給与振替詐欺：あなたの給料を守る方法

主な手口

• • 詐欺師は HR または給与部門になりすましたもっともらしいメールを送信し、システムの問題、銀行の変更、または給与処理プロバイダーの移行の理由で、即座の直接振込更新をリクエストします。
• • 攻撃者はフィッシングキャンペーンを使用して給与ポータルのログイン認証情報を盗み、その後営業時間外に直接ログインして検出されないまま銀行詳細を変更します。
• • 詐欺師はビジネスメール侵害（BEC）攻撃を実施し、実際の企業メールアカウントを侵害して、適切なブランド化とトーンで真正性のある給与変更リクエストを送信します。
• • 詐欺師は電話で IT サポート担当者または給与スタッフになりすまし、セキュリティアップデートまたはアカウント確認手続きを口実に、迅速な対応を促します。
• • 攻撃者は正当なプラットフォームを模倣した偽の給与処理プロバイダーのウェブサイトを作成し、従業員にログインして情報を『確認』するようリダイレクトして、システムアクセスの認証情報を取得します。
• • 詐欺師はデータ漏洩を利用して従業員リストと銀行情報を取得し、複数の従業員にわたる大量の給与変更を同時に調整して検出システムを圧倒します。

見分け方

• 直接振込情報をリクエストする、または緊急時の理由で銀行詳細を即座に更新するよう要求する予期しないメールまたは電話を受け取ります。
• 通信は異常な緊迫感を生み出し、または期限（同日処理、システムシャットダウン、セキュリティアラート）を主張して、検証なしに行動するよう促します。
• 期待した日付に給料が入金されず、銀行変更または遅延について雇用主からの事前通知も受け取りません。
• HR または給与の通信に軽微なテキスト品質の問題（文法エラー、わずかに異なるメールアドレス）、または通常と異なるフォーマットが含まれています。
• 従業員ポータルまたは銀行アプリで直接振込情報が変更されているのに気付きましたが、修正をリクエストしたことはありません。
• 同僚複数人が短期間内に給料の不足または予期しない振込先の変更について言及しており、孤立したエラーではなく調整された攻撃を示唆しています。

身を守る方法

• 不要な給与関連メール内のリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。代わりに、ブックマークされた URL を使用して会社の公式給与ポータルに直接アクセスするか、検証済みの電話番号を使用して HR に問い合わせてください。
• すべての給与システム、銀行ポータル、メールアカウントで多要素認証（MFA）を有効にして、パスワードを超えた追加の検証がアカウントアクセスに必要とします。
• 直接振込変更または送金の銀行アラートを設定します。ほとんどの銀行は、アカウント情報が変更されたときの通知を許可し、侵害の早期警告を提供します。
• 直接振込変更リクエストを、従業員ハンドブックの確立された電話番号を使用して HR 部門に直接検証してください。変更をリクエストするメールからの連絡先情報は使用しないでください。
• 定期的に（2 週間ごと）銀行口座を監視し、不一致を検出した場合は 24 時間以内に銀行と雇用主に不正な変更を報告してください。
• 給与セキュリティプロトコルについて雇用主に質問してください。ベンダー検証手続きの使用、給与変更承認ワークフローの実装、修正のための従業員身分確認が必要かどうかを含めます。

実例

よくある質問

通報窓口 — 日本

お住まいの地域でこの詐欺を通報できる公式窓口。