フィッシングメール-電子署名を使用するときに顧客を保護する方法

Dilani Silva, 2019年8月11日
Phishing Emails

によると 2019 PhishLabsレポート 、米国に対するフィッシング攻撃の量 2018年の目標は40%以上上昇しました。フィッシングは、世界的に最も一般的で成功しているソーシャルエンジニアリングスキームの1つであり、減速の兆候はありません。フィッシングでは、悪意のあるリンクをクリックしてマルウェアをダウンロードさせたり、機密情報を犯罪者に提供したりします。認知されているブランドを使用したフィッシング攻撃の一種であるWebサービスのなりすまし攻撃の増加 、ユーザーにログインを促し、資格情報を犯罪者に譲渡する偽のWebサイトと電子メールが含まれます。盗まれた資格情報を使用して、攻撃者は他のサービスにログインし、被害者になりすまして資金を盗むことができます。 

詐欺師やフィッシャーは、時事や季節的なビジネス活動に適応します。昨年、日和見的な GDPR関連のフィッシングメールそして所得税詐欺 。1つの戦術は、請求書または出荷通知のような日常的なものでマルウェアをマスクすることです。悪意のある電子メールが認識されたブランドを偽装するブランドジャッキングも、フィッシャーにとって人気のある戦術であり続けています。DocuSignなどのベンダーは、常に詐欺師の攻撃を受けています( 2017年 2018年 2019年 )、ベンダーの電子署名サービスからのなりすましメールを送信します。DocuSignは、電子署名サービスや電子メール通知全体でブランドが広く使用されているため、悪意のある大量のフィッシング攻撃の主な標的となっています。これらの種類のなりすまし手法が最終的にエンドユーザーに到達すると、マルウェアのダウンロード(ランサムウェアなど)やハッカーがお客様のIDや個人情報を悪用する可能性があります。

ビジネスパートナーや従業員も同様です。によると 2018脅威レポート eSentire Threat Intelligenceの場合、Facebookの資格情報が危険にさらされると、何よりも個人の生活に影響を与えます。しかし、「DocuSignまたはDropbox資格情報の盗難は、ビジネスに深刻な影響を与える可能性があります。」資格情報が組織内の複数のアカウントで再利用される場合、それらの資格情報の侵害はさらに深刻な影響を与える可能性があります。


フィッシングメールからブランドと顧客を保護する

ビジネスとして、あなたはあなたのブランドを構築し、宣伝するために多くのお金を投資しました。それはあなたの会社が何を表しているかの本質を表すので、あなたのブランドは重要です。ブランドに関連するネガティブな体験は、すぐにビジネスの喪失、顧客のチャーン、そして会社の収益にマイナスの影響を与える可能性があります。ヒューマンファクターレポート資格情報の悪用に焦点を当てた高度なサイバー攻撃について説明します。このレポートから抜粋した以下の図は、DocuSign、OneDrive、DropBoxなどのWebサービスに基づいたフィッシングメールの有効性の概要を示しています。メールのクリックスルー率は驚くほど高いです。クリックするたびに、攻撃者は顧客の機密情報を入手して悪用することに一歩近づきます。 

フィッシング文書

では、企業が顧客と評判を守るために何ができるでしょうか?数十億ドルの詐欺の可能性を防止してきたデジタルセキュリティ企業として、私たちは、消費者がデジタルトランザクション全体を通じて信頼できる旅をすることの重要性を理解しています。私たちがお客様に提供するアドバイスは、電子署名エクスペリエンス全体をホワイトラベルすることです。ブランドにスポットライトを当てて、ブランドアプリケーションと電子署名アプリケーションの間の中断のない移行を確実にすることができます。業界のベストプラクティスは、シームレスで完全にブランド化されたトランザクションが顧客の信頼を強化し、高い採用率を促進することを示しています。 

ベンダーのロゴとブランドがe-signatureエクスペリエンスの顕著な部分であるe-signatureソリューションを使用している場合、消費者は会社とe-signatureベンダーの間に論理的な関連付けを作成します。ベンダーが次のようなセキュリティまたはデータ侵害を経験した場合 DocuSign違反 、それはあなたのビジネスとは完全に無関係ですが、協会によってあなたの会社に影響を与える波及効果をもたらす可能性があります。さらに、ベンダーブランドの電子署名の経験は、署名者を危険にさらします。あなたのクライアントがフィッシング詐欺の受信者である場合、その主な目標は、彼らの身元と個人情報を悪用することです。成功した場合、それはあなたのビジネスへの信頼に影響を与え、彼らとあなたとの関係を再考させる可能性があります。

ソーシャルエンジニアリング攻撃に対抗し、銀行取引における人的リスクを軽減する

ソーシャルエンジニアリング攻撃に対抗し、銀行取引における人的リスクを軽減する

最新のソーシャルエンジニアリング攻撃と、サイバー犯罪者がアカウント乗っ取りのトランザクション承認プロセスで脆弱性をどのように利用するかについて学びます。業界のベストプラクティスとテクノロジーの推奨事項により、リスクを最小限に抑えます。

ソーシャルエンジニアリングeBookをダウンロード

ホワイトラベリングで攻撃の脆弱性を軽減

電子署名ソリューションを評価するときは、ベンダーが真の最善の利益を持ち、成功に投資されていることを確認してください。ベンダーがあなたのブランドに焦点を当て続けることを許可しない場合は、それを危険信号と見なしてください。ブランドがアプリケーションの前面で中心にあると主張する他の電子署名プロバイダーとは異なり、OneSpan Signは、エクスペリエンスを完全にホワイトラベル付けして、ブランドの強化に全面的に焦点を当てることができます。電子メール通知を介して、またはWebポータルやモバイルアプリ内で直接署名エクスペリエンスを開始する場合でも、OneSpan Signを使用すると、電子署名プロセスのあらゆる側面にホワイトラベルを付けることができます。これは、あなたのブランドと顧客を保護し、巧妙な詐欺師があなたを次の標的にすることを阻止するためにあなたができる一番のことです。次のことを可能にする電子署名プロバイダーを探します。

  • 独自のメールサーバーと統合して、ドメインからメールを送信できるようにします(例: @yourbank .com)彼らの代わりに(例えば、[ベンダー名を挿入]経由で送信)
  • メール通知のコンテンツとルックアンドフィールをカスタマイズする
  • ヘッダー、ナビゲーションバー、フッターなどの要素の色、ロゴ、可視性をカスタマイズします。
  • ダイアログボックスとエラーメッセージをカスタマイズする

多要素認証(MFA)

ホワイトラベリングに加えて、企業は多要素認証などのセキュリティ対策を見落としてはなりません。によるとグーグル調査によると、これはセキュリティの専門家がオンラインで自分自身を保護するための最も優れた方法の1つです。MFAでは、ユーザーが認証されてアクセス権を付与される前に、2つ以上の検証方法を使用して身元を証明する必要があります。このように、1つの要素が危険にさらされたり壊れたりした場合でも、攻撃者はターゲットに侵入する前に、少なくとも1つ以上の障壁を破る必要があります。フィッシングに関しては、適切に実装されたMFAメソッドは、単一要素のユーザー名とパスワードよりもはるかに強力な抑止力です。 

今日、セキュリティとユーザビリティの間のバランスをとる多くのMFAオプションがあります。従来のワンタイムパスワード(OTP)ハードウェアトークンに加えて、次のようなモバイルオプション指紋スキャンそして顔認識使いやすく、認証エクスペリエンスがスムーズになります。モバイル向けのその他のMFA方法には、モバイル認証アプリまたはSMSメッセージ。として多要素認証の市場リーダー 、独自のニーズとユーザーに最適なオプションを理解するのに役立ちます。 

電子署名のセキュリティの詳細については、次のレポートをご覧ください。セキュリティと信頼:電子署名を実装するためのベストプラクティス。

 

Dilani SilvaはOneSpanの製品マーケティングマネージャーです。彼女の職務では、OneSpanの電子署名ソリューションであるOneSpan Signの市場開拓戦略、位置付け、メッセージング、販売支援を管理および実行しています。