現在のデジタル時代では、サイバー犯罪者はよりインテリジェントな方法を使用して組織を攻撃しています。スピアフィッシングとビジネスメールの妥協(BEC)は、その中で特に危険であり、上級指導者を頻繁に標的にしています。企業を保護したい幹部は、これらの標的攻撃について知らされなければなりません。
また読む:最新のフィッシング詐欺:何に注意すべきか
スピアフィッシング:ターゲット攻撃
スピアフィッシングとは、組織内の特定の個人をだまして、高度にターゲットを絞った電子メールを作成する攻撃者を説明するために使用される用語です。大規模なフィッシングとは異なり、これらの電子メールは、ソーシャルメディア、会社のウェブサイト、または過去のデータ侵害からコピーされた情報を使用して、本物に見えるようにします。
たとえば、攻撃者は、信頼できる同僚や部門長になりすまして、敏感な情報を求めたり、悪意のあるリンクをクリックしたりすることを強制する場合があります。このような電子メールには、正確な個人情報が含まれることが多く、それらをより本物にし、成功率を引き上げます。
ビジネスメールの妥協点:巧妙なトリック
BECは、攻撃者が従業員、顧客、またはパートナーをトリックして金銭を送信したり、機密情報をリリースしたりするために、攻撃者が正当なビジネスメールアカウントにアクセスしたり、スプーフィングしたりする一種のサイバー攻撃です。このような攻撃は、多くの場合、電信送金を実行することを許可された上級指導者または金融スタッフを対象としています。一般的な方法の1つは、CEOからのメールを送信し、財務チームに緊急かつ秘密の取引を実行するよう求めることです。 FBIは、BEC詐欺による大きな財政的損失を報告しており、この脅威の重大さを反映しています。
エグゼクティブの脅威の風景
上級幹部は、敏感な情報と資金の管理を持っているため、このような攻撃の標的です。サイバー攻撃者は、幹部のオンライン行動を監視するのにかなりの時間を費やし、会社での役割を活用するもっともらしいシナリオを作成します。このような攻撃が機能する理由は、上級幹部からのコミュニケーションが信頼されているため、幹部が勤勉であることが非常に重要です。
実装する緩和戦略
槍のフィッシングとBEC攻撃と戦うには、幹部は以下を実装する必要があります。
1。セキュリティ意識向上トレーニング
定期的にフィッシング攻撃を特定し、対応する方法について、上級幹部を含むすべての従業員を教育します。
2。認証プロトコルを電子メールで送信します
DMARC、SPF、DKIMなどのテクノロジーを実装して、着信メールが合法かどうかを認証します。
3。マルチファクター認証(MFA)
メールアカウントと機密システムにログインするときにMFAを適用して、追加のセキュリティを導入します。
4。検証手順
方法を利用して、財務要求の正当性、特にかなりの金額または支払い指示の変更を含むものを検証します。
5。定期的な監査
定期的なセキュリティ監査を実施して、脆弱性を特定し、セキュリティポリシーが実施されていることを確認します。
最後のメモ
スピアフィッシングとビジネスメールの妥協は、特にエグゼクティブレベルでの組織のセキュリティにとって大きな危険です。これらの標的攻撃を認識し、堅牢な予防措置を制定することは、これらの洗練されたサイバー攻撃に組織を免疫にするのに大いに役立つ可能性があります。
