ほとんどのサイバー犯罪者は熟練した操作者ですが、これは彼らが常に熟練した技術的操作者であることを意味するわけではありません。 他のサイバー犯罪者は人を操作することを好みます。
言い換えれば、彼らはソーシャル エンジニアリング、つまり人間の性質の欠陥を利用してサイバー攻撃を開始する手法を採用しています。
ソーシャル エンジニアリングの単純なケースでは、サイバー犯罪者が IT 専門家になりすまして、システムのセキュリティ ホールを修正するためにログインの詳細を要求した場合に、これが発生する可能性があります。
情報を提供した場合、悪意のある人にあなたの電子メールやコンピューターへのアクセスを心配することなく、あなたのアカウントへのアクセスを許可したことになります。
私たちはさまざまな策略の影響を受けやすいため、あらゆるセキュリティ チェーンにおいて、ほとんどの場合最も弱い部分になります。 ソーシャル エンジニアリング技術は、人々のこの脆弱性を利用して、被害者をだまして個人情報を漏洩させます。
ソーシャル エンジニアリングは、大部分のサイバー脅威と同様に常に進化しています。
この記事では、ソーシャル エンジニアリングの現状、注意すべきさまざまな種類の攻撃、注意すべき危険信号について説明します。
ソーシャルエンジニアリングの入門を始めましょう。
ソーシャルエンジニアリングとは
コンピューティングにおけるソーシャル エンジニアリングとは、サイバー犯罪者が被害者に疑わしい行動をさせるために使用する手法を指します。これには、多くの場合、セキュリティ侵害、送金、個人情報の開示が伴います。
これらの活動は、論理に疑問を投げかけ、私たちのより良い判断に反することがよくあります。
しかし、詐欺師は、怒り、恐怖、愛情など、ポジティブとネガティブの両方の感情を操作することで、論理的に考えるのをやめ、私たちが実際に何をしているのかを考えずに本能に従って行動し始めるように説得することがあります。
簡単に定義すると、ソーシャル エンジニアリングは、ハッカーがマルウェアやウイルスを使って私たちのマシンを侵害するのと同じように、私たちの脳を侵害する方法です。
ネットワークやソフトウェアの弱点を特定するよりも個人を利用するほうが簡単であることが多いため、攻撃者はソーシャル エンジニアリングを頻繁に利用します。
犯罪者とその被害者は直接やり取りする必要がないため、ソーシャル エンジニアリングは常に広範な詐欺の構成要素となります。
被害者に次のことをさせることが、一般に主な目標です。
- スマートフォン上の悪意のあるソフトウェア。
- ユーザー名とパスワードを放棄します。
- 悪意のあるプラグイン、拡張機能、またはサードパーティのアプリケーションに許可を与えます。
- 郵便為替、電子送金、またはギフトカードを通じて送金します。
- 違法な資金を送金し洗浄するマネーミュールの役割を果たします。
ソーシャル エンジニアリング手法は、プログラムをハッキングする方法を見つけるよりも、他人を信頼するという生来の傾向を利用する方が簡単であることが多いため、犯罪者によって使用されます。
たとえば、パスワードが本当に脆弱でない限り、誰かを騙してパスワードを教えさせる方が、ハッキングを試みるよりもはるかに簡単です。
ソーシャルエンジニアリングはどのように機能するのでしょうか?
ソーシャル エンジニアは、さまざまな戦略を使用してサイバー攻撃を実行します。 ほとんどのソーシャル エンジニアリング攻撃は、攻撃者が被害者に対して偵察と調査を行うことから始まります。
たとえば、ターゲットが企業の場合、ハッカーはその企業の組織構造、内部プロセス、業界用語、潜在的なビジネス パートナーなどの詳細を知る可能性があります。
警備員や受付係など、低レベルではあるが初期アクセス権を持つ従業員の行動や習慣に焦点を当てることは、ソーシャル エンジニアが使用する戦略の XNUMX つです。
攻撃者は検索できる ソーシャルメディア 個人情報を明らかにし、オンラインと対面の両方で個人の行動を観察します。
ソーシャル エンジニアは次に、収集した証拠を使用して攻撃を計画し、偵察段階で発見された欠陥を利用します。
実際に攻撃が行われた場合、攻撃者は保護されたシステムやネットワーク、ターゲットから金銭を取得したり、社会保障番号、クレジット カードの詳細、銀行口座の詳細などの個人データにアクセスしたりする可能性があります。
一般的なタイプのソーシャル エンジニアリング攻撃
ソーシャル エンジニアリングで使用される典型的な手法について学ぶことは、ソーシャル エンジニアリング攻撃から身を守るための最大の戦略の XNUMX つです。
現在、ソーシャル エンジニアリングは、ソーシャル メディア詐欺などを含め、オンラインで一般的に行われており、攻撃者は信頼できる情報源や高官の身元を装い、被害者をだまして機密情報を漏らさせます。
他に流行しているソーシャル エンジニアリング攻撃をいくつか紹介します。
フィッシング詐欺
フィッシングは、信頼できる発信元からのものであるかのように通信を偽装する、一種のソーシャル エンジニアリング アプローチです。
これらの通信は電子メールであることが多く、被害者を騙して個人情報や財務情報を開示させることを目的としています。
結局のところ、なぜ私たちが知っている友人、家族、または会社からのメールの正当性を疑う必要があるのでしょうか? 詐欺師はこの自信を利用します。
バイシング
ビッシングは、複雑なタイプのフィッシング攻撃です。 「ボイスフィッシング」とも呼ばれます。 こうした攻撃では、電話番号が本物であるかのように偽造されることがよくあり、攻撃者は IT スタッフ、同僚、または銀行員を装うことがあります。
一部の攻撃者は、自分の身元をさらに不明瞭にするためにボイスチェンジャーを使用する場合があります。
スピアフィッシング
大企業や特定の個人が、ソーシャル エンジニアリング攻撃の一種であるスピア フィッシングのターゲットになります。 スピア フィッシング攻撃のターゲットは、ビジネス リーダーや著名人などの強力な個人または小規模グループです。
この形式のソーシャル エンジニアリング攻撃はよく研究され、欺瞞的に偽装されていることが多いため、見分けるのが困難です。
スミッシング
スミッシングは、通信媒体としてテキスト (SMS) メッセージを利用する一種のフィッシング攻撃です。 これらの攻撃では、通常、有害な URL をクリックして連絡先の電話番号を提示することで、被害者に迅速な行動を要求します。
被害者は、攻撃者が被害者に対して使用できる個人情報の提供を求められることがよくあります。
被害者に迅速に行動して暴行を受けるよう説得するために、スミッシング攻撃は頻繁に緊迫感を表現します。
Scareware
ソーシャル エンジニアリングを使用して、個人を脅して偽のセキュリティ ソフトウェアをインストールさせたり、マルウェアに感染した Web サイトにアクセスさせたりすることは、スケアウェアとして知られています。
スケアウェアは通常、ラップトップからコンピュータ感染とされるものを根絶するのを支援するポップアップ ウィンドウとして現れます。 ポップアップをクリックすると、意図せずにさらなるマルウェアがインストールされたり、危険な Web サイトに送信されたりする可能性があります。
スケアウェアまたは別の侵入的なポップアップがあると思われる場合は、信頼できるウイルス駆除プログラムを使用してコンピュータを頻繁にスキャンしてください。 デジタル衛生上、デバイスのリスクを定期的に検査することが重要です。
また、将来のソーシャル エンジニアリング攻撃を防止することで、個人情報の保護にも役立つ可能性があります。
ベイティング
ソーシャル エンジニアリング攻撃はオフラインでも開始される可能性があります。 必ずしもオンラインで開始されるわけではありません。
ベイティングとは、攻撃者がマルウェアに感染したオブジェクト (USB ドライブなど) を、発見されそうな場所に放置する行為です。 これらのデバイスは、関心を引くために意図的にブランド化されることがよくあります。
ユーザーが好奇心や貪欲さからガジェットを手に取り、自分のコンピュータに挿入すると、そのコンピュータが意図せずウイルスに感染する危険があります。
捕鯨
最も大胆なフィッシングの試みの XNUMX つは、悲惨な結果をもたらしましたが、捕鯨です。 この種のソーシャル エンジニアリング攻撃の典型的なターゲットは、価値の高い XNUMX 人の個人です。
捕鯨について「CEO詐欺」という言葉が使われることがありますが、これを見ればターゲットが分かります。
彼らは適切なビジネスライクな口調を効果的に想定し、業界内部の知識を有利に利用するため、捕鯨攻撃は他のフィッシング攻撃よりも発見するのが困難です。
プレテキスト送信
プリテキスティングとは、詐欺師が被害者を欺くために使用する偽の状況、つまり「口実」をでっち上げるプロセスです。
オフラインまたはオンラインで発生する可能性のあるプレテキスト攻撃は、攻撃者が自分自身を信頼できるように見せることに多大な労力を費やすため、最も成功したソーシャル エンジニアリング手法の XNUMX つです。
見知らぬ人に個人情報を開示する場合は、口実のデマを見破るのが難しい場合があるため、注意してください。
ソーシャル エンジニアリングの試みを排除するには、緊急の必要性について誰かから電話があった場合は、その会社に直接連絡してください。
ハニートラップ
ハニー トラップは、加害者が被害者を危険な性的環境に誘惑する一種のソーシャル エンジニアリング アプローチです。
その後、攻撃者はその状況を利用して恐喝やセクストーションを行います。 ソーシャル エンジニアは、「カメラを通してあなたを見ている」という偽りのふりをしたスパムメール、または同様に悪質なものを送信することで、頻繁にハニー トラップを仕掛けます。
このようなメッセージが表示された場合は、Web カメラが保護されていることを確認してください。
その場合は、これらのメールは単なるスパムであるため、落ち着いて返信しないでください。
見返り
ラテン語は「何かのために何か」を意味し、この場合、被害者が協力の見返りとして報酬を受け取ることを指します。
ハッカーが IT アシスタントを装った場合がその好例です。 彼らは企業のできるだけ多くの従業員に電話をかけ、簡単な解決策があると主張し、「AV を無効にするだけで済みます」と付け加えた。
これに屈した人は誰でも、コンピュータにランサムウェアやその他のウイルスをインストールしています。
共連れ
ピギーバックとも呼ばれる共連れ行為は、ハッカーが有効なアクセス カードを使用して安全な建物に侵入する人物の後を追って発生します。
この攻撃を実行するには、建物に入る許可を持っている人が、後ろから来る人のためにドアを開けておくのに十分な配慮があると想定されます。
ソーシャル エンジニアリング攻撃を防ぐにはどうすればよいでしょうか?
これらの予防策を講じることで、あなたとあなたのスタッフはソーシャル エンジニアリング攻撃を回避できる最大のチャンスを得ることができます。
従業員を教育する
従業員がソーシャル エンジニアリング攻撃に陥りやすい主な原因は、無知です。 典型的な侵害の試みに対処する方法を担当者に教えるために、組織はセキュリティ意識向上トレーニングを提供する必要があります。
たとえば、誰かが従業員を職場に連れて行こうとしたり、機密情報を要求したりした場合にどうすべきかなどです。
最も頻繁に発生するサイバー攻撃の一部を以下のリストに示します。
- DDoS攻撃
- フィッシング攻撃
- クリックジャッキング攻撃
- Ransomware攻撃
- マルウェア攻撃
- あおり運転にどう対応するか
攻撃耐性をチェックする
会社に対して制御されたソーシャル エンジニアリング攻撃を実行してテストします。 偽のフィッシングメールを送信し、添付ファイルを開いたり、有害なリンクをクリックしたり、反応したスタッフを優しく叱責します。
これらの事例はサイバーセキュリティの失敗として認識されるのではなく、非常に教育的な状況として見られるべきです。
運用セキュリティ
OPSEC は、将来の攻撃者にとって有利になる可能性のある友好的な動作を発見するための方法です。 OPSEC は、機密データまたは重要なデータが適切に処理され、他のデータとグループ化されている場合、公開される可能性があります。
OPSEC 手順を使用すると、ソーシャル エンジニアが取得できる情報の量を制限できます。
データ漏洩の発見
フィッシングの試みの結果として資格情報が漏洩したかどうかを知ることは困難な場合があります。
フィッシング詐欺師の中には、収集した認証情報を悪用するまでに数か月、場合によっては数年かかる場合があるため、企業はデータの漏洩や認証情報の漏洩を常に調査する必要があります。
多要素認証を実装する
重要なリソースにアクセスするには、ユーザーがトークンを所有し、パスワードを知っており、生体認証を所有する必要がある多要素認証方法を強制します。
サードパーティのリスク管理システムを導入する
新しいベンダーを採用する前、または現在のサプライヤーと引き続き協力する前に、サードパーティのリスクを管理するためのシステム、ベンダー管理ポリシーを作成し、 サイバーセキュリティリスク 評価。
特に、盗まれたデータがダークウェブで販売された後は、データをクリーンアップするよりもデータ侵害を回避する方がはるかに簡単です。
ベンダー リスクを自動的に管理し、ベンダーのサイバーセキュリティを定期的に追跡、ランク付け、評価できるソフトウェアを見つけてください。
スパムメールの設定を変更します。
電子メールの設定を変更することは、ソーシャル エンジニアリングの試みから身を守る最も簡単な方法の XNUMX つです。 スパム フィルターを改善して、ソーシャル エンジニアリング詐欺メールが受信箱に入らないようにすることができます。
また、本物であることがわかっている個人や組織の電子メール アドレスをデジタル連絡先リストに直接追加することもできます。そのふりをして将来別のアドレスを使用する人は、おそらくソーシャル エンジニアである可能性が高くなります。
まとめ
最後に、ソーシャル エンジニアリングは、詐欺、詐欺、その他の犯罪を行うために使用できるかなり単純な手法です。 対面、電話、オンラインで誰にでも起こる可能性があります。
ソーシャル エンジニアはそれほど技術的である必要はありません。 彼らはあなたを騙して個人情報を提供させることだけができれば十分です。
私たち全員が危険にさらされているため、これは潜在的に悲惨な詐欺です。 また、ソーシャル メディアにより、ソーシャル エンジニアはより巧妙になり、本物と間違えやすい偽のアカウントを作成したり、実際の個人になりすましたりすることが可能になりました。
ソーシャルメディア上で奇妙なプロフィールや見慣れないプロフィールを見るときは、常に注意してください。
コメントを残す