電子メールで昇給を申し出ましたか?詐欺の可能性があるため、まだお祝いしないでください
フィッシング詐欺にはあらゆる形態とサイズがあり、その一部は非常に明白で1マイル先から発見される可能性がありますが、他のフィッシング詐欺はより巧妙で、より慎重な人々でさえ詐欺に使用できます。このレポートで説明している昇給詐欺は必ずしも極端に洗練されているわけではありませんが、昇給を期待している人や、月末までに高額の支払いを必死に思う人を搾取しています。より高い給料を得るという申し出が来るとき、注意が脇に置かれるかもしれません。このレポートを読み続けると、将来的に給与フィッシング詐欺を見つけることができると確信しているので、興味がある場合は読み続ける必要があります。
Table of Contents
salary-increase-sheet- [month]-[year] .xlsおよび同様のファイルに注意してください
salary-increase-sheet- [month]-[year] .xlsという名前のファイルが添付された奇妙な電子メールを受信した場合は、それを報告し、送信者を書き留め、メッセージを終了して、すぐに削除する必要があります受信トレイから。このフィッシング詐欺メールを報告することにより、メールプロバイダーの注意を喚起します。メールプロバイダーは、メッセージを分析し、同じ送信者が他の潜在的な受信者を攻撃するのを防ぐことができます。 Cofenseフィッシング防御センターは、2019年10月に最初に詐欺を発見したため、このファイルにはsalary-increase-sheet-November-2019.xlsという名前が付けられました 。もちろん、ファイル名の月と年を変更するのは非常に簡単です。したがって、フィッシング詐欺をより信頼できるものにするために、将来的に別の月と年が使用されることを期待できます。詐欺を発見した研究者によると、フィッシング詐欺メールは、受信者をだまして雇用主からのメッセージを受信したと思わせるように設定されています。内部のメッセージは、受取人が給与が増額された人のリストに追加されたことを通知します。
メッセージの背後にある目標は、受信者に.XLS添付ファイルをクリックさせることですが、 そうすると 、受信者は自動的にsalary365.web.app/#/auth-pass-formにルーティングされます。 これは、Officeを抽出するために設定されたフィッシングWebサイトです。 365ログイン資格情報。このページはMicrosoftのログインページを模倣しており、フィッシング詐欺のそれほど慎重でない犠牲者は、電子メールアドレスとパスワードの非常に機密性の高い組み合わせを開示するようにだまされる可能性があります。もちろん、メールアドレスは既に攻撃者が知っているものであり、悪意のあるsalary365.web.appリンクの完全なURLにも含まれています。もちろん、この詐欺の背後にある攻撃者は、新しいWebサイトをセットアップし、現在議論しているフィッシング詐欺の修正版を使用して、Office 365ログイン資格情報を開示するように多くの人をだますことができます。メールが本物かどうかを確認するのはあなた次第であり、不正行為が疑われる場合は、技術サポートチームまたは人事部にチェックインする必要があります。会社のサイバーセキュリティスペシャリストがフィッシング詐欺を確認し、人事部門が給与が引き上げられたかどうかを確認できます。
Office 365ログイン資格情報の開示にだまされた場合はどうすればよいですか?
最初に行うことは、会社のサイバーセキュリティの責任者にインシデントを報告することです。彼らはこの種の問題に対処するために支払われており、状況を評価し、適切なソリューションを最も迅速に提示することができます。不正なサイバー犯罪者がMicrosoftアカウントを引き継ぐと、会社のリソースにアクセスしたり、同僚全員に悪意のあるメールを送信したりする可能性があるため、問題を迅速に解決する必要があります。 2要素/多要素認証が設定されている場合、状況はそれほど深刻ではありません。私たちが何について話しているのかわからない場合は、 このレポートをお読みください。要するに、2FAまたはMFAがセットアップされている場合、サイバー犯罪者はOffice 365ログイン資格情報を知っていてもアカウントを乗っ取ることができない可能性があります。
Office 365の2要素認証をセットアップする方法
- https://login.microsoftonline.com/にアクセスします 。
- ログイン情報を入力し、[ サインイン ] をクリックします。
- [ 今すぐセットアップ ]ボタンをクリックします。
- 追加のセキュリティ検証情報を入力し、[ 次へ ]をクリックします。
- 選択した方法で送信された確認 コードを使用して、自分自身を確認します。
フィッシング詐欺の被害者向けの第1位のヒント
悪質な昇給フィッシング詐欺に陥った場合、すぐに行う必要がある最も重要なことは、該当する場合、社内のサイバーセキュリティチームに連絡する以外に、パスワードを変更することです。 2要素認証または多要素認証を有効にしている場合でも、パスワードは弱いリンクであり、このリンクはすぐにアップグレードする必要があります。結局のところ、 2要素認証でさえ無敵ではないため、フィッシング詐欺の成功に迅速に対応する必要があります。 ここでパスワードをリセットできますが 、気付かないうちに変更しないでください。古いパスワードに数字または記号を追加すると、脆弱性が残ります。弱いものに置き換えても、セキュリティは向上しません。必要なのは、長くてユニークで複雑なパスワードです。自分でパスワードを思い付かない場合は、自動的にそれを行うツールを使用することをお勧めします。 Cyclonis Password Managerには、強力なパスワードを非常に簡単に作成できる統合パスワードジェネレーターがあります。興味のある方は、右側の[ 今すぐ30日間無料でお試しください ]ボタンをクリックしてください 。
将来的には、受信するメールに非常に注意する必要があります。仕事用のメールアカウントでも個人用のメールアカウントでも、受信したすべてのメールを開いて無意識にやり取りすると、あらゆる種類のフィッシング詐欺にさらされる可能性があります。ランサムウェアは誤解を招く電子メールを使用して拡散されることも多いため、注意が必要であることに注意してください。送信者をチェックし、通常の要素から奇妙なものを探し、電子メールがあなたにとって意味があるかどうかを考え、そしてもちろん、あなたに紹介される可能性のあるリンクや添付ファイルに特に注意してください。アカウントを保護し、奇妙な電子メールに目を光らせていると、詐欺から逃れることができるかもしれません。