ビジネスメール詐欺攻撃は、電子メール詐欺を利用して商業組織・政府機関・非営利団体など特定の組織を標的としたサイバー犯罪の一種。BEC攻撃とも呼ばれる。
例えば、請求書詐欺や他の犯罪行為のためにデータを収集することを目的としたスピアフィッシング偽装攻撃などがある。
消費者のプライバシー侵害は、多くの場合このビジネスメール詐欺攻撃の結果として発生することが多い
典型的な攻撃として、組織内の特定の役割を担う従業員を標的に上級の同僚(CEOなど)や信頼できる顧客を装った偽装メールを送信。
このメールでは、支払いの承認や顧客データの公開などの指示がされることが多く、ソーシャルエンジニアリングを利用して被害者を騙し、攻撃者の銀行口座に送金させることが多い。
経済的影響は大きく、米国の連邦捜査局は2017年6月から2019年7月の間に発生したBEC攻撃による米国内外の損失は260億ドルを記録しているとされている。
被害例
ダブリン動物園:2017年に13万ユーロを損失 – 合計50万ユーロが詐取されたが、ほとんどが回収された。
オーストリアの航空宇宙企業FACC AG:2016年2月に攻撃によって4,200万ユーロ(4,700万ドル=47億円)を詐取され、その後CFOとCEOの両方が解雇された
ニュージーランドのTe Wananga o Aotearoa:12万ニュージーランドドルを詐取
ニュージーランド消防局:2015年に52,000ドルを詐取された
Ubiquiti Networks:2015年に4,670万ドルを詐取された
セーブ・ザ・チルドレンUSA:2017年に100万ドルのサイバースクラムの被害
オーストラリア競争・消費者委員会:2018年の1年間で約280万豪ドルの被害
ビジネスメール詐欺の手口
エグゼクティブ・アシスタントをターゲットにした場合
業務中上司からと思われるメールが届き、パンデミック中に頑張ったチームへのインセンティブとして、ギフトカードの購入を依頼される。
部署の資金を使ってギフトカードを購入することにし、その上司と思われるのメールにギフトカードのコードを返信してしまう。
その後チャットで受け取ったかどうか確認するとその上司はギフトカードを要求していなかった
Comments