知っておくべき8種類のフィッシング攻撃

フィッシングは依然として世界最大のサイバーセキュリティ脅威の1つです。

実際、サイバーセキュリティ会社のバラクーダの調査によると、フィッシングは非常に蔓延しているため、今年の1月から3月にかけてコロナウイルス関連のフィッシング攻撃の数は667％増加しました。さらに憂慮すべきは、Intelの調査によると、最大97％の人がフィッシングメールを識別できないことです。

被害者にならないようにするには、フィッシング詐欺師があなたを攻撃しようとするさまざまな方法を知る必要があります。ここに、遭遇する可能性のある8種類のフィッシング詐欺があります。

1.メールフィッシング

これは、正規の企業を模倣するように設計された典型的なフィッシングメールです。これは、「スプレーアンドプレイ」方式を使用した最も洗練されていないタイプの攻撃です。

彼らは特定の人物を標的にすることはなく、多くの場合、何百万人ものユーザーに一般的なメールを送信して、疑いを持たない被害者がリンクをクリックするか、ファイルをダウンロードするか、メールの指示に従うことを望んでいます。

多くの場合、パーソナライズされていないため、「アカウント所有者の皆様」や「大切なメンバーの皆様」などの一般的な敬礼を使用します。また、「緊急」などの言葉でパニックや恐怖を利用して、ユーザーにリンクをクリックさせることもよくあります。

2.スピアフィッシング

これは、特定のグループまたは特定の個人を標的とする、より洗練された高度なタイプのフィッシングです。著名なハッカーが組織に侵入するためによく使用されます。

詐欺師は、人々、彼らの背景、または彼らが日常的にやり取りする人々について広範な調査を行い、より個人的なメッセージを作成できるようにします。そして、より個人的なユーザーは、何かがおかしいとは思わないことが多いからです。

メールアドレスと手紙の形式を、その連絡先から通常受け取るものと常に照合してください。また、ファイルの添付ファイルをダウンロードしたり、リンクをクリックしたりする前に、送信者に電話してすべてを確認することをお勧めします。これは、知り合いからのものであるように思われる場合でも同様です。

3.捕鯨

これはもう1つの洗練された高度なタイプのフィッシングであり、これだけが特定のグループの人々、つまりマネージャーやCEOなどの著名な経営幹部を標的としています。

彼らは時々、敬礼の中で直接標的に対処し、メッセージは召喚状、法的苦情、または破産、解雇、または法的費用を回避するための緊急の行動を必要とする何かの形である可能性があります。

攻撃者は、その人物に関する広範な調査を行い、通常は資金や機密情報にアクセスできる組織の主要人物を標的とする特別なメッセージを作成することに多くの時間を費やします。

ターゲットには、ハッカーがアクセスコードまたはログイン情報を収集する説得力のあるログインページへのリンクが送信されます。一部のサイバー犯罪者は、被害者に、召喚状または手紙の残りの部分を表示するための添付ファイルをダウンロードするように依頼することもあります。これらの添付ファイルには、コンピューターにアクセスできるマルウェアが付属しています。

4.ビッシング

ビッシングまたはボイスフィッシングはフィッシングの一種ですが、攻撃者はメールを送信する代わりに、電話でログイン情報や銀行の詳細を取得しようとします。

攻撃者は、組織のスタッフになりすましたり、サービス会社のスタッフをサポートしたりして、感情を駆使して被害者に銀行やクレジットカードの詳細を渡すように依頼します。

メッセージは、税金やコンテストの賞金などの延滞額に関するものである場合もあれば、コンピューターへのリモートアクセスを要求する偽の技術サポート担当者からのものである場合もあります。また、事前に録音されたメッセージや電話番号のなりすましを使用して、海外に電話をかけているように見せかけることもできます。これは、攻撃に信頼性を与え、被害者に電話が正当であると信じさせるために行われます。

専門家は、ログイン情報、社会保障番号、銀行やクレジットカードの詳細などの機密情報を電話で絶対に教えないようにアドバイスしています。代わりに、電話を切ってすぐに銀行またはサービスプロバイダーに電話してください。

5.スミッシング

スミッシングとは、テキストまたはSMSメッセージの使用を伴うあらゆる形態のフィッシングです。フィッシング詐欺師は、偽のサイトに誘導するテキストを介して送信されたリンクをクリックするように誘惑しようとします。クレジットカードの詳細などの機密情報を入力するように指示されます。その後、ハッカーはこの情報をサイトから収集します。

賞品を獲得した、または情報を入力しないと、特定のサービスに対して1時間ごとに課金され続けると言われることがあります。原則として、見覚えのない番号からのテキストへの返信は避けてください。また、特にソースがわからない場合は、テキストメッセージから取得したリンクをクリックしないでください。

6.アングラーフィッシング

この比較的新しいフィッシング戦術は、ソーシャルメディアを使用して、機密情報を共有するように人々を誘導します。詐欺師は、ソーシャルメディアに銀行やその他のサービスについて投稿する人々を監視します。その後、彼らはその会社の顧客サービス担当者のふりをします。

預金の遅延や銀行サービスの不良について暴言を投稿し、その投稿に銀行の名前が含まれているとします。サイバー犯罪者はこの情報を使用して、銀行から来たふりをしてからあなたに連絡します。

次に、リンクをクリックしてカスタマーサービス担当者に相談すると、「本人確認」のための情報を求められます。

このようなメッセージを受け取った場合は、TwitterやInstagramの公式ページなどの安全なチャネルを通じてカスタマーサービスに連絡することをお勧めします。これらには通常、確認済みのアカウントサインがあります。

7.CEO詐欺フィッシング

これは捕鯨のようなものです。 CEOやマネージャーを対象としていますが、CEOから情報を入手するだけでなく、CEOになりすますことを目的としているため、さらに陰湿になります。攻撃者は、CEOなどのふりをして、銀行振込による送金を要求したり、機密情報をすぐに送信したりするように同僚にメールを送信します。

攻撃は通常、予算保有者、財務部門の人、機密情報を知っている人など、銀行振込を許可されている社内の誰かを狙っています。多くの場合、メッセージは非常に緊急に聞こえるように意図されているため、被害者は考える時間がありません。

8.検索エンジンフィッシング

これは、正規の検索エンジンを使用する最新タイプのフィッシング攻撃の1つです。フィッシング詐欺師は、お得な情報、無料の商品や商品の割引、さらには偽の求人情報を提供する偽のWebサイトを作成します。次に、SEO（検索エンジン最適化）技術を使用して、正当なサイトによってサイトのインデックスを作成します。

したがって、何かを検索すると、検索エンジンはこれらの偽のサイトを含む結果を表示します。その後、ログインまたは機密情報の提供に騙され、サイバー犯罪者によって収集されます。

これらのフィッシング詐欺師の中には、高度な技術を使用して検索エンジンを操作し、ウェブサイトへのトラフィックを増やすことに長けている人もいます。

常に情報を入手し、警戒する

各タイプの名前を知ることは、各攻撃のMO、モード、およびチャネルを理解することほど重要ではありません。それらがすべて呼ばれているものと混同する必要はありませんが、メッセージがどのように作成され、攻撃者がどのチャネルを使用してあなたに到達するかを知ることが重要です。

また、常に警戒を怠らないことも重要です。また、あなたをだまして詳細を教えてくれる人がたくさんいることを知っておくことが重要です。あなたの会社が攻撃の標的になる可能性があり、犯罪者があなたの組織への道を探していることを理解してください。

このような脅威が存在することを知ることは、コンピュータが攻撃者のエントリポイントになるのを防ぐための最初のステップです。アクションを実行する前に、メッセージのソースを再確認することも非常に重要です。

また、攻撃者がユーザーに自分のやりたいことをやらせるために、人々の恐れやパニックを利用することがあることも理解する必要があります。ですから、脅威に直面したときは、落ち着いて考えることが重要です。そして、プロモーションや景品詐欺を見つけることになると、古い格言が依然として適用されます：何かが真実であるには良すぎるように聞こえる場合、それはおそらくそうです。