COVID-19対策支援を求める企業を狙った認証情報フィッシング

2020年初頭以降、新型コロナウイルス感染症のパンデミックは、サイバー犯罪者にとって、個人や企業から機密情報を盗み出すための新たな格好の標的となっています。メールセキュリティプロバイダーのInkyは、10月11日水曜日に公開されたレポートで、COVID-19に乗じて企業ユーザーの金融口座情報を盗み出そうとする最近のフィッシング攻撃について解説しています。

この資格情報フィッシング攻撃はどのように機能するのでしょうか?

今回の最新の攻撃では、ユーザーは中小企業庁（SBA）からのCOVID-19助成金申請を装ったフィッシングメールを受け取ります。この手口は、パンデミックの影響で経済的困難に陥った中小企業がSBAに融資や助成金を申請した2020年と2021年に注目を集めました。SBAはその後、この種の助成金の申請受付を停止しましたが、犯罪者はこの手口を悪用し続けています。

このフィッシングメールには、すべての企業や団体に返済不要の助成金を約束する「今すぐ申請」ボタンが含まれており、ユーザーはこのボタンをクリックするとアンケートフォームに誘導され、助成金の受給資格を判断するために入力する必要があります。このフォーム自体は、Googleが提供する無料のウェブベースアンケートツールであるGoogleフォームを使用して作成されました。

攻撃者はどのような種類の情報を入手しているのでしょうか?

フォームの最初の質問は、正規のCOVID-19助成金のメッセージからそのまま引用されているように見えるため、何も知らない中小企業の経営者が答えようとすると、簡単に騙されてしまう可能性があります。しかし、性別を尋ねる無害な質問の後、フォームはよりデリケートな領域へと移行し、社会保障番号または雇用者識別番号、運転免許証番号、銀行口座番号とルーティング番号を求めます。

フォームに記入して送信すると、情報が受信されたことを確認する最終メッセージが表示されます。もちろん、送信された情報はすべて攻撃者に盗まれ、被害者の銀行口座や個人情報に簡単にアクセスしたり、ダークウェブでデータを販売したりできるようになります。

なぜ中小企業経営者はこれに騙されるのでしょうか?

この詐欺の背後にいる犯罪者は、説得力のある印象を与えるために、いくつかの異なる戦術を用いています。パンデミックの結果として助成金を約束することで、事業主やユーザーの関心と好奇心を喚起することを目的としています。SBAを装うことで、メールは本物らしく見えます。Googleフォームを使用してアンケートを作成し、ホストするのは巧妙な方法です。これは企業に信頼されている無料ツールであり、セキュリティ検出を回避できる可能性が高いためです。

しかし、多くのフィッシングメールやフォームと同様に、このキャンペーンのメールやフォームも、詳しく調べると根拠が見当たりません。

• 「family's」という単語のスペルが間違っています。
• 「コロナウイルス」という用語の表記が不正確です。
• 「指定された州に提供しています」というフレーズは文法的に正しくありません。
• いくつかの文にはキーワードが欠けています。
• 「GRANT MONEY」という単語をすべて大文字で使用するのはプロフェッショナルらしくないようです。

ユーザーはどうすればこの攻撃を回避できるでしょうか?

ビジネスオーナーとユーザーがこの種の詐欺を回避できるように、Inky はいくつかのシンプルだが役立つヒントを提供しています。

• フィッシングメールを見分けるポイントを覚えておきましょう。対応を検討する前に、誤字脱字やその他の誤りがないか、メッセージを注意深く精査しましょう。
• 送信者のアドレスをよく確認してください。特に、メールが米国政府からのものであると主張している場合は注意が必要です。米国政府の公式ドメインは通常、.com などのサフィックスではなく、.gov または .mil で終わります。
• パスワード、社会保障番号、免許証番号などの機密情報や秘密情報はオンライン調査で絶対に送信しないでください。

こちらもご覧ください

• サイバーセキュリティのプロになる方法：チートシート
• ビジネスで検討すべき10の最高のウイルス対策製品
• セキュリティアナリストの採用方法
• サイバーセキュリティとサイバー戦争：さらに必読の記事