Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

巧妙化するBEC、実質被害逃れるも送金前後で気付くケースも

さらにやりとりするメールの「From」のほか、「CC」に入っている担当者のメールアドレスを改変。メール本文に記載された引用部分にあるメールアドレスについても、実際の送信先が入らないよう変更するなど、手が込んでいた。

報告企業では、一連の流れよりBECと気が付くことができず、攻撃者の口座に送金を試みたが、依頼を受けた金融機関の担当者が不審な点を発見。送金を中止したことから、被害の発生を未然に防いだという。

一方5月に報告を受けたケースでは、攻撃者が報告企業の海外関連企業を偽装。海外の取引先に対して振り込みを要求するメールを送信していた。

詐称用のドメインを取得、悪用していたほか、発覚までの時間を稼ぐため、支払側である海外取引先の担当者にもなりすまし、つじつまをあわせるためのメールを報告企業の海外関連企業ともやりとりしていた。

3件の請求書をやりとりするなか、1件目が成功したタイミングで偽メールを送信。最初の支払いに関する「SWIFTメッセージ」が添付されていたことから、担当者は詐欺と気がつけず、振込を実施。その後、金融機関から回収できたため、実質的な被害には至らなかったという。

(Security NEXT - 2019/08/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

GitLab、脆弱性2件を解消したセキュリティアップデートを公開
【特別企画】導入進む「DMARC」、一方で不安も - トラブル回避のコツは?
電話を併用するBECに警戒を - 発信者番号を偽装、役員の声も模倣
長期休暇に向けてセキュリティ状況の確認を
スマホ利用シーンの脅威トップ10を発表 - JSSEC
国と都が共同運用する開業支援施設で情報流出か - 詳細を調査
食料農業分野がメール詐欺の標的に - 粗悪な食品が出回るおそれも
IPA、教則本「情報セキュリティ読本」を4年ぶりに改訂
IPA、ビジネスメール詐欺対策の特設ページを開設 - 啓発チラシなども用意
「ServiceNow」に複数のXSS脆弱性 - アップデートで修正