これらの6つの人気のあるフィッシング攻撃から離れてください

詐欺は非常に長く存在します。デジタルコミュニケーションの初期の頃からのデジタル詐欺.


メールが発明されて間もなく、メール詐欺が登場しました。当時、私たちはすべて電子メールを信頼していたため、電子メールが詐欺の媒介になるとは誰も信じていませんでした。そして、それは非常に効果的なものであることが判明しました。 2004年の時点で、電子バンキングクライアントに対するフィッシング攻撃は急激に増加しています。 Eバンキングの顧客は、非常にリアルでプロフェッショナルな外観の偽のWebサイトへのリンクを含むメールを受け取りました。犠牲者は罠に陥り、すべてのアカウント番号とパスワードを入力し、銀の大皿で攻撃者に手渡しました。この種の攻撃によって引き起こされた損失は合計されました 2004年5月から2005年5月までの間に9億2,900万ドル.

最初の大規模な電子メールフィッシングキャンペーンの後、電子メールシステムは不要なメッセージや悪意のあるメッセージに対するインテリジェントフィルターを追加し始め、基本的な電子メールフィッシング戦術の成功は減少しました。しかし、それは消えませんでした。実際、メッセージングフィッシング、ボイスフィッシングなど、他の形式のフィッシングとともに、より高度な戦術が出現しました。これらはすべて、サイバーセキュリティチェーンの最も弱いリンクであるエンドユーザーを利用しています。したがって、すべてのフィッシング対策の取り組みは、フィッシング詐欺師が採用する戦術をユーザーに知らせることから始める必要があります。それらを確認してみましょう.

メールフィッシング以降

疑わしい添付ファイルまたはリンクを含む電子メールメッセージはセキュリティフィルターによって簡単に検出されるため、フィッシャーは新しい種類の電子メール攻撃を設計する必要がありました。彼らは、悪意のあるコンテンツがまったくない、リンクも添付ファイルもない、職場の知り合いからの単純なメッセージに基づく、ビジネス電子メール侵害(BEC)攻撃を思いつきました。.

この種の標的型攻撃を実行するために、加害者は、流動的な対話を維持するために、被害者とそのなりすましに関する情報を必要とします。最初のメッセージの後で、攻撃者は機密情報を要求するか、被害者に悪意のあるコンテンツを含むファイルまたはドキュメントを送信します.

ウェブサイトのなりすまし

一般に、なりすましはあらゆる種類のフィッシング攻撃に関与しています。これは、誰かまたは何かになりすましている人物または何かが常に存在するためです。特に、Webサイトのなりすましとは、Webページを正規のものに見せることです。なりすましのWebサイトは、実際のサイトのログインページに似ています。全体的なルックアンドフィールを模倣しているだけでなく、同様のドメイン名を使用しています(以下で説明します)。.

通常、これらの偽装サイトは、被害者を誘導するために、他のタイプのフィッシング(電子メール、メッセージング、SMSなど)を必要とします。被害者がなりすましサイトにログインしようとすると、その機密データが攻撃者の手に渡ります.

Webサイトのなりすましに関連する一種の攻撃は、ホモグラフ攻撃です。この種の攻撃は、URLでの非ASCII文字の使用を許可する新しいインターネット標準を利用しています。異なる言語には異なる(非常に類似している)文字が含まれているため、攻撃者はこれらの文字を使用して、既存のWebアドレスによく似たドメイン名を登録できます。そして、これらのドメイン名は偽のウェブサイトにリンクされています.

たとえば、ホモグラフ攻撃に使用される基本的な文字置換は、「o」の文字を「0」(ゼロ)に置き換えることで構成されます。より複雑な手法では、ラテン語とキリル文字の「a」、「c」、「p」の文字のように、同じように見える別のエンコード文字を使用します。もう少し洗練されたトリックは、ASCIIスラッシュ(「/」)と数学除算演算子(「∕」)の類似点を利用しています。このトリックを使用すると、誰でもこれらのアドレスは同じであると考えることができます:

somewebsite.com∕folder.com/

somewebsite.com/folder.com/

この場合、なりすましのドメイン名はsomewebsite.com∕folder.comで、実際のドメイン名はsomewebsite.comです。.

優れたフィルター

電子メールフィルターで、メッセージがMicrosoftなどの非常に有名な会社から送信されたと思われる場合(たとえば)、送信元アドレスがMicrosoftとは異なる場合、そのメッセージは悪意のあるものとしてマークされます。ただし、「Microsoft」という単語がメッセージのどの部分にも表示されていない場合、フィルターはそれを通過させます.

攻撃者は、企業名の中に隠しテキストを挿入することにより、メールフィルターをだますことができます。メールフィルターはそうではありませんが、人間の読者はそれが会社からのものであると考えます。もう1つの同様のトリックは、メッセージが信頼できるソースから送信されたものだと誤解され、人間には読めないが電子メールスキャナーには読めない、白い背景の上に白いテキストでメッセージを詰め込むことです。.

個人情報の盗難とソーシャルメディアフィッシング

何百万ものソーシャルメディアユーザーがパブリックプロファイルを持ち、写真、個人情報、連絡先のリストを公開しています。これがあなたのケースである場合、攻撃者があなたの写真やデータの一部を盗み、偽のプロファイルを作成し、あなたの友達とチャットを開始し、あなたになりすましてあなたの名前に何かを要求することは簡単です.

電話番号と名前の組み合わせも、特にWhatsApp詐欺(以下で詳しく説明)の場合、フィッシングの媒介となります。あなたの名前と電話番号を知っている人は、WhatsApp経由であなたに連絡して説得力のあるメッセージを送り、たとえば「必見」のYouTubeビデオに偽装した悪意のあるWebサイトに入るなど、何かをだましてしまう可能性があります。

WhatsAppのリスク

アプリ自体と同じくらい人気のあるWhatsApp詐欺はたくさんあります。しかし、それでも、多くのWhatsAppユーザーは詐欺に気づいておらず、騙されています。 WhatsAppゴールドは、特別な機能を備えた「ゴールド」バージョンのアプリにアップグレードすることをユーザーに提供する人気の詐欺です。明らかに、そのようなバージョンはありません。フィッシング詐欺師の指示に従えば、マルウェアに感染したデバイスになります。.

もう1つの人気の詐欺は、アカウントをアクティブに保つために支払う要求です。このトリックはアプリ自体とほとんど同じですが、ユーザーがまだ気付かない可能性があります。 WhatsAppアカウントをアクティブにしておく必要がないため、メッセージングアプリの動作を維持するために料金を支払う必要がないことに常に留意してください。.

スピアフィッシングと捕鯨

特定の人々、組織、または企業を狙ったフィッシング攻撃が非常に標的となっている場合、それはスピアフィッシングと呼ばれます。これは通常、侵害されたアカウントを使用して、電子メールメッセージまたはプライベート通信システムを介して行われます。 FBIは、行方不明および搾取された子供のための国立センターからの電子メールが関与するスピアフィッシング詐欺について警告した.

https://biztechmagazine.com/

これらの攻撃は、ハッカーや政府が後援するコンピューター活動家によって仕掛けられることがよくあります。サイバー犯罪者は、メッセージとWebサイトを効果的にパーソナライズするために、個別に設計されたアプローチとソーシャルエンジニアリング技術を採用しています。その結果、被害者は安全だと考えるメッセージを開くことになります。このようにして、サイバー犯罪者は被害者のネットワークを攻撃するために必要なデータを盗みます.

捕鯨は、ハイレベルの幹部、つまり「大きな魚」を狙った特殊なタイプのスピアフィッシングです。これらの攻撃は、企業の財務や重要な情報の管理を担当するCEO、CFO、およびその他の幹部を対象としています。このような狭いターゲットの場合、餌のメッセージは、信頼性と信頼性のある外観を持つようにスマートに設計する必要があります。通常、攻撃者は被害者のプライベートではないソーシャルメディアアカウントから収集した情報を使用します.

対策

チェーンを強化する必要がある場合は、最初に最も弱いリンクを探して強化する必要があります。したがって、サイバーセキュリティチェーンでは、まず最初に、リスクとその軽減についての認識と知識でユーザーを強化する必要があります。ここでは、誰もが実践すべきいくつかのヒントを紹介します。

#すべてのコミュニケーションに注意する

リンクや添付ファイルは、メール、WhatsAppメッセージ、メッセージングサービス、SMS、または物理デバイス(Pendriveなど)を介して届くものであっても、潜在的に危険です。送信者を確実に知っているかどうかは関係なく、信頼できます。それを開くかクリックする前に、以下で説明するように、別の媒体で再確認してください。.

最も一般的なフィッシングメッセージは、銀行、金融サービス会社、またはサブスクリプションベースのサービスなどの既知のソースからのものであり、資格情報またはサブスクリプションを更新するように指示します。あなたが最初に自問すべきことは、私はこの会社の顧客ですか?そうでない場合は、メッセージを却下するか、それよりも良い場合は、法執行機関に転送します.

また、未知のソースからの疑わしいメッセージには答えないでください。たとえば、「あなたは誰ですか」と尋ねたくなることがあります。 WhatsAppを介して不明な番号から興味深いメッセージを受け取ったとき。その質問をするだけで、あなたはあなたの番号がアクティブで誰かがそれを使用していることをフィッシング詐欺師に伝えています.

#別の媒体で再確認

フィッシャーはすべてのコミュニケーションメディアを制御することはできません。これは、不審なメッセージを再確認するために異なるメディアを使用して、彼らに対して使用できる弱点です。たとえば、リンクをクリックするように依頼するメールを同僚から受け取った場合は、電話で彼に電話し、そのリンクとは何か、なぜクリックする必要があるのか​​を尋ねます。.

#フィッシング詐欺を当局に報告する

受信したメッセージがフィッシングの試みに対応していることを確認したら、ftc.gov / complaintのFTCに報告する必要があります。メールの場合は、転送できます [メール保護] そして [メール保護] 詐欺に遭い、個人データが侵害されていると思われる場合は、IdentityTheft.govにアクセスしてください。盗んだ情報に応じた詳しい説明があります.

最後になりましたが、自分を守る

フィッシング攻撃から身を守るには、デジタルの世界で他の脅威から身を守るのと同じ予防策を講じる必要があります。デバイスを最新の状態に保ち、できれば自動更新します。実績のあるウイルス対策およびセキュリティユーティリティの最新バージョンを使用する。電子メールフィルターを適切に構成します。データをバックアップします。パスワードを定期的に変更してください。正当な警告と偽の警告を区別する方法を学び、実際の警告を注意深く読む.

そして、一般に、常に通知を受け取り、友人から受け取ったすべてのセキュリティ警告を再確認してください。ほとんどの場合、それらは誤報であり、一般的な混乱を増やし、本当の警報を消しやすくすることだけを目的としています。.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map