上司からの突然の送金指示、もしかしたらネット詐欺? - トレンドマイクロ

サイバー犯罪者は、さまざまな方法で標的となる企業の従業員のメールアドレスを入手している。例えば、ソーシャルメディアや企業のWebサイト上の従業員情報から入手している。そのほか、アドレスのドメインがわかっていれば、あとは「info＠～」「admin＠～」「sales＠～」と付けることで推測するケースもある。

ブログでは、BECによる被害の事例を紹介している。2014年にとあるサイバー犯罪者が、市販の検索ツール「Email Spider」を用いて企業のWebサイト上にあるアドレスを収集した。その後、特定のキーワードを利用して攻撃対象となり得るアドレスを検索し、ソーシャルエンジニアリングの手法を駆使して、ビジネス取引を装ったメールに重要書類を添付して送信した。

添付ファイルはキー入力操作情報を収集する不正プログラム(キーロガー)を含んでいる。受信者が添付ファイルを開けば、キーロガーがシステム内に侵入し、システム情報やキー入力操作情報、パスワードやユーザ名といったブラウザに保存された情報を盗める。
また、サイバー犯罪者が時間をかけて標的となる人物に近付き、キーロガーに感染させるケースもある。