フィッシング詐欺: 見つけて回避する方法

公開: 2022-09-20
利用可能な適切ななりすまし保護プランを入手してください

フィッシングは、インターネットの黎明期から存在する、最も古いサイバー犯罪の脅威の 1 つです。

しかし、フィッシング詐欺は、あらゆる組織が直面している最大のサイバーセキュリティの脅威の 1 つであり、ソフトウェアやハードウェアではなくを標的にしているという点で独特です。

つまり、最も高価なサイバーセキュリティ インフラストラクチャに投資したとしても、脆弱な従業員の 1人がフィッシング スキームによって危険にさらされると、組織が危険にさらされる可能性があります。 これが、フィッシングが非常に危険な主な理由の 1 つです。

残念なことに、近年、フィッシングの危険性は質と量の両方で増加しています。 Anti-Phishing Working Group (APWG) のフィッシング活動傾向レポートによると、2022 年 3 月までに 1,025,968 件のフィッシング攻撃が発生し、2021 年第 4 四半期から 15% 増加すると予測されています。近年。

この記事では、フィッシングとは何か、フィッシングを特定する方法、組織が従業員や顧客をフィッシング攻撃からより効果的に保護する方法について一緒に学びます。

このガイドを終了すると、次のことを学習できます。

  • フィッシング詐欺とは?
  • 2022 年のさまざまなタイプのフィッシング
  • フィッシングの試みを認識する方法
  • ビジネスをフィッシングから保護する方法
  • 成功したフィッシング攻撃と失敗したフィッシング攻撃の両方を報告し、被害を軽減する方法

すぐにこのガイドを始めましょう。

フィッシング詐欺とは?

フィッシングはサイバー犯罪の一種で、加害者は有名人や正当な機関になりすまして標的の被害者に連絡し、この被害者をおびき寄せて、個人を特定できる情報 (PII) などの機密情報、機密情報、および/または貴重な情報を提供させます。 、銀行の詳細、クレジット カード情報、アカウントの資格情報など。

「フィッシング」という名前はフィッシングに似ており、サイバー犯罪が被害者から資格情報、パスワード、およびその他の機密情報を「釣り上げる」方法を指しています。

フィッシングという言葉は、1996 年頃、当時人気のあった AOL (America Online) アカウントを盗むハッカーによって最初に使用されました。 1990 年代後半のハッカーは、「f」の代わりに「ph」という文字を使用する傾向がありました (つまり、「phreaks」)。そのため、「フィッシング」という名前が付けられました。

従来、フィッシングは電子メールで行われていましたが、現在では、電話、テキスト メッセージ、ソーシャル メディアのコメント、ソーシャル メディアの DM、ブログのコメントなど、さまざまな通信媒体でフィッシングが発生する可能性があります。

サイバー犯罪者はなぜフィッシングを行うのでしょうか?

簡単な答えは、盗まれた情報を収益化することです。

他のほとんどの犯罪活動 (サイバー犯罪を含む) と同様に、フィッシング攻撃の大半は金銭的な動機が背後にあります。

ただし、個人的な復讐や政治的理由 (ブラック キャンペーンなど) のように、動機が経済的でない場合もありますが、比較的まれです。

では、サイバー犯罪者はどのようにしてフィッシングからお金を稼ぐことができるのでしょうか? 彼らの収益化手法を理解すると、フィッシングの試みを認識するのに役立つ場合があります。いくつかの例を次に示します。

  • クレジット カード情報を盗み、クレジット カード情報を使用してインターネットで商品を購入する。
  • 恐喝。たとえば、サイバー犯罪者が機密情報の抽出に成功した場合、被害者に金銭を支払うよう強要します。さもなければ、情報を公開します。
  • 機密情報や個人情報を他の関係者 (競合他社、他のハッカーなど) に販売する。 ダークウェブでの一般的な慣行。
  • あなたの情報を使用して別の詐欺/サイバー犯罪活動を開始する。たとえば、あなたのアカウントを使用して友人に連絡して詐欺を行う。

フィッシング攻撃の構造

フィッシングはソーシャル エンジニアリングの一形態であり、人間のやり取りを通じて行われる幅広い犯罪活動を指す包括的な用語です。

フィッシングは心理的な操作に依存しており、被害者をだまして機密情報を漏らさせたり、セキュリティ上の過ちを犯させたりします。

サイバー犯罪者はフィッシング攻撃でさまざまな手法やスキームを使用できますが、通常は次のパターンに従います。

  1. 加害者はまず、潜在的なセキュリティの脆弱性やその他の弱点などの必要な情報を収集するために、標的の被害者やその環境を調査します。
  2. 加害者は、被害者の信頼を得ようとして接触を開始します。
  3. 加害者は次のいずれかです。
    1. 被害者の切迫感を誘発する価値のあるものを提供します。
    2. 通常、架空の脅威 (「あなたのアカウントはまもなく削除されます。あなたの身元を確認する必要があります」) を使用して、ターゲットの被害者に恐怖を植え付けます。
  4. 被害者はだまされて、個人情報や資格情報を漏らしてしまいます。

例えば:

  1. 加害者は、Gmail ユーザーを標的の被害者としてターゲットにし、Gmail プラットフォームとそのポリシーを調査しました。
  2. 加害者は、Google の公式アドレスに似たメール アドレス (たとえば、「Google.biz」ドメイン名) を使用して、Gmail ユーザーにメールを送信しました。
  3. この電子メールは、すぐに対処する必要があるポリシー違反 (パスワードの変更、秘密の質問の変更など) をユーザーに警告し、Gmail のログイン ページとほぼ同じ偽の Web サイトへのリンクが含まれています。
  4. 被害者が偽のログイン ページに現在の資格情報を入力すると、その資格情報が事実上攻撃者に送信されます。

これは、サイバー犯罪者が日常的に実行する非常に多くのさまざまなフィッシング手法やスキームの一例にすぎません。 ただし、フィッシング攻撃は、以下で説明するいくつかの主要なタイプに分類できます。

AI を活用したテクノロジーでなりすまし防止を自動化

さまざまなタイプのフィッシング攻撃

1. フィッシングメール

最も基本的なタイプのフィッシング スキームは、その名前が示すように、加害者が既知のブランドや人物になりすまして電子メールを送信するものです。

電子メールには、悪意のある Web サイトへのリンク、または受信者のデバイスに感染するマルウェアを含む添付ファイルが含まれます。

識別方法:

サイバー犯罪者がメール フィッシングを仕掛ける手口はますます巧妙になっていますが、一般的に次の兆候を探すことができます。

  • 送信者の電子メール アドレスのドメイン名を確認し、正当であることを確認します。
  • メールに連絡先情報が含まれている場合は、この連絡先情報と、メールの送信者であると主張している会社の Web サイトにある連絡先情報を照合してください。
  • 短縮リンクをクリックしないでください。 これは、Secure Email Gateway をだますために使用される一般的な手法です。
  • 正当に見えるロゴを再確認し、ソース コードを表示します。 悪意のある HTML 属性を含む傾向があります。
  • メールのテキストがほとんどなく、本文に画像や写真しかない場合は、かなり疑ってください。 画像には悪意のあるコードが隠されている可能性があります。

2.スピアフィッシング

通常、スピア フィッシングも主要な通信媒体として電子メールを使用するため、電子メール フィッシングの一種と見なすことができます。

主な違いは、スピア フィッシングのより標的を絞ったアプローチにあり、通常は 1 人の被害者 (または少数の被害者グループ) を対象としています。

加害者は、まず対象となる被害者について徹底的な調査を行い、たとえばソーシャル メディアや会社の Web サイトなどから被害者に関する情報を収集します。次に、収集した情報 (実名など) を利用して、この被害者をパーソナライズされたスキームで標的にします (被害者の上司や人材育成マネージャーの電話番号などを調べて、被害者の信頼を得る。

最終的に、被害者は、使用した有効な情報によって詐欺師の身元を信じるため、加害者の罠に陥ります。

識別方法:

スピア フィッシング攻撃を特定することは、加害者によって行われた調査の量と、彼らが使用した一見有効な情報のために、より困難になる可能性があります。 ただし、次を探します。

  • 上司や会社の重要な人物からのものであると主張する電子メールで、パスワードで保護されたファイルやドキュメントが含まれており、ユーザー名とパスワードを入力する必要があります。 これは、資格情報を盗むための一般的なスキームです。
  • 一般に、疑わしい送信者の職務を考慮して、通常とは異なる要求に注意してください。
  • もう 1 つの一般的なスキームは、Google ドライブ、Dropbox、またはその他のクラウドベースのストレージ サービスに保存されているドキュメントへのリンクを設定することです。 これらのリンクは、多くの場合、悪意のある Web サイトにリダイレクトします。

3.捕鯨

スピア フィッシング戦術の別のバリエーションであるホエーリング、またはしばしば「CEO 詐欺」とも呼ばれる攻撃者は、オープン ソース インテリジェンス (OSINT) 技術を使用して、組織の CEO またはトップレベルの管理メンバーの名前を見つけ、偽のパスワードを使用してその人物になりすます。電子メールアドレス。

次に、攻撃者は会社の従業員を標的にして、受取人にアカウントの資格情報、銀行情報、さらには送金を要求します。

識別方法:

  • 送信者のメール アドレスを再確認し、会社の公式メール アドレスから送信されていることを確認します。 よくあるトリックは、電子メールが個人のアドレスから送信されていると主張することです (つまり、現在仕事用の電子メールにアクセスできないなど)。
  • ためらわずに、社内の他の人に確認したり、通話からと主張している電子メールをその人に伝えたりしてください。
  • これまでに連絡をとったことのない社内の人物からの電子メールであると主張している場合は、特に注意してください。

4. HTTPS フィッシング

私たちの多くは、HTTPS Web サイトがエンド ツー エンドで暗号化されているため、個人情報や資格情報を送信する際に安全であることを訓練されています。

しかし、多くの詐欺師は、フィッシング メールにリンクされている偽の Web サイトで HTTPS プロトコルを使用して、この知識をフィッシングの試みに利用しています。

識別方法:

  • リンクがハイパーテキストを使用して実際の URL を隠しているかどうかを確認する
  • リンクが短縮されていないかどうか、URL のすべての部分が表示されているかどうかを再確認します

5. ビッシング

「Voice Phishing」の略で、その名の通り、電話を介して行われるフィッシング攻撃です。

通常、加害者は、ストレスの多い季節、期間、またはイベントに合わせて忙しい時間帯に電話をかけ、確立された会社から来たと主張し、切迫感を高めます。

アイデアは、通話がパニックの感覚を引き起こし、受信者を混乱させてセキュリティ上のミスを犯させ、機密情報を漏洩させることです.

識別方法:

  • 通話が発信者のタイプに対して異常なアクションを要求する場合、特に機密情報や個人情報を要求する場合は、十分に疑ってください。
  • 通常とは異なる場所から発信されている場合やブロックされている場合は、発信者番号を再確認してください。
  • 不明な番号からの着信の身元を確認できるモバイル アプリケーションを使用します。 iOS と Android の両方のデバイス用に、そのようなアプリがたくさんあります。
  • ストレスの多いタイミングや状況では、知らない番号からの電話を受けることは避けたほうがよいでしょう。

6. スミッシング

「SMS Phishing」の略で、テキスト メッセージ (SMS) を介したフィッシングの試みです。

通常、加害者は確立された組織や企業からのものであると主張するテキスト メッセージを送信します。テキスト メッセージには、マルウェアを含むリンクや悪意のある Web サイトにリダイレクトするリンクが含まれます。

多くの人は、テキスト メッセージをより個人的で「害のない」ものと見なす傾向があるため、スミッシングによって被害者が不意を突かれる可能性があります。

識別方法:

  • リンクをクリックする前に、テキスト メッセージの送信元であると主張している会社の Web サイトを直接確認し、テキスト メッセージによって要求されたアクションに関連する通知がないかどうかを確認してください。
  • 会社の正規の Web サイトに記載されている番号に連絡して、テキスト メッセージの正当性を確認してください。
  • リンクをクリックしたり、提案されたアクションを実行したりする前に、送信者の市外局番と番号を確認し、連絡先リストと比較してください。

7. アングラーフィッシング

アングラー フィッシングは、ソーシャル メディア ユーザーを標的とするフィッシングの一種であり、主に、既知の企業や個人になりすました偽のソーシャル メディア アカウントを使用する加害者が関与します。

アングラー フィッシングは、ソーシャル メディア上での企業と顧客とのやり取りがより頻繁になり、期待されるようになっているという事実を特に利用しています。 加害者は、通知と DM を介してターゲットの被害者と関わり、セキュリティ上のミスを犯すように仕向けます。

識別方法:

  • アカウントの青いチェックマーク (検証済みアカウント) を再確認します。
  • 悪意のある Web サイトにリダイレクトする可能性のあるリンクを含む通知には注意してください。
  • リンクが正当に見える場合でも、ほとんどリンクを共有しない人 (またはあなたにメッセージを送ったことがない人/アカウント) からの DM のリンクをクリックしないでください。
  • めったにメッセージを送らない知り合いからの DM がある場合は、アカウントがなりすましであるか、新しく作成された可能性があるため、アカウントを再確認してください。

8.ファーミング

ファーミングはフィッシングのかなり高度な形態であり、その名前は「フィッシング」と「ファーミング」の造語です。

一般的なファーミング手法では、加害者が DNS をハイジャックして、特定の Web サイトにアクセスしようとするユーザーを代わりに偽の Web サイトにリダイレクトします。

巧妙なファーミングの試みは、検出が非常に困難な場合があります。

識別方法:

  • HTTPS ではなく HTTP を使用している場合は、Web サイトの URL を再確認してください。
  • タイプミス、色の不一致、不適切なデザイン、薄いコンテンツなど、偽の Web サイトを示す可能性のある矛盾を探します。

ビジネスをフィッシングから保護する方法

上記では、主要なタイプのフィッシング手法を認識する方法と、それらから身を守るための基本的な手順を学びました.

このセクションでは、さまざまなフィッシング攻撃から自分自身とビジネスを保護するために従うべきいくつかの重要なベスト プラクティスについても説明します。

1. 従業員を教育する

フィッシングは基本的にソーシャル エンジニアリングであるため、従業員がフィッシングの試みを認識し、資格情報や機密情報を保護するために必要な教育とトレーニングを受けていることを確認する必要があります。

フィッシング認識トレーニングを従業員の新人研修プログラムの一部にし、定期的にトレーニングを更新して、新しい方法論と傾向を取り入れます。

2.多要素認証を要求する

多要素認証を要求することで、従業員がだまされて資格情報を漏らした場合にフィッシングが成功するリスクを軽減できます。

多要素認証を使用すると、従業員がネットワークやアプリケーションにログインする前に、パスワード以外に別の情報を提供する必要があります。

二次的な (またはそれ以上の) 情報は次のとおりです。

  • 顔認証や指紋などの生体認証
  • ユーザーが知っていること:別のパスワード、PIN、セキュリティの質問への回答など。
  • 持っているもの:ペアリングするデバイス、キーカード、USB ドングルなど。

3. 定期的なバックアップ

フィッシング攻撃が成功すると、ランサムウェアなどのマルウェアに感染する可能性があり、特定のファイルやアプリへのアクセスが失われたり、完全なシステム障害が発生したりする可能性があります。

このリスクを軽減するには、データを定期的にバックアップしてください。

3-2-1 バックアップの原則に従うことをお勧めします。データの 3 つのコピーを 2 つの異なるメディアに置き、そのうちの 1 つをオフサイトに保管します。

フィッシング攻撃でブランドのなりすましを阻止する

フィッシングに関連するもう 1 つの懸念は、ドメインまたはブランド名がサイバー犯罪者によってフィッシング スキームの一部として使用される場合です。

技術的にはあなたのせいではありませんが、フィッシング攻撃の被害者は、詐欺師がなりすましているブランドを非難し、ブランドの評判に悪影響を与える可能性があります.

サイバー犯罪者によるブランドのなりすましを 100% 防止することは、不可能ではないにしても非常に困難な場合がありますが、リスクを軽減するためにビジネスで実行できる手順があります。

  • Web サイトで SSL 証明書 (HTTPS) を使用します。 このように、詐欺師があなたの Web サイトになりすました場合、偽の SSL 証明書に加えて正規の SSL 証明書を取得する必要があります。 これは彼らを落胆させるかもしれません。
  • DKIM や DMARC などのプロトコルを使用して、ビジネスが送受信するメールに検証を追加します。 これにより、外部の第三者がドメイン名を使用して偽のメールを送信するのを防ぐことができ、メール フィッシングを効果的に防ぐことができます。
  • ドメイン名のバリエーション (異なる TLD、潜在的なスペルミスなど) を登録して、これらのバリエーションがフィッシングの試みに使用されるのを防ぎます。
  • Red Points ドメイン管理を使用して、ビジネスのドメイン名をリアルタイムで保護します。 Red Points は、自動操縦のさまざまなプラットフォームでドメイン名を使用したフィッシングの試みを効果的に検出でき、手動による介入は必要ありません。 Red Points は、偽のなりすまし Web サイトが評判に悪影響を与える前に、それらを削除するのにも役立ちます。

次は何ですか

詐欺師やサイバー犯罪者が実行するフィッシング攻撃にはさまざまな種類がありますが、すべてのフィッシング攻撃には次のような共通の特徴があります。

  • 切迫感の醸成:加害者は、架空の差し迫った脅威で脅したり、期間限定のオファーで誘ったりして、迅速に行動するように促すことがよくあります。 一部のフィッシング スキームでは、応答するのに数分しかかからないと通知することさえあります。
  • あまりにもうますぎる:フィッシングは、多くの場合、注目を集め、魅力的なオファーや主張を伴います。 たとえば、iPhone を獲得したと主張し、リンクをクリックするように求めます。
  • 珍しい送信者: Web サイトの URL と送信者のメール アドレスに特に注意してください。 見知らぬ人からメールが届いた場合や、通常とは異なるものが表示された場合は、何もクリックしないでください。
  • 疑わしいリンク: 100% 確実でない限り、リンクをクリックしないでください。 リンクにカーソルを合わせると、実際の URL を確認し、その URL が正当かどうかを注意深く確認できます。
  • 危険な添付ファイル: 100% 確信が持てない電子メールの添付ファイルは決してクリックしないでください。 添付ファイルには、マルウェア、ランサムウェア、またはその他のウイルスが含まれている可能性があります。

フィッシング攻撃を回避する唯一の方法はありませんが、上記のヒントを組み合わせて攻撃を防ぎ、被害を軽減することができます。

また、強力なサイバーセキュリティ インフラストラクチャとベスト プラクティスを確立することに加えて、フィッシングを防止するためのもう 1 つの重要な要素が教育であることを覚えておくことも重要です。 フィッシングやその他のソーシャル エンジニアリング スキームに関して言えば、あなたの組織の安全性は、組織内で最も知識の乏しい人物と同じくらいです。