ビジネスメール詐欺(BEC)に関する新たな訴訟が報告されている。これは、企業買収に関連して発生もので、買い手企業が想定をはるかに上回る被害を与えた。ビジネスメール詐欺(BEC)の事例としては、あまりにもありふれた攻撃であるが、被害額の大きさが話題となっている。
企業買収(M&A)において、大量な極秘のビジネスコミュニケーションが発生する。デューデリジェンスと言われる買収に踏み切るかを決めるための事前調査から始まり、買収後のオペレーション枠組み交渉、契約締結行為、買収額のやり取りを含む金銭的なトランザクションなど、その極秘情報の量は半端でない。M&Aは、サイバー攻撃集団にとっての最高のターゲットなのである。企業にとってBEC詐欺の被害にあってはならない時期があるとすれば、それは買収時といえる。Graduation Alliance社の買収を仕掛けていたTassel Parent社のケースは、まさに最悪なBEC詐欺被害であった。
この訴訟概要によると、サイバー攻撃者はGraduation Alliance社の株主を装い、コンピューター詐欺のほとんどのケースで使われる手口「フィッシングメール」で、この攻撃を成功させている。なりすましメールは巧みに標的を狙っているが、仕掛けはシンプル。支払担当者に銀行情報を変更して、支払先をユタ州のZions Bankから香港の銀行へ変えて、HongKong Wemakos Furniture Trading Co.の名前で支払いを行うよう依頼するだけである。
なぜか、考えてください。見抜けるレッドフラグはなかったのか??
今現在の時点では、サイバー攻撃者は特定も逮捕もされていない。
これは、メールの送信者が本当にそのメールアドレスの持ち主であるかを、常に疑う必要があることを示す顕著な例であるが、特に、何らかの金銭が絡む場合は、これは大原則である。1 億 3,000 万ドルであろうと、たった 130ドルであろうと、これは関係がない。サイバー攻撃者は、「人」の思い込みを狙っている。フィッシングメールの手口はシンプル。メールアドレスや表示名など、これを巧みに利用して、ターゲットに忍び寄り、信用させる。
送金、資金決済など、お金を取扱い、そのお金についてメールでやり取りをする職務担当者にとって、継続的なセキュリティ意識向上トレーニングを受講し、この種の攻撃の現状を理解し、常に外部に目を向け、注力を怠らないことが不可欠である。今、あなたは狙われているかもしれないのである。
原典:Stu Sjouwerman著 2022年5月13日発信 https://blog.knowbe4.com/think-bec-wont-cost-you-much-how-does-130-million-sound?utm_medium=email&_hsmi=213021224&_hsenc=p2ANqtz-877kNtpXprbct7pv_2tIVf2cbT_bkcIDdY6Uz0OEiL-dkRRQ4aMJJwDuRivfUV3uNpd9b5jOLYl8LtBaH_OwSePbGOayAIw6XF59utAjmgGyERisw&utm_content=213021224&utm_source=hs_email
