スピアフィッシング：それは何ですか？

2016年1月12日に、ウクライナの電力会社（Prykarpattyaoblenergo）の80,000人の顧客に影響を与えるサイバー攻撃が開始されました。停電が遠隔地からのハッカーによって引き起こされたことを完全に文書化して確認できたのはこれが初めてでした。これらのハッカーは、常に最高の機器やリソースを持っているとは限りません。引き換えに、彼らは単一の原則を念頭に置いてセーフガードに立ち向かう態度と才能を持っています。セキュリティシステムの最も弱いリンクは、それを使用する人間です。

上記の攻撃を調査したところ、これはスピアフィッシングの事件であるという結論に達しました。このトピックについては前回の記事で簡単に説明しましたが、これはこのテーマを拡大し、この種の攻撃について可能な限り重要な情報を提供する絶好の機会だと思います。

スピアフィッシングとは何ですか？

スピアフィッシングの魔法には、攻撃を実行する前に、個人に関する情報（生年月日、名前、その他の関連情報）を収集することが含まれます。攻撃自体にその情報が組み込まれ、送信者が被害者を「知っている」正当なエンティティであることを個人に納得させます。スピアフィッシングは、個人と組織の関係を利用して、被害者に関する重要で有用な情報（多くの場合、金銭的な性質のものですが、常にではありません）を取得するという目的を達成するため、危険です。

FBIのウェブサイトでは、ハッカーが電気通信会社を模倣し、顧客に生年月日と社会保障番号を入力する偽のページへのリンクを送信するという架空の例を使用しています。これは私が上で説明したことの教科書の例です。通常、スピアフィッシングの被害者は何らかの形でつながりを持っています。彼らは通常、同じ会社、同僚、またはクラスメートの顧客です。

スピアフィッシングとプレーンオールドフィッシングの違い

典型的な伝統的なフィッシングのスタイルでは、多数の人々にランダムに電子メールを送信します。ハッカーはいくつかの返信を受け取ることを望んでいますが、ほとんどの人はこの攻撃の犠牲になることはありません。スピアフィッシングの背後にある高度な機能により、そのようなメールを信頼するよりもよく知っているはずの人々の間でも、はるかに効果的で被害者を生み出す可能性が高くなります。一部のスピアフィッシング攻撃では、模倣している企業の公式アドレスを使用することもあり（なりすましと呼ばれる手法）、非常に危険です。

スマートハッカーは、大規模なデータベースリーク（2014年3月にターゲットが被ったものなど）をキックやギグのために発砲できるランダムな電子メールのリストとして見るのではなく、収集した情報を使用して顧客を犠牲にする機会としてそのリストを参照してください会社への信頼を餌として使うことによって。ひねくれた？はい。いたずら？絶対。エレガント？そうそう！

それに対して自分を武装させる方法

スピアフィッシングと戦うには、予防が鍵となります。電子メールメッセージを通じて個人情報を要求する企業はないという原則の下で運営する必要があります。電子メールに記載されている電話番号を使用して会社の電話番号に電話をかけないでください。電話番号は、企業体ではなくハッカーが所有および運用している可能性があります。フィッシングメールの可能性がある場合は、常に会社の公式電話番号を検索して電話をかける必要があります。

メールが友人や家族からのものである場合は、メールで返信するのではなく、電話をかけ直してください。アドレスがなりすましている可能性があります。

人々がスピアフィッシングの犠牲になるのを防ぐためのその他のヒントはありますか？コメントでそれらについて教えてください！