ソーシャルエンジニアリングとは、心理的な操作によって、相手に個人情報を漏らすよう説得する手法のことです。この種の手法は、インターネットやコンピュータが発明されるはるか以前から存在していました。犯罪者がソーシャル・エンジニアリングの手法を採用するのは、ソフトウェアやハードウェアのハッカーとは対照的に、お客様の自然な信頼傾向を利用することが、ソフトウェアやハードウェアの攻撃よりもかなり容易であるためです。このページの目的は、ソーシャル・エンジニアリングとは何か、他のソーシャル・エンジニアリングとの違い、ソーシャル・エンジニアリングによる攻撃を見分ける方法、そしてソーシャル・エンジニアリング詐欺の被害を防ぐ方法について情報を提供することです。
さっそく、「ソーシャルエンジニアリングの見分け方」という質問にお答えしましょう。
ソーシャルエンジニアが使う手口は、表示されたリンクをクリックし、フォームに情報を入力することで、自分の詳細を「確認」するように要求する問題を作り出すことです。適切なブランディングとラベリングを行えば、リンク先は本物であるかのように見えるかもしれません。
ソーシャルエンジニアは、被害者がパニックに陥るようなレトリックを使い、何も考えずに反応するように仕向けます。緊急の電信送金を依頼された場合は、実行する前に、その行為が本物であることを再度確認するようにしてください。
[/fusion_text][fusion_text rule_style="default" hide_on_mobile="small-visibility,medium-visibility,large-visibility" sticky_display="normal,sticky" text_transform="none" animation_direction="left" animation_speed="0.3"]Social engineers may approach people who are kind and nice with requests for donations to nonprofit causes. Social engineers can learn a lot about you by looking you up on social media and seeing what nonprofits, disaster relief efforts, and political campaigns you are most inclined to support.[/fusion_text][fusion_text rule_style="default" hide_on_mobile="small-visibility,medium-visibility,large-visibility" sticky_display="normal,sticky" text_transform="none" animation_direction="left" animation_speed="0.3"]
ソーシャルエンジニアは、取引先企業のカスタマーサービス担当者になりすまし、支援要請に対して「応答」しているかのようなメッセージを送信することがあります。その時質問していなくても、抱えている問題に対する支援を得るチャンスになる可能性があります。
攻撃者は、ダークウェブでユーザー名とパスワードを購入したり、パスワードを破ったり、ログイン情報をフィッシングしたりして、誰かのメールアカウントを取得することができます。ハッカーは、このアカウントを使って、そのアカウントの連絡先リストにある人々にメールを送信し始めます。 このようなメールには、クリックすると悪意のあるファイルを拡散させるリンクが含まれていることがあります。攻撃者が幹部のメールに侵入した場合、財務チームにメールを送り、特定の銀行口座に資金を緊急送金するように指示することがよくあります。このように、彼らは通常このような方法をとります。このような攻撃は、受信者に早く行動しなければならないと感じさせ、自分が何をしているのか考えさせず、ただ実行に移すように仕向けるため、うまくいくことが多いのです。
フィッシングメールを受け取った人は、それが企業やよく一緒に仕事をする友人など、その人が信頼しているところから来たように見せかけることができます。ほとんどの場合、被害者はリンクをクリックし、自分のウェブアカウントにサインインするように求められますが、このリンクをクリックすると、まったく別のサイトに移動してしまいます。このリンクは、被害者が思っているサイトと同じように見えるように設定されています。被害者が偽装されたサイトにアクセスし、ログインすると、攻撃者にログイン情報を渡したことになる。
以下の例は、フィッシングメールがどのようなものかを示しています。
口実づくりは、通常、物理的に行われます。攻撃者は、偽の身分をでっち上げて、被害者から貴重な情報を攻撃者に提供するように話を作り、ハッカーはその情報を手に入れることができます。標的となった被害者は、最近亡くなった叔母からの遺言の受取人であると言われるかもしれません。攻撃者は、被害者に「自分が本人であることを示すために、社会保障番号を教えてほしい」と言います。攻撃者は、外部のIT監査人のふりをして、企業のセキュリティ担当者に個人情報を提供させることもあります。
フィッシングが電子メールを使い、ヴィッシングが電話を使うのと同じように、SMiShingはテキストメッセージを使い、被害者からお金を巻き上げるのです。人々は電子メールよりもテキストメッセージを信用する傾向があるため、この新しいトレンドはさらに心配です。電子メールの未知のリンクをクリックすることのリスクは、テキストメッセージのリンクには広がっていない。あまりにも多くの人々が、SMiShingのテキストに直面したときに何をすべきかわからない。作りかけのサービスに対して毎日課金される。サービスを利用しないことを選択できるリンクがあり、課金されることはありません。また、あなたが選択できるように、あなたの個人情報を要求します。解約したいサービスに申し込んでいる場合は、このメッセージに注意を払う必要はありません。
電話をかけてきてお金を要求するのは、フィッシング、つまり「ボイスフィッシング」です。攻撃者は、金融機関や政府機関など、あなたが知っている権威ある機関に自分を似せて、あなたの情報を得ようとします。発信者番号通知を偽装することで、攻撃者は信頼できる発信元から電話がかかってきたように見せかけることができます。ヴィッシング詐欺師の多くは、米国外から侵入してきます。なりすましは、被害者の信頼を得ようとするもので、発信者が本人であると思わせるものです。そして、その電話を受け、発信者が本人であると信じさせるのです。
メールセキュリティソフトウェアは、受信トレイに届くメッセージにマルウェアや悪意ある意図、なりすましの証拠がないかスキャンし、これらの指標が含まれている場合は、そもそも受信トレイにメッセージが届かないようにします。
URL保護ソフトウェアやアプリケーションは、ユーザーが使用するあらゆるデバイスのクリックを保護し、有害なリンクのクリックを防止するために役立ちます。
ハッカーにとって重要な情報は何かを理解すれば、ハッカーから守るべき情報は何かを特定することが容易になります。あなたの組織のクラウンジュエルは他の組織のものとは異なるため、この手順をあなた自身で実行することが非常に重要です。
その際、相手が本当にその人であることを確認してください。通常とは異なるが、見覚えのあるメールアドレスから送信された依頼メールを受け取った場合は、送信者に電話をかけて、実際にそのメールを送ったかどうか確認することをお勧めします。
ソーシャル・エンジニアリングを防ぐための重要なステップの1つは、一般的な問題に対する認識と情報を高めることです。ユーザーがソーシャル・エンジニアリングの脅威を認識していない場合、ビジネスを安全に保つために必要な予防策を講じることは期待できません。
ソーシャルエンジニアは、被害者を騙して素早く行動させるために、被害者に切迫感を与え、相手が本物でないことを示す赤い指標を無視させようとします。何かをする前に、深呼吸をして、冷静になって問題を検討してから行動してください。その取引が正当なものであれば、相手も理解を示し、あなたがデューデリジェンスを完了するまでの時間を辛抱してくれるでしょう。
bit.lyのリンクなど、短縮されたリンクを受信した場合、そのリンクが
悪意のあるURLを隠蔽するリンクエキスパンダーを使えば、実際にクリックしなくてもリンクをテストすることができます。検索エンジンのDuckDuckGoは、リンクエキスパンダーを内蔵しており、短いURLの背後にあるものを見ることができます。
SubRosaは、サイバー評価とリスクおよびコンプライアンスに特化したサイバーセキュリティ・ソリューション・プロバイダーです。
