クレブスが報告したビッシング詐欺から銀行を守るためにできること

Ben Balthazar, 2020年5月6日
What Banks Can Do to Prevent the Krebs-reported Vishing Scam

最近、ブライアンクレブスの興味深い記事に注目しました。

記事上で、 「疑問がある場合:受話器を置いて、調べて、電話をかけ直す」 、クレブスは彼の読者の一人、別名「ミッチ」の物語を語り、9,800ドルで騙されました。ミッチは熟練したサイバーセキュリティと技術に精通した読者であるため、それは私の注意を引いた。彼がそのような詐欺に陥るとは思わないでしょう。

この記事は、詐欺の詐欺から身を守るために人々が何ができるかについてのガイダンスを提供していますが、銀行がどのようにして攻撃を検出または防止できたかについては触れていません。この投稿では、それだけを行います。上記にリンクされたKrebsの記事全体を読むことをお勧めしますが、以下に詐欺の概要を示します。すでに記事を読んでいる場合は、次のセクションをスキップして、攻撃の分析に飛び込んでください。

ブライアンクレブスの記事の概要:「疑問がある場合:受話器を置いて、調べて、電話をかけ直す」

ミッチは彼の金融機関であると思われるものから電話を受け、彼のアカウントで検出された詐欺について彼に警告しました。ミッチの最初の本能は良いものでした。彼は、発信者が使用した番号がデビットカードの裏面に印刷されているものと一致することを確認しました。セキュリティに精通しているミッチは、詐欺師がこの電話番号を簡単に偽装できることを知っていました。同時に、彼は電話中にオンラインバンキングをチェックしました。ミッチは、いくつかの不正請求とATMの引き出しを見ました。呼び出し元はその呼び出し中に個人情報を要求しなかったため、代わりに銀行が請求を取り消すと安心したため、ミッチは自分の銀行からの本物の呼び出しと見なしました。

翌日、彼は自分のアカウントで詐欺についての別の電話を受けた。この電話には何か不満があったため、彼は最初の電話を保留にしたまま、銀行の顧客サービス部門に電話をかけることにしました。どういうわけか、担当者はミッチとアクティブな別の通話があったことを確認することができました。これは彼が実際に彼の銀行に話していることを彼に確信させた。

その後、発信者はミッチにSMSテキストメッセージを介してワンタイムパスワード(OTP)を送信し、自分の身元を確認するように指示しました。これは銀行が過去にやったことだったので、ミッチは同意した。彼はOTPを受け取り、それを発信者に読み返しました。翌月曜日、ミッチがオンラインバンキングをチェックしたところ、9,800ドルの電信送金がアカウントに投稿されました。彼は後で電信送金がサイバー犯罪者によって彼の名前で作成されたオンライン銀行口座に行ったことを発見しました。

ヴィッシング攻撃の私の分析

詐欺師は、スキムカードを使用して複雑なソーシャルエンジニアリング詐欺を仕掛け、ミッチから機密情報、口座番号、およびお金を盗みました。彼らはまた、個人情報の盗難を犯し、ミッチの名前で新しい銀行口座を開設することに成功しました。これにより、後でトランザクションが銀行によってフラグを立てられるのを回避できるようになります。

願いの電話でミッチが落ちたことを非難できますか?すべきではないと思います。ミッチはいくつかの小さな間違いをしましたが、彼は良い反射神経を示しました。サイバー犯罪者が発信者IDを偽装する可能性があることを知っていたミッチは、最初に自分の銀行に電話をかけました。

ミッチは、ほとんどの人よりも詐欺やソーシャルエンジニアリングに関する業界の知識を持っていることを認識することが重要です。この場合、知識と認識だけでは不十分でした。これらの詐欺が将来的に他の顧客に影響を与えるのを防ぐために、銀行は高度な検出および防止ツールを活用できます。

ここでは、銀行が改善できる4つの機会の領域を示します。詐欺防止戦略と将来のビッシングと詐欺の試みを停止します。

  • 銀行は、SMSで送信されたワンタイムパスワードを使用して、テレフォンバンキングから送信された支払いを検証しました。
  • 銀行の不正検出システムは、顧客の通常の行動やチャネルの使用を考慮していませんでした。
  • 受取人の口座が支払人の口座と同じ名前であったため、不正な支払いはフラグが立てられませんでした。彼らの詐欺検出システムは、顧客が以前にこの受取人口座を使用したかどうかを考慮していませんでした。
  • 銀行は、アカウントに対する疑わしい支払いまたはアクションを識別および検証するための適切な監視および検証制御を実施していませんでした。

どのようにして銀行はミッチをよりよく保護できたでしょうか?

SMS経由で送信されるワンタイムパスワードと ダイナミック・リンキング

SMSのワンタイムパスワードを使用してオンライン銀行口座を保護することはお勧めできません。その上、SMS OTPを使用して支払いを検証することはさらに悪いことです。SMSワンタイムパスワードは、フィッシング、ビッシング、ソーシャルエンジニアリング、モバイルマルウェア、その他の攻撃を受けやすい傾向があります。さらに、それらはトランザクションのコンテキストを提供しません。この場合が示すように、ワンタイムパスワードが何に使用されているかを顧客に知らせるため、コンテキストは重要です。

ミッチの例では、OTPは電話バンキングを通じて開始された$ 9,800の電信送金の認証に使用されていました。しかし、ワンタイムパスワードを受け取ったとき、彼は自分の身元を確認することであると言われました。ミッチは、攻撃者が自分に代わって支払いを投稿するためにこの同じコードを使用できることを知る方法がありませんでした。次の2つの重要な変更により、この攻撃と、同様の多くのビッシングおよびフィッシングの試みが阻止された可能性があります。

  1. 動的リンクワンタイムパスワードを支払いまたはアクションに動的にリンクすると、このOTPはその特定の支払いまたはアクションに対してのみ使用可能になります。さらに、動的リンクを適用する場合、このOTPの用途についてユーザーにコンテキストを提供する必要があります。この例では、ワンタイムパスワードが支払いにリンクされ、支払いの詳細がOitchをどこかに入力する前にMitchに表示され、確認されている必要があります。
     
  2. 安全な通信チャネルを使用する: これは前のポイントと完全に結びついています。SMSなどの脆弱なチャネルに依存する代わりに、銀行はテクノロジーを活用して、ソフトウェアベースの認証システムを顧客に提供することができました。オーセンティケーターはスタンドアロンアプリケーションまたはモバイルバンキングアプリケーションと統合 。(SIMスワップ攻撃を使用して)乗っ取られたり、モバイルマルウェアに盗まれたりした可能性のある携帯電話番号にSMSを顧客に送信する代わりに、銀行は独自のモバイルアプリを介してユーザーとの直接通信チャネルを確立できます。これにより、銀行は、エンドツーエンドの暗号化とデバイス分析を利用して、通信に追加の保護を実装できます。

ダイナミックライニング

動的リンクでは、トランザクションまたは操作の詳細は、ワンタイムパスワードの生成および検証プロセスの一部です。ユーザーにはOTPの生成時に詳細が表示され、OTPはこの特定の操作の検証にのみ使用できます。動的リンクは、ユーザーが操作またはトランザクションを承認するときにコンテキストを提供するため、フィッシングやソーシャルエンジニアリングと戦うための重要なツールです。

銀行が上記の変更を実装した場合、SMSでワンタイムパスワードを受け取る代わりに、ミッチは電話でプッシュ通知を受け取っていました。

  • 通知を開くと、アプリはミッチに次の支払いを承認するかどうかを尋ねます(そして支払いの詳細を表示します)。
  • その後、ミッチは、PINまたは生体認証で承認を確認および確認する必要があります。
  • アプリはワンタイムパスワードを自動的に生成し、銀行に送り返します。
  • パスワードが傍受された場合でも、ダイナミックリンクにより、Mitchが確認した支払いを確認するためにのみ使用できます。したがって、攻撃者はそれを使用することはできません。

通常の顧客の行動とチャネルの使用 

ダイナミックリンクと安全なチャネルは、多くの一般的な攻撃を阻止するのに役立ちますが、銀行の顧客を保護するためにできることは他にもあります。この例では、ミッチがテレフォンバンキングの一般的なユーザーであるようには見えません。彼はオンラインバンキングチャネルを好む傾向があります。銀行は、オンラインバンキングから電話バンキングへのミッチの通常の振る舞いのこの変化を、詐欺の指標として、ミッチが一度も送金していない口座への大幅な送金と組み合わせて使用した可能性があります。その後、銀行は支払いを処理する前に追加の検証を実行することができます。

同じ名前の支払人口座と受取人口座

3番目のポイントは興味深いものです。これは、攻撃者が銀行のプロセスを洞察していた可能性があることを示しているためです。彼らは資金をオンライン銀行でミッチの名前で開かれた口座に送金したことがわかりました。その後、銀行はこの口座情報を使用して、支払いを自動的に青信号にしました。これは、彼の銀行が不正検出ソリューションを調整して、別の金融機関のオンボーディングプロセス(彼らが制御できないプロセス)に一定の信頼を置くことを意味します。個人情報の盗難はよくあることであり、金融機関は相互に依存して支払いをさらなる規制から免除することはできません。

不十分な監視および検証管理

最後のポイントは推測ですが、銀行の不正監視プロセスが成熟していない兆候があります。彼らは適切なツールを持っているかもしれませんが、それらを正しく使用する方法を知りません。私の1つの指標は、同じ名前のアカウントに送られているため、支払いが自動的に許可されたという事実です。

もう1つの懸念は、攻撃者がアカウントに旅行の通知を送信したため、詐欺の監視システムがクレジットカードの不正請求に対応しなかったことです。この旅行通知は、その期間の彼のクレジットカード番号に関連するすべての地理的アラートを無視するようにシステムに通知しました。

ただし、ミッチは詐欺師から電話を受けたときに自分のオンラインバンキングアカウントにアクセスしたことに注意してください。これは銀行がミッチがフロリダで彼のカードを使用している間にカリフォルニアから彼のオンラインバンキングにログインしていることに気付く可能性があったことを意味します。このタイプのクロスチャネル情報は、銀行では正しく利用されないことがよくありますが、詐欺の特定には非常に役立ちます。どちらかといえば、これは詐欺部門によるより深い調査のきっかけとなり、進行中の計画を特定できた可能性があります。

complemnetaryレイヤーの追加

多層防御:補完的なレイヤーを追加することで、攻撃を防止および検出する組織の能力が向上します。

結論:セキュリティに対する多層的なアプローチを探る

詐欺師は常に、詐欺チームを回避するための新しい戦略を考案するために取り組んでおり、クレブスの記事のこの例はそれを証明しています。そのため、金融機関がより高度な不正検出および防止システムを活用することは不可欠です。安全な通信チャネルと結合された動的リンクのような適切なシステムとセキュリティツールと継続的な不正行為と行動監視銀行は、洗練されたソーシャルエンジニアリングスキームだけでなく、フィッシング、マルウェアなどの他の種類の詐欺攻撃から顧客を保護できます。

ダイナミックリンクと詐欺ソリューションの詳細については、次のリソースをご覧ください。

電子ブックカバー
eブック

アカウント乗っ取り詐欺:お客様とビジネスを守るには

不正ななりすましを防ぎ、デジタルジャーニーのあらゆる段階で顧客の安全を守るお手伝いをします。

今すぐダウンロード

ベンバルタザールはOneSpanの詐欺コンサルタントであり、ヨーロッパ、中東、アジアの金融機関が金融サイバー犯罪から身を守るのを支援しています。ベンは2014年にOneSpanでキャリアをスタートさせ、2016年にベルギーからドバイに転居しました。