「M&A(合併・買収)の計画が進んでいるので、海外送金を急ぎ頼みたい。極秘案件のため、社内でも口外するな。相手先との協議中で、しばらく電話には出られない」
もしこんなメールがあなたの会社のCEO(最高経営責任者)を名乗る人物から送られてきたら、決してだまされない自信はあるだろうか。
「送金が遅れれば、会社に損害が生じるのではないか」「切羽詰まった案件なら、折返しの確認すらCEOは嫌がるかもしれない」。こんな考えが頭をよぎる人もいるのではないだろうか。被害者の心理を巧みに誘導する手法は、高齢者を狙う振り込め詐欺と酷似している。
こうした心理的な隙を突く「ソーシャル・エンジニアリング」が、法人向けにメールで詐欺を仕掛けるBEC(Business E-mail Compromise)の大きな特徴だ。例えばCEOの口癖を真似する、CEOが海外出張中で連絡がつきにくい時期を狙うといった具合だ。
企業相手だけに被害額も巨額化
巧妙な振り込め詐欺犯は、各種の名簿や戸別の調査から被害家庭の家族構成などを調べ上げ、高齢者をだますための架空のストーリーを組み立てる。一方、BEC詐欺犯はあらかじめ「標的型メール」などを通して企業内に不正ソフトウェアを仕込んでメールのやり取りを盗み見る。財務責任者は誰か、社内でどんなプロジェクトが進んでいるかなどを分析するためだ。
CEOになりすます手口以外にも、取引先になりすまし、送金先の口座の変更を伝えてくる手口もある。この場合も、詐欺犯は進行中の商談内容を把握した上で連絡するので、被害者はなりすましを見破りにくい。
また、ホームページで公開されている企業のアドレスを自動収集するツールを使い、架空の企業を装って営業を持ちかける手法もある。サイバー犯罪と言うよりは架空請求詐欺と言うべきかもしれないが、これもBECの一類型だ。公認会計士や弁護士らを装ったビジネスの仲介役を登場させるなど、被害者を信用させるために細かく悪知恵を働かせる。ITというより、ソーシャル・エンジニアリングだけで詐欺を成り立たせる手法だ。
Powered by リゾーム?