マイクロソフトは、数日前に登録されたタイポスクワッティングされたドメインを使用して、120以上の組織を標的とした大規模なビジネスメール詐欺(BEC)攻撃を検出したと発表しました
ビジネスメール詐欺集団は、ソーシャルエンジニアリング・フィッシング・ハッキングなどの様々な手法を用いて企業の電子メールアカウントを侵害し、その後に自分たちの管理下にある銀行口座に支払いを送金させたりギフトカード詐欺で従業員を狙ったりします。
マイクロソフト社は、タイポスクワッティングされたドメインを利用して不動産・製造・プロフェッショナルサービスなどさまざまな業種の企業で働く従業員のマネージャーになりすましたメールが送信されていたとしています。
Microsoft 365 Defender Threat Intelligence Teamによると「攻撃に使用されたドメインは正規に登録された正しいドメインですが、企業のドメインによく似たトップレベルドメイン(TLD)を使用していたり、会社名のスペルとわずかに違うドメインを使用しているパターンが見られました。これらのドメインは、このメール攻撃が開始される数日前に登録されていました」
トップレベルドメインとは、.comや.co.jpなどのドメイン名の一番最後のドメインのこと。
メールヘッダー偽装でスパムメールシステム回避
標的となる従業員の名前を使用してメールアドレスを書いていたことから、攻撃者の偵察能力の高さがうかがえます。
また、マイクロソフト社はIn-Reply-ToやReferencesのヘッダーを偽装したりする標準的なフィッシング技術を使用してフィッシングメールに正当性を持たせていました。
2020年のビジネスメール詐欺による被害額は18億ドル
ビジネスメール詐欺攻撃は2018年以降、毎年最高の金銭的損失を記録しており、2018年米連邦捜査局(FBI)は、まだ追跡可能な資金の回収と詐欺師がBECの不正送金に使用した口座の凍結に焦点を当てた「リカバリー・アセット・チーム」を設立しています。
FBIは3月に米国の民間企業に対して州・地方・部族・領土(SRTT)の政府機関を標的としたビジネスメール詐欺攻撃が増えていると警告しており、「FBIのインターネット犯罪苦情処理センター(IC3)は、犯罪者がより洗練され、ビジネスメール詐欺攻撃が増加、常に進化している脅威である」と指摘しています。
また「2019年から2020年にかけて調整後の損失が5%増加しており、2019年には17億ドル以上の調整後の損失がIC3に報告されており、2020年には18億ドル以上の損失が報告されています。」
Comments