BEC Attacks Expand Beyond Email and Toward Mobile Devices
2022/12/09 InfoSecurity — Business Email Compromise (BEC) は、SMS を中心とした攻撃を介することで、モバイル・デバイスを標的とするものが増えている。Trustwave のサイバー・セキュリティ専門家による勧告によると、この傾向は、テキスト・メッセージを介したフィッシング詐欺への幅広いシフトを示しているとのことだ。このレポートには、「フィッシング詐欺は、SMS の脅威の中で一般的なものだが、現在は BEC 攻撃もモバイル化されている」と記されている。
さらに Trustwave は、詐欺師が携帯電話番号を入手する方法について、一般的にはデータ漏洩/ソーシャル・メディア/データ・ブローカーなどになると述べている。
その後に攻撃者が被害者に要求するのは、電信送金/古い報告書のコピーの送付/給与口座の変更などであり、後で払い戻されると偽る、何かの代金を支払うよう誘惑する。
Hoxhunt の CEO である Mika Aalto は、「BEC 攻撃は、利益を生む限り、今後も常に存在するだろう。彼らの継続的な収益性は、従業員によるサイバー・セキュリティ・アクティビティが軽視され、セキュリティ意識に対するコンプライアン・スベースのアプローチが誤って管理されていることの証明である」と述べている。
さらに彼は、「セキュリティ・カルチャーにとって必要なことは、人的なレイヤーを資産に変えるという改革だ。適切なトレーニングとプラットフォームにより、それらを強化することで、NIST フレームワークにおける保護/検知/対応という柱が強化される」と付け加えている。
Trustwave の調査結果は、SlashNext の State of Phishing 2022 レポートとも一致している。最近では、モバイル・デバイスに対する攻撃が 50% 増加し、詐欺や信用情報の盗難が、ペイロードリストの上位に挙げられていると強調されている。また、同報告書では、83% の組織が、モバイル・デバイスの脅威が他のデバイスの脅威と比べて、急速に増加していると報告されている。
SlashNext の CEO である Patrick Harr は、「今年に入ってから、BEC の標的が、着実にモバイルへと移行している傾向が見られる。たちは、これをビジネス・テキスト・コンプロマイズと呼んでいる。モバイル端末の保護は脆弱であり、また、モバイル端末では送信者の情報を難読化することがはるかに容易である。自然言語ベースの攻撃から、モバイル SMS/Text 保護を強化することで、2023年に増加する可能性が高い、この種の脅威からの保護が不可欠だ」と、Infosecurity に語っている。
Viakoo の CEO である Bud Broomhead は、SIM ジャッキングはモバイル・デバイスを攻撃する方法として広く普及しており実行も容易であると、Harr の指摘に賛同している。
彼は、「モバイル・ネットワーク・オペレーターは、モバイル・アカウントを別の SIM に移行させるソーシャル・エンジニアリングの手法に引っかかる従業員が、あまりにも多いため、依然として最も弱い立場にある。ユーザーが MFA やバイオ・メトリクスなどによる保護を実施しても、SIM ジャックが止まらない限り、BEC は拡大し続けるだろう」と InfoSecurity に述べている。
例を挙げると、連邦政府職員に対するモバイル・ベースのクレデンシャル盗難攻撃が、2020年から 2021年にかけて 47% も増加していると、最近の Lookout のレポートは指摘している。
SMS を介する攻撃が、単なるフィッシングから BEC の領域にまで、広がっているという Trustwave のレポートをベースにした記事です。たしかに、SIM ジャッキング/スワッピングが行われると、それにより本人確認が完了したという誤解が生じ、詐欺が成功しやすくなるでしょう。よろしければ、SIM で検索と、BEC で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.