メール傍受詐欺
私の会社は今年で2回目のメール詐欺の標的になっています。
詐欺は次のようになります:
私の会社は、メールアドレス
[email protected]から顧客に請求書を送信します(請求書は、aliceが担当します)。[email protected]請求書がまだ支払われていないため、リマインダーを送信します。リマインダーには、請求書と支払い情報が記載されたPDF添付ファイルがあります。[email protected]の直後にも、リマインダーメールが顧客に送信されます。このリマインダーには、アリスが送信したものとほぼ同じpdf添付ファイルもあり、支払い情報のみが変更されています。
顧客は銀行口座の変更についてアリスと会話し、常に回答を受け取ります。私の上司はすべてのメールでccされていますが、彼はメールを受信しません。
@mycompany.comメールアドレスはo365でホストされています。
1月にこれが初めてありました。最近同じことがありましたが、クライアントが異なりました。初めて[email protected]からメールが送信されたとき[email protected]から2回目。
この詐欺はどのように機能しますか?
これを防ぐにはどうすればよいですか?
アリスのアカウントを確認しましたが、転送に関するルールはありません。
マイクロソフトはアカウントを確認し、侵害されている兆候はないと述べた。
更新:
質問に新しい情報が含まれています。メールはすべてお客様に届きました。
このタイプの詐欺が行われる標準的な方法があるとは思いませんとは思いませんが、私が見たことと私が何をしたかを伝えることができますこれが発生した場合、約2か月に1回、「銀行口座の変更」のメールがメールシステムから「送信元」でサプライヤーに送信されます。
私たちの最初の考えは、このシナリオは起こらなかったということであり、サプライヤと共謀して働いている詐欺的なスタッフがいるということです。除外する必要があるため、不審なものを探すためにスタッフのメールを確認する場合があります。これは常に行き止まりであることが判明します。
次に、独自のメールシステムまたはユーザーアカウントが侵害されているかどうかを確認します。これは、悪意のある人物がメールアカウントにアクセスし、メールが届いたときに傍受、返信、削除できるというものです。それはとても生意気だったので、これらの犯罪者を過小評価しないでください。これは、ユーザーが一度に2つの場所からログインしていることが原因であることがわかりました。これは、ビジネスやVPNの使用などにより、通常のことです。すべてのメッセージの不変のストアがあるため、削除されたメッセージを確認できます。このリスクを軽減するために2段階の検証を行いましたが、2SVのメールアカウントが侵害されていないことを確信しています。もちろん100%の自信はなく、それはオプションです。
次に、ドメインからの送信メールとバウンスを確認し、受信者のメールチームにメールのログを確認するよう依頼します。これにはさまざまな結果があります。あなたの場合、あなたの送信メールは決して到着しないと言っているので、私はドメインへのメールの送信ログを見て、受信者ドメインのMXレコードをチェックしています。メッセージが実際にシステムから送信された場合は、ヘッダーからメッセージIDを取得し、受信者のメールチームに受信したかどうかを尋ねます。多くの場合、受信者の組織にはITチームがなく、電子メールのルーティングや配信方法などがわからないため、結果はまちまちです。mydomain.comへのすべての電子メールがまったく配信されないことは非常にまれで、非常に異常です中間者がすべてのmydomain.comメールをキャプチャして転送するのですが、それは可能だと思います。受信者の組織がメールを受信しない場合は、別のクエリが発生します。なぜですか。もちろん、受信者の電子メールシステムが危険にさらされている可能性があるときに電子メールを介してこれを行おうとすると、控えめに言っても欠陥があります。しかし、あなたのメールが受信者に届かないという事実は私にとって大きな指標であり、私はその理由を突き止めたいと思います。私の仮説は、受信者がWebメールのパスワードを共有し、悪意のある俳優がアカウントにログインしているというものです。これは簡単なアプローチだからです。不正行為者はさまざまな方法でパスワードを取得できますが、私が見た1つの方法は、ログインが必要なオンラインO365ドキュメントまたはGoogleドキュメントへのリンクを送信し、ユーザーがそのリンクを使用してログインすると、不正行為者がパスワードを取得することです。他の方法もありますが、これは私が見たことです。
あなたのクライアントはマネージャーにメールccを送信しますが、それらは到着しませんか?それは追求する興味深い道のように聞こえます。送信者に、マネージャーへのメールのログとマネージャーへの受信メールのシステムをチェックしてもらいたいと思います。私の仮説は、いずれかのメールシステムが侵害されているというものです。私が行った調査では、妥協は通常(今でも)受信者の電子メールシステムにありました。これは、システムに多くの防御があるためですが、ITエンジニアリングを持たない小さなサプライヤーを扱っています関数。しかし、データが手に入るまではわからないので、常に心を開いています。
これで、alice.smith @ Outlook.comが受信者に電子メールを送信します。アリス・スミスの企業メールアカウントが悪意のある人物の管理下にある場合、私の想定は、それらが@ Outlook.comアドレスに煩わされることはないだろうということですが、それは単なる想定です。受信者が実際の会社ではなく@ Outlook.comを扱っている理由を自問しますが、おそらく不正行為者がFROMアドレスを変更したのでしょう。もちろん、それも取得します。送信された電子メールが、小さな変更で送り返された電子メールと一致する場合、明らかに誰かがそのメールを傍受したことになります。私が見た詐欺には私たちのスタッフのメール署名がしばしば含まれているため、PO番号などがありますが、それは完全に偽物ですが、もっともらしいようです。変更された不変の電子メールストアには完全に一致するものはありませんが、人間の送信者が状況を誤って読み、同じ電子メールであると言っているため、これはわかっています。
現在、これらの詐欺のほとんどが受信者から発信されているものを阻止しようとするのはばか者の用事であることがわかりました。彼らのメールは危険にさらされ、偽の電子メールに応答し、詳細を変更します。成功した詐欺は次のとおりです。
- すべてのメールアカウントで2SV
- すべてのメール用の不変のストレージにより、ユーザーに気付かれずに実際のコンテンツを検索できます(プロセスにはガバナンスがあります)
- 「メールに基づいて銀行口座の詳細を変更しないでください」と「いいえ、CEOが秘密の支払いを要求することを伝えることは決してありません」というスタッフへの継続的なコミュニケーション
- 私たちの内部給与チームは、「銀行口座の変更」メールを受け付けません(または受け付けるべきではありません)。イントラネットのフォームを使用して、メッセージのなりすましを処理しますが、アカウントのハイジャックは処理しません。私たちは非常に多くの給与チームを持っています
- SPF、DMARC、DKIM。これらは素晴らしいアイデアであり、小規模な組織に適していると思います。これらを使用している場合、受信者のメールサーバーがこれらを使用して不正なメールを識別するという考え方です。大企業の場合、実際には非常に古い取り組みであり、DMARCとDKIMを実装すると、電子メール送信ドメイン、デバイス、サードパーティなどの膨大な数が原因でビジネスが停止することに気づきました。それ。ほとんどの場合、SPFは問題なく動作します。これらに気付いていない場合は、ウィキペディアがあなたをガイドしますが、私が言うように、それらは素晴らしいアイデアですが、私たちの企業で使用するには複雑すぎます。 O365には、これらの機能がすでに備わっている可能性がありますか?
- 既知の不良ドメインからのスパムにフラグを付けるメール受信ルール。メールスパムエンジンが許可するスパム送信サーバーをホストする正当なサービスプロバイダーについて知っているため、たとえばGoDaddyサーバーからのすべてのメールにフラグを立てます。もぐらたたきで、クラウドメールサービスプロバイダーにスパムを処理させる
コストとGoogleからの保護機能があるため、「メールのセキュリティ」を実現するサードパーティのツールを実装していません。これは完璧ではありませんが、十分です。
これらの問題を調べると、これらのツールが便利です
- https://toolbox.googleapps.com/apps/messageheader/ メッセージヘッダーを確認します
- https://mxtoolbox.com/ MXレコードとその他のDNSタイプのデータを確認します
十分なデータがないため、特定のケースについて直接質問に回答していませんが、他の人がこの正確なシナリオに遭遇した可能性がありますが、完璧なプロセスではないことは認めますが、私がしていることを共有すると役立つと思いましたそして私は100%証明されていない仮定をします。
不正使用されたメールアカウント
残念ながら、メールシステムが侵害されていることは明らかです。これは、ここで最も重要なことです。メールが顧客に届かない場合は、ある時点で誰かが少なくとも[email protected]メール(メールシステム全体ではない場合)。
ここで注意すべき重要な違いがあります。顧客が両方からメールを受信していた場合[email protected]および攻撃者の場合、「リーク」が別の場所で発生し、攻撃者が可能性があります他の場所から収集した情報を使用して、正当な請求メールをフォローアップします。ただし、独自の請求メールが顧客に届かない場合、唯一の説明は、ハッカーがメールシステムを侵害してメールの送信を阻止したことです。ただし、これらのオプションは相互に排他的ではありません。あなたは間違いなくメールシステムを危険にさらしています。ハッカーは他のシステムにも侵入した可能性があります。実際、電子メールアドレスは他のWebベースのシステムでパスワードをリセットするために頻繁に使用できるため、現在、複数の侵害されたシステムを使用している可能性があります。同様の問題があった別の会社からの質問はここにあります:
すべてのメールを転送するOutlookルール-これは一般的な詐欺ですか?
その場合、電子メールシステムにアクセスできる攻撃者は、この種の詐欺を犯し、電子メールアクセスを使用して他のシステムにアクセスしようとしたことにも注意してください。この会社がメールシステムがハッキングされていることを発見すると、アカウントのパスワードを変更しましたが、攻撃者がOutlookでメールフィルターと転送ルールを設定していたため、ハッキングされた会社は後で発見することができませんでした。同様のことがここで起こっている可能性があります。
侵害された電子メールシステム
より大きな懸念は、[email protected]アカウントが侵害されましたが、会社全体のメールを管理するユーザーアカウントが侵害されました。その場合、攻撃者は会社全体の通信を簡単に乗っ取ることができ、おそらく必要に応じて後で戻るための永続的なオプションをいくつか追加することもできます(つまり、o365でメールアカウントの管理を許可されているユーザーのリストを確認し、 1つは追加されていません)。
次のステップ
残念ながら、これの根本的な原因を特定することは難しい場合があります。つまり、それが再び発生しないようにすることはさらに困難になる可能性があります。あなたが私に推測させたら、それは[email protected]アカウントまたは会社のメールを管理するアカウントのパスワードが脆弱で、ハッカーに推測されたか、アカウントの1つがフィッシング攻撃の被害を受けました。これが私が取るステップです:
- 即時haveallusers change to a strong password(> 12 characters、パスワードがオンになっていないことを再確認してください [〜#〜] hibp [〜#〜] )。
- すべてのメールアカウントで追加のフィルターまたは転送ルールを確認する
- メールサービスを管理するアカウントで2FAを有効にします(すべてのアカウントに2FAを追加することをお勧めします)。
- 組織のメールアドレスとユーザーアカウントのリストを確認し、不審なものがないことを確認します
- フィッシングメールやその他の詐欺メールの特定と報告について、従業員のトレーニングを開始します。
- システムをレビューし、ユーザーの次のステップとより優れたセキュリティトレーニングの計画を立てる専門会社を雇う
5番と6番は高額になる可能性があり、ほとんどの企業はそれを行いません。しかし、私はそれらを簡単には却下しません。 1年に2回ハッキングされました。緩いセキュリティはビジネスを完全に破産させる可能性があります。これが1年間に2回発生し、ビジネスを継続しているという事実は、非常に幸運であることを意味します。 1つのハッキングインシデントでさえ、多くの中小企業を破産させるのに十分な場合があります。これを再び起こせるわけにはいきません。助けるために、これは反対側からこれがどのように見えるかです:
https://money.stackexchange.com/q/106081
特に、その質問へのすべての回答が同じことを言っていることを指摘する価値があります。攻撃をもたらした侵害されたシステムを最初に持っていた会社(この場合はあなた)を訴えます。そして正直なところ、それはかなり合理的です。不十分なセキュリティでアカウントが侵害され、顧客が数千ドルをハッカーに支払うことになる場合、それを修正するための費用を支払うのはあなたの会社でなければならないということだけが理にかなっています。