エンジニアリング攻撃手法と同様に、ユーザー・トレーニングがこれらの新しい手法に対する最善の防御策となります。従業員は、このような詐欺を認識し、送信者の情報が偽装されているかどうかを判断する方法をトレーニングする必要があります。トレーニングは継続的に行い、必要に応じて更新し、このような新たな脅威が出現した場合にはそれを取り入れるようにします。また、不審なメッセージや電話を受け取った場合に、従業員が従うべき手順を定めておく必要があります。
