Business Email Compromise（BEC）詐欺とは何ですか？

平均的なビジネスでは、カスタマーサポートから人材育成まですべてに電子メールを使用しています。したがって、サイバー攻撃がビジネスを標的にする場合、電子メールはそれを開始するための論理的な場所です。この一例は、ビジネス電子メール侵害（BEC）詐欺です。

BEC詐欺は、ソーシャルエンジニアリングと誤った方向性を組み合わせて使用​​し、従業員が見知らぬ人に電信送金を送信し始めるように促します。当然のことながら、これは企業が被害に遭う可能性のある最も高額な詐欺の1つでもあります。

では、BEC詐欺とは正確には何であり、どのように機能するのでしょうか。どうすれば犠牲者になるのを避けることができますか？

ビジネスメール詐欺（BEC）詐欺とは何ですか？

BEC詐欺とは、攻撃者が電子メールを使用して他人になりすまし、電信送金やその他のリソースをビジネスから抽出しようとすることです。

これは、Man-in-the-Email詐欺としても知られています。 BEC詐欺は、どちらも被害者が他の誰かと通信していると信じているという点で、中間者攻撃に似ています。

BEC詐欺は、被害者が偽装されている人物と以前に関係を持っているため、効果的です。

それらはまた、広範囲にわたる問題です。 FBIは、BEC詐欺が2020年だけで米国企業に18億ドルの損害を与えたと報告しました。

BEC詐欺はどのように機能しますか？

まず、攻撃者は標的とする会社を選択します。特定の業界に打撃を与えたり、単にセキュリティが不十分な会社を選択したりする可能性があります。

次に、企業のWebサイトやソーシャルメディアアカウントなどの公開されている情報を使用して、その企業を徹底的に調査します。

この段階では、彼らは主になりすましをする人を探しています。しかし、彼らはまた、会社がどのように運営されているのか、したがってどのような戦術が成功する可能性があるのか​​を調べようとしています。

誰になりすますかを決定したら、その人のメールアカウントをハッキングするか、ドメインスプーフィングを使用して、非常によく似たメールアドレスを作成します。

最後のステップは、その電子メールアカウントを使用して、電信送金またはその他の有利な応答を引き出すことです。潜在的なターゲットには、従業員、顧客、およびサプライヤーが含まれます。

BEC詐欺の標的となるのは誰ですか？

BEC詐欺は、ほぼすべてのビジネスで発生する可能性があります。大企業への攻撃はより収益性が高くなる可能性がありますが、中小企業への攻撃は一般的に実行が容易です。

ビジネスが毎月現金を出し入れするのに十分成功している場合、BECの脅威は非常に現実的です。

BEC詐欺の例

さまざまなBEC詐欺があります。ただし、ほとんどは次のカテゴリの少なくとも1つに分類されます。

CEO詐欺

このタイプのBEC詐欺には、攻撃者が事業主またはCEOになりすますことが含まれます。その後、攻撃者は会社の下位にいる誰かに連絡し、電信送金またはその他の種類の支払いを要求します。

アカウントの侵害

BEC詐欺は、高レベルの従業員に限定されていません。ほぼすべての従業員が、知らないうちに電子メールアカウントをハッキングし、その後使用する可能性があります。金融犯罪は、ハッキングされた企業の名前で犯される可能性があります。

偽の請求書

企業は、2つの方法で偽の請求書詐欺の犠牲になる可能性があります。彼らは、想定されるサプライヤーからの支払いを要求するそのような請求書を受け取る可能性があります。または、従業員の電子メールアカウントを使用して、銀行の詳細が変更された顧客に送信することもできます。これらの攻撃は、ほとんどの場合、グローバルに事業を展開している企業を標的としています。

弁護士のなりすまし

攻撃者は弁護士のふりをして従業員に連絡し、支払いを要求すると同時に、受信者に他の電子メールに返信するよう圧力をかけます。

データの盗難

一部のBEC詐欺は、現金ではなくデータを盗むように設計されています。盗まれた情報は、恐喝から追加のBEC攻撃まで、あらゆるもので販売または使用できます。

BEC詐欺を回避する方法

BEC詐欺の加害者は、多くの企業がその存在に気付いていないか、その発生に対して完全に準備ができていないという事実に大きく依存しています。

ここに、あなたのビジネスがそれらの1つではないことを確認するためのいくつかのヒントがあります。

• 従業員のトレーニング： 従業員があなたのビジネスの一部として電子メールを使用する場合、彼らはBEC詐欺に気付く必要があります。フィッシングとソーシャルエンジニアリングの両方について説明するトレーニングも提供する必要があります。
• メールの処理方法を変更します： 電子メールを使用するためのプロトコルを確立する必要があります。たとえば、添付ファイルは非常に慎重に処理する必要があり、電子メールアドレスは常に再確認する必要があり、電子メールは返信するのではなく常に転送する必要があります（これにより、電子メールアドレスを手動で入力できます）。
• カスタムメールを使用する： 無料の電子メールアカウントは便利ですが、BEC詐欺を開始したい人にも理想的です。
• 同様のドメインを登録する： あなたのビジネスのドメインに類似したドメインを登録します。これにより、攻撃者がそうしてあなたになりすますことを防ぐことができます。
• 共有しすぎないでください： あなたのビジネスについての不必要な詳細をオンラインで共有することは避けてください。 BEC攻撃に必要な詳細の多くは、多くの場合、企業のソーシャルメディアページにあります。
• 強力なパスワードと2FAを使用する： 厳格なパスワード規制と2要素認証（2FA）の実施により、ビジネス用の電子メールアカウントがハッキングされるのがはるかに困難になります。
• ウイルス対策ソフトウェアを使用する： これは、マルウェアベースのBEC詐欺を防ぐ最も簡単な方法です。アンチウイルスは、キーロガーとある種のフィッシングの両方を防ぐために使用できます。
• 常に支払いを確認します： 電信送金の詳細を事前に確認することを標準の操作手順にします。たとえば、すべての従業員に電話での支払いを証明するように要求します（二重にチェックされた番号を使用して）。

BEC詐欺からビジネスを保護する

BEC詐欺の頻度が増加し続けるにつれて、企業がもたらす脅威を認識することがますます重要になっています。規模に関係なく、どの企業もそのような攻撃の犠牲になる可能性があります。また、平均コストが高いことを考えると、ほとんどの人が軽く取る余裕のあるものではありません。

このような攻撃を回避するために取られる手順は、おおむね簡単です。そして、戦いの半分は、そのような攻撃が発生する可能性があり、頻繁に発生することを知っているだけです。