フィッシング攻撃は、シンプルで効果的であるため、サイバー犯罪者にとって人気のある攻撃ベクトルです。 巧妙に作成されたフィッシングメールは、ゼロデイエクスプロイトよりもはるかに簡単に開発できますが、同じ悪影響を与える可能性があります。 これらの攻撃は、人間の本性を食い物にするように設計されています。 人は役に立ちたい、権威に従いたい、急いでいるときやストレスを感じているときは注意を払わない傾向があります。
フィッシング詐欺師は、これらの要因などを利用して攻撃を行い、フィッシングメールにはさまざまな形態があります。 フィッシング攻撃の中には、網を張るものもあれば、スピア フィッシング攻撃 など、標的に合わせて非常に調整されたものもあります。 場合によっては、攻撃者は目的を達成するために、権威者やその他の信頼できる関係者になりすますことがあります。
フィッシング詐欺はメールだけにとどまりません。 攻撃者は、企業のコラボレーションプラットフォームや モバイルデバイス 上の通信アプリケーションを利用して攻撃を実行できます。
ここで説明した 5 つの攻撃は、攻撃者のためにほとんど高度な操作を必要としませんでしたが、組織から数千万ドルを盗むことができました。
2013年から2015年にかけて、FacebookとGoogleは、フィッシングキャンペーンの拡大により 、1億ドルをだまし取られ ました。 フィッシャーは、両社が台湾を拠点とする企業である Quantumをベンダーとして使用しているという事実を利用しました。 攻撃者は、 Quantumになりすました一連の偽の請求書を会社に送信し、FacebookとGoogleの両方が支払いました。
やがて、不正、詐欺、不正行為が発覚し、FacebookとGoogleは米国の法制度を通じて行動を起こしました。 攻撃者は逮捕され、リトアニアから引き渡され、法的手続きの結果、FacebookとGoogleは盗まれた1億ドルのうち4970万ドルを取り戻すことができました。
ベルギーのCrelan Bankは、ビジネスメール詐欺(BEC)の不正、詐欺、不正行為の被害に遭い、 約7,580万ドルの損害を被りました。 このタイプの攻撃では、フィッシング詐欺師が企業内の上級幹部の口座を侵害し、攻撃者が管理する口座に送金するように従業員に指示します。 Crelan Bankのフィッシング攻撃は、内部監査中に発見され、組織は十分な内部準備金を持っていたため、損失を吸収することができました。
オーストリアの航空宇宙部品メーカーであるFACCも、BEC不正、詐欺、不正行為により多額の損失を被りました。 2016年、この組織は攻撃を発表し、同社のCEOを装ったフィッシャーが経理部門の従業員に 、攻撃者が管理する銀行口座に6,100万ドルを送金するよう指示したことを明らかにしました。
このケースは、組織が解雇を選択し、CEOとCFOに対して法的措置を取ることを選択したという点で異例でした。 同社は、攻撃を防げたはずのセキュリティ管理と内部監督を適切に実施しなかったため、2人の幹部に1,100万ドルの損害賠償を求めました。 この訴訟は、 サイバーセキュリティに関する「デューデリジェンス」を行わないという組織の幹部に対する個人的なリスクを示しました。
2014年、 ミネソタ州の製薬会社に対するBEC 攻撃により、攻撃者は3,900万ドル以上の損失を被りました。 フィッシャーはUpsher-Smith LaboratoriesのCEOになりすまし、組織の買掛金コーディネーターに電子メールを送信し、特定の電信送金を送信し、攻撃者と協力する「弁護士」の指示に従うように指示しました。
攻撃は途中で発見され、同社は送信された9つの電信送金のうちの1つをリコールすることができました。 これにより、同社のコストは5,000万ドルから3,900万ドルに減少しました。 同社は、多くの「危険信号」を見逃したにもかかわらず、送金を行った銀行を訴えることを決定しました。
2015年、米国に拠点を置くコンピュータネットワーク企業であるUbiquiti Networksは、BEC攻撃の被害に遭 い、4,670万ドルの損害を被りました(そのうち少なくとも1,500 万ドルを回収できると見込んでいました)。 攻撃者は、同社のCEOと弁護士になりすまし、同社の最高会計責任者に一連の送金を指示して、秘密の買収を成立させました。 17日間で、同社はロシア、ハンガリー、中国、ポーランドの口座に14回の電信送金を行いました。
この事件がユビキティの目に留まったのは、FBIから同社の香港の銀行口座が詐欺の被害に遭った可能性があると通知されたときでした。 これにより、同社は今後の送金を停止し、盗まれた4,670万ドル(会社のキャッシュポジションの約10%に相当)を可能な限り回収することができました。
ここで説明するコストのかかるフィッシング攻撃は、攻撃者のためにそれほど高度な操作を必要としませんでした。 ある企業を少し調べてみると、主要な人物(CEO、CFOなど)とベンダーの正体が明らかになりました。 攻撃者はこの情報を使用して、ターゲットを騙して攻撃者が管理する銀行口座に送金させる信憑性のある電子メールを作成しました。
一部のフィッシング攻撃はマルウェアを配信するように設計されているため、 エンドポイントセキュリティソリューション が不可欠ですが、常にそうであるとは限りません。 ここで概説したすべての攻撃には、アンチウイルスによって捕捉される悪意のあるコンテンツは含まれていませんでした。
これらの攻撃から保護するために、組織は電子メールの本文を分析してBEC攻撃を検出できる アンチフィッシング ソリューションを必要としています。 チェック・ポイントの メール・セキュリティ・ ソリューションの詳細と、フィッシングの脅威から組織を保護する方法については、 お問い合わせください。 次に、 デモをリクエスト して、ソリューションの動作を確認します。