大多数の中小企業では、税務の終わりが救済のため息をついています。 しかし、あなたの警備員はまだ倒れないようにしてください。 W-2詐欺を取り巻く新たな脅威が検出され、この時点で税関連詐欺に関する懸念が高まっています。
W-2フィッシング詐欺の脅威
W-2フォームには、アイデンティティの泥棒が探しているすべての情報(フルネーム、住所、識別番号など)が含まれています。 サイバー犯罪者はこれを理解しているので、彼らは彼らに手を差し伸べるための精巧な計画を作成します。
幸いにも、バラクーダ、サイバーリスクの専門家は、同社の公式ブログのポストで最近脅威を公開しました。
この詐欺では、犯罪者があなたの会社の誰がW-2(通常は人事部の誰か)にアクセスできるか、そしてあなたの会社の誰がそれらを要求する権限を持っているかを知る必要があります。 これらの人々が誰であるかを特定すると、詐欺を開始することができます。
サイバー犯罪者は、マネージャー、シニアレベルのエグゼクティブ、またはあなたの会社の誰かがW-2にアクセスする必要がある人を偽装することから始めます。 この人物がJohn Smith、ゼネラルマネージャーだとしましょう。 犯罪者は、実際のメールアカウントと非常によく似た偽のメールアカウントを作成することから始めます。
typo-squatted電子メールは、1桁の数字を変更することによって作成された偽のアカウントであり、しばしば気付かれなくなります。 ジョンの実際のメールアドレスが「[電子メールで保護されています]」としましょう。たとえば、「[電子メールで保護された]」または「[電子メールで保護された]」などのタイプミスをしたドメインで電子メールを作成します。
毎日複数の電子メールを受信しているオフィスの忙しい環境では、「小さい」には1つのLがなく、「ビジネス」にはドメイン名に1つのSがないという事実を見逃すことは簡単です。 大多数の人々は、特に親しみのあるときには、受信メールのアドレスを厳密に読んでいません。
サイバー犯罪者は、自分の偽のアカウントを使用して、人事部やW-2の担当者に、誰かのW-2のコピーを緊急に要求する電子メールを突然送信します。
この特定の詐欺は、偽の電子メールアカウントを通じて権限の感覚を作成することと、ドキュメントの突然の要求で緊急性を感じることに焦点を当てています。 電子メールは権限のある人から来ているようで、この人は緊急の必要性から情報を要求しているようだ - 被害者は遵守する可能性が高い。
このメール詐欺の主な種類の件名は次のとおりです。
- ジョン(または他の従業員の)W2
- 2016 W-2's
- 従業員のためのリクエストW2 2016
サイバー犯罪者がW-2フォームを使用すると、その個人情報を簡単に販売することができます。 情報はその後、身元を盗んで新しいものを作成するために使用されます。
W-2フィッシング詐欺のテクニック
企業は税務書類に関連する詐欺に気付いているかもしれませんが、税務当日の前または中に警戒しています。 シーズンが終わると、彼らの意識はより緩やかになります。
次の図は、このW-2フィッシング詐欺がどのように3つの手法を使用しているかを示しています。
- ソーシャルエンジニアリング
- 偽装
- ブラックマーケットの販売
このW-2フィッシング詐欺からあなたのビジネスを守る方法
W-2が盗難に遭った場合、その結果はあなたの中小企業にとって非常にコストがかかることがあります。 従業員の機密情報の保護に失敗した場合、訴訟、信頼の喪失、および関係の喪失が生じる可能性があります。
あなたのビジネスを保護する上で最も重要なステップは、特に人事、財務、法律などの敏感な部門で意識を高めることです。 この種の詐欺を従業員に伝えるだけで、それを防ぐための道が大きく変わるでしょう。
どのように精巧な犯罪者になっても、このタイプのフィッシング詐欺は、常にリンクをクリックして自発的に情報を送信することに依存します。
それをさらに進めて、あなたの会社はアウトバウンドフィルターを使って余分なセキュリティ層を作り出すことができます。 これにより、機密文書があなたのドメインを離れたり、未知の電子メールアドレスに送信されるのを防ぎます。
画像:バラクーダ
