サイバー犯罪者は恐喝メールで、恥ずかしい写真など被害者に関する危険な情報を公開すると脅し、暗号通貨での支払いを要求します。 攻撃者は、脅威が正当であることを「証明」するために、被害者のログイン資格情報を購入したり、データ侵害を通じて取得したりすることがよくあります。
攻撃者が恐喝電子メールで使用する金融インフラストラクチャをより深く理解するために、バラクーダはコロンビア大学の研究者と提携し、恐喝攻撃が検出された 300.000 年間にバラクーダネットワークスの AI ベースの検出器によって捕捉された XNUMX 件を超える電子メールを分析しました。
🔎法外なカバーレターの例 (画像: Barracuda Networks)
以下では、これらの攻撃で使用される通貨、攻撃者によるビットコイン アドレスの使用方法、送信される電子メールの量、および要求される金額について詳しく見ていきます。
恐喝攻撃者が使用する暗号通貨
調査されたデータセットでは、攻撃者が使用する暗号通貨はビットコインだけです。 犯罪者が身代金の支払い方法としてビットコインを使用する理由はいくつかあります。 ビットコインはほぼ匿名であり、トランザクションはウォレット アドレスを介して処理され、誰でも好きなだけウォレット アドレスを生成できます。
さらに、ビットコインを取り巻くインフラストラクチャはよく開発されているため、被害者がビットコインを購入することが容易になり、攻撃者がいわゆる「ミキサー」を使用して自分の行動をさらに匿名化できるようになります。 これらは、多数のウォレットからビットコインをランダムに組み合わせたり分割したりすることで、取引履歴を隠蔽することを目的としたサービスです。 さらに、ブロックチェーンの公共性により、恐喝者は被害者が支払ったかどうかを簡単に確認できるため、従来の取引で発生する問題の一部が解消されます。
ビットコインアドレスの分析
ビットコインは匿名ですが、恐喝メール内のビットコイン アドレスを分析することで、攻撃者とその行動に関する非常に興味深い情報を得ることができます。 たとえば、ユーザーから受信した複数の電子メールで同じビットコイン アドレスが使用されている場合、それが同じ攻撃者または攻撃者のグループに属していることを示します。
研究者らは調査したデータセットを分析したところ、攻撃が少数のビットコインアドレスに集中していることを発見した。 合計で約 3.000 の一意のビットコイン アドレスがあり、そのうち上位 10 アドレスが電子メールの約 30 パーセントに出現し、上位 100 アドレスが電子メールの約 80 パーセントに出現しました。 これは、少数の攻撃者が恐喝メールの大部分に関与していることを示唆しています。 したがって、これらの攻撃者を阻止するか、その手法を効果的にブロックできれば、この電子メールの脅威の大部分を無力化することができます。
ビットコインアドレスとメール送信者のクロス分析
特定の攻撃者に電子メールを割り当てるためのもう XNUMX つの重要な情報は、電子メール フィールドです。 たとえば、すべての電子メールの「送信者」フィールドは、攻撃者の代理であると見なすことができます。 複数の電子メールが同じ送信者から送信された場合、それらは同じ攻撃者に属します。 この調査では、電子メールを「送信者」フィールドごとにグループ化し、各送信者が送信した電子メールの数と、各送信者が使用した一意のビットコイン アドレスの数をカウントしました。
これは、すべての送信者の大多数が攻撃で同じビットコイン アドレスを使用したことを示しています。 これは、大量の電子メールを送信する攻撃者と、少量しか送信しない脅迫者の両方に当てはまります。 さらに、データ セット全体の 120.000 人の一意の送信者のうち、3.000 件を超える電子メールを送信した送信者は 500 人未満でした。 XNUMX 通を超える電子メールを送信した送信者は XNUMX 人だけでした。
これは、攻撃者が自分の身元を隠すのがやや緩く、ほとんどの場合、詐欺に同じビットコイン アドレスを使用していることを示しています。 これにより、この少数のビットコイン アドレス (および攻撃者) が法執行機関によって追跡される可能性が生じます。
脅迫者はいくらのお金を要求しますか?
攻撃者の行動をより深く理解するために、研究者らはまた、攻撃者が要求した金額と、調べたデータセット内でその金額がどの程度一貫しているかについても調査しました。 ビットコインアドレスを抽出できた200.000万件の電子メールのうち、97%が米ドル、2,4%がユーロ、残りの0,6%が英国ポンド、カナダドル、ビットコインなどを要求していた。米ドル以外の金額については、研究者らは比較のためにそれを電子メールが送信された日の同等の米ドル価値に換算した。 結果は次のとおりでした。
- ほぼすべての攻撃者は 400 ドルから 5.000 ドルの金額を要求します
- メールの 25% は 1.000 ドル未満の金額を要求しています
- 恐喝メールの 90% 以上が 2.000 ドル未満の金額を要求しています
- 攻撃者は通常、500 ドルから 2.000 ドルの金額を要求します
これは、攻撃者が要求する金額が「スイートスポット」領域により集中していることを示唆しています。 これは、攻撃者にとって重要であるには十分な高さですが、被害者が支払いを行わなかったり、攻撃者が実際に危険にさらす情報を持っているかどうかを調査できなかったりするほど高くはありません (通常はそうではありません)。 さらに、この金額は被害者の銀行や税務当局に警告を発するものではありません。
恐喝攻撃から身を守る方法
法執行機関がたとえ少数の攻撃者でも追跡できれば、犯罪行為が大幅に中断される可能性があります。 さらに、恐喝者が互いに戦術を採用するため、電子メール セキュリティ プロバイダーは、単純な検出ツールを使用してこれらの攻撃の大部分をブロックできる必要があります。 企業がこの種の攻撃から身を守るために使用できる XNUMX つのベスト プラクティスを次に示します。
- AI ベースの保護: 攻撃者は電子メール ゲートウェイやスパム フィルターをバイパスするように恐喝攻撃を適応させるため、恐喝から保護する優れたスピア フィッシング ソリューションが必須です。
- アカウント乗っ取り保護: 恐喝攻撃の多くは、侵害されたアカウントから発生します。 したがって、詐欺師がこのような攻撃の拠点として会社を利用しないようにすることが重要です。 ここで、人工知能を使用してアカウントが侵害されたことを検出するテクノロジーが役立ちます。
- 積極的な調査: 恐喝詐欺の恥ずかしい性質を考えると、従業員は通常よりもこうした攻撃を報告したがらない可能性があります。 したがって、企業は配信されたメッセージを定期的にスキャンして、パスワード変更、セキュリティ警告、その他のコンテンツに関連する電子メールを特定する必要があります。
- セキュリティ意識向上トレーニング: 企業はまた、恐喝攻撃についてユーザーを教育し、このトピックをセキュリティ意識向上トレーニング プログラムの一部にする必要があります。 従業員がこれらの攻撃を認識し、その不正行為の性質を理解し、安心して報告できるようにする必要があります。 フィッシング シミュレーションを使用すると、トレーニングの有効性をテストし、恐喝攻撃に対して最も脆弱なユーザーを特定することにも役立ちます。
電子メールによる恐喝は重大な脅威であり、攻撃者は毎年数百万件の悪意のあるメッセージを被害者に送信していますが、少数の加害者によって実行されており、これらのグループは同様の戦術を使用しているようです。 このため、私たちはこの特定の電子メールの脅威との闘いに楽観的に取り組んでいます。
博士よりKlaus Gheri 氏、Barracuda Networks 副社長兼ネットワーク セキュリティ ジェネラル マネージャー
バラクーダネットワークスについて バラクーダは、世界をより安全な場所にするために努力しており、すべての企業が、購入、展開、使用が簡単なクラウド対応の企業規模のセキュリティ ソリューションにアクセスできる必要があると考えています。 バラクーダは、カスタマー ジャーニーに沿って成長し適応する革新的なソリューションで、電子メール、ネットワーク、データ、およびアプリケーションを保護します。 世界中の 150.000 を超える企業がバラクーダを信頼しており、ビジネスの成長に集中することができます。 詳細については、www.barracuda.com をご覧ください。
トピックに関連する記事