フィッシングメール-電子署名を使用するときに顧客を保護する方法

Dilani Silva, 2019年8月11日

によると2019PhishLabsレポート、米国のターゲットに対するフィッシング攻撃の量は、2018年に40%以上増加しました。 フィッシングは、世界で最も一般的で成功しているソーシャルエンジニアリングスキームの1つであり、減速の兆候はありません。 フィッシングは、人々をだまして悪意のあるリンクをクリックさせ、マルウェアをダウンロードしたり、犯罪者に機密情報を提供したりします。 認知されたブランドを使用したフィッシング攻撃の一種であるWebサービスのなりすまし攻撃の台頭、ログインして犯罪者に資格情報を放棄するように促す偽のWebサイトや電子メールが含まれます。 盗まれた資格情報を使用して、攻撃者は他のサービスにログインし、被害者になりすまして資金を盗むことができます。

詐欺師やフィッシング詐欺師は、現在のイベントや季節的なビジネス活動に適応します。 昨年、私たちは日和見主義を見ましたGDPR関連のフィッシングメールそして所得税詐欺。 1つの戦術は、請求書や出荷通知などの日常的なものでマルウェアをマスクすることです。 悪意のある電子メールが認識されたブランドになりすますブランドジャックも、フィッシング詐欺師に人気のある戦術です。 DocuSignのようなベンダーは、詐欺師による絶え間ない攻撃を受けています( 2017年 2018年 2019年 2020 )、ベンダーの電子署名サービスからのなりすましメールを送信します。 DocuSignは、電子署名サービスと電子メール通知全体でブランドが広く使用されているため、悪意のある大量のフィッシング攻撃の主要な標的です。 これらの種類のなりすまし手法が最終的にエンドカスタマーに到達すると、マルウェアのダウンロード(ランサムウェアなど)やハッカーが顧客のIDや個人情報を悪用する可能性があります。

同じことがビジネスパートナーと従業員にも当てはまります。 によると2018脅威レポートeSentire Threat Intelligenceによると、Facebookの資格情報が侵害されると、何よりも私生活に影響が及びます。しかし、「DocuSignまたはDropboxの資格情報の盗難は、ビジネスに深刻な影響を与える可能性があります。」組織内の複数のアカウントで資格情報が再利用される場合、それらの資格情報の侵害はさらに深刻な影響を与える可能性があります。


フィッシングメールからブランドと顧客を保護する

ビジネスとして、あなたはあなたのブランドを構築し、宣伝するためにたくさんのお金を投資しました。 あなたのブランドは重要です。なぜなら、それはあなたの会社が表すものの本質を表しているからです。 あなたのブランドに関連するネガティブな経験は、すぐにビジネスの喪失、顧客離れ、そしてあなたの会社の収益にマイナスの影響をもたらす可能性があります。 ヒューマンファクターレポート資格情報の悪用に焦点を当てた高度なサイバー攻撃について説明します。 このレポートから抜粋した以下の図は、DocuSign、OneDrive、DropBoxなどのWebサービスに基づいたフィッシングメールの有効性の概要を示しています。 電子メールのクリック率は驚くほど高いです。 クリックするたびに、攻撃者は顧客の機密情報を取得して悪用することに一歩近づきます。

フィッシングドキュサイン

では、企業は顧客と評判を守るために何ができるでしょうか。 数十億ドルの潜在的な詐欺を防止してきたデジタルセキュリティ企業として、私たちは、消費者がデジタルトランザクション全体を通じて信頼できる旅を確実に行えるようにすることの重要性を理解しています。 私たちがお客様に提供するアドバイスは、電子署名エクスペリエンス全体にホワイトラベルを付けることです。 ブランドアプリケーションと電子署名アプリケーションの間の移行が中断されないように、ブランドにスポットライトを当てることができるはずです。 業界のベストプラクティスは、シームレスで完全にブランド化されたトランザクションが顧客の信頼を強化し、高い採用率を促進することを示しています。

ベンダーのロゴとブランドが電子署名エクスペリエンスの重要な部分である電子署名ソリューションを使用している場合、消費者は論理的に会社と電子署名ベンダーの間に関連付けを作成します。 ベンダーが次のようなセキュリティまたはデータ侵害を経験した場合DocuSign違反、それはあなたのビジネスとは完全に無関係ですが、それは協会によってあなたの会社に影響を与える波及効果をもたらす可能性があります。 さらに、ベンダーブランドの電子署名エクスペリエンスは、署名者を危険にさらします。 あなたのクライアントがフィッシング詐欺の受信者である場合、その主な目標は彼らの身元と個人情報を悪用することです。 成功した場合、それはあなたのビジネスへの彼らの信頼に影響を与え、彼らにあなたとの関係を再考させる可能性があります。

Crontoトランザクション承認

ソーシャルエンジニアリング攻撃と戦い、銀行取引における人的リスクを軽減します

最新のソーシャルエンジニアリング攻撃と、サイバー犯罪者がアカウント乗っ取りのトランザクション承認プロセスで脆弱性を悪用する方法について学びます。 業界のベストプラクティスとテクノロジーの推奨事項を使用してリスクを最小限に抑えます。

ソーシャルエンジニアリングの電子ブックをダウンロードする

ホワイトラベリングで攻撃の脆弱性を減らす

電子署名ソリューションを評価するときは、ベンダーがあなたの最善の利益を心から持っており、あなたの成功に投資していることを確認してください。 ベンダーがあなたのブランドに焦点を合わせ続けることを許可しない場合は、それを危険信号と見なしてください。 ブランドがアプリケーションの中心であると主張する他の電子署名プロバイダーとは異なり、OneSpan Signを使用すると、エクスペリエンスを完全にホワイトラベル付けして、ブランドの強化に全力を注ぐことができます。 署名エクスペリエンスが電子メール通知を介して開始される場合でも、Webポータルまたはモバイルアプリ内で直接開始される場合でも、OneSpan Signを使用すると、電子署名プロセスのあらゆる側面にホワイトラベルを付けることができます。 これは、ブランドと顧客を保護し、洗練された詐欺師があなたを次の標的にするのを阻止するためにできる一番のことです。 次のことができる電子署名プロバイダーを探してください。

  • 独自のメールサーバーと統合して、ドメインからメールを送信できるようにします(例:@yourbank .com)の代わりに(たとえば、[ベンダー名を挿入]経由で送信)
  • 電子メール通知の内容とルックアンドフィールをカスタマイズする
  • ヘッダー、ナビゲーションバー、フッターなどの要素の色、ロゴ、および表示をカスタマイズします。
  • ダイアログボックスとエラーメッセージをカスタマイズする

多要素認証(MFA)

ホワイトラベリングに加えて、企業は多要素認証などのセキュリティ対策を見落としてはなりません。 によるとグーグル調査によると、これはセキュリティの専門家がオンラインで身を守るための最も重要な方法の1つです。 MFAでは、認証してアクセスを許可する前に、2つ以上の検証方法を使用して身元を証明する必要があります。 このように、1つの要因が危険にさらされたり壊れたりした場合でも、攻撃者はターゲットに侵入する前に、少なくとももう1つの侵入障壁があります。 フィッシングに関しては、適切に実装されたMFAメソッドは、単一要素のユーザー名とパスワードよりもはるかに強力な抑止力です。

今日、セキュリティと使いやすさのバランスをとる多くのMFAオプションがあります。 従来のワンタイムパスワード(OTP)ハードウェアトークンに加えて、次のようなモバイルオプション指紋スキャンそして顔認識使いやすく、認証エクスペリエンスをスムーズにします。 モバイル用の他のMFAメソッドには、モバイル認証アプリまたはSMSメッセージ。 として多要素認証のマーケットリーダー、私たちはあなたがあなたのユニークなニーズとユーザーに最適なオプションを理解するのを手伝うことができます。

電子署名のセキュリティの詳細については、次のレポートをご覧ください。セキュリティと信頼:電子署名を実装するためのベストプラクティス。

 

 

Dilani Silvaは、OneSpanの製品マーケティングマネージャーです。 彼女は、OneSpanの電子署名ソリューションであるOneSpan Signの市場開拓戦略、ポジショニング、メッセージング、および販売の実現を管理および実行しています。