そのようなフィッシングが長い間知られているという事実。 最初のフィッシング攻撃は、World Wide Webの登場直後に記録されました。 しかし、情報セキュリティの専門家がフィッシングから保護するためのより高度な方法を作成しているという事実にもかかわらず、新しいフィッシングサイトは毎日登場し続けています。
いくつかの調査によると、2016年には毎日約5,000のフィッシングサイトが作成されました。 2017年には、この数値はさらに大きくなります。 このタイプの詐欺の実行可能性の秘密は、ソフトウェアの「穴」ではなく、重要なデータにアクセスできる人間の脆弱性に依存していることです。 そのため、フィッシングとは何か、最も一般的なタイプのフィッシング攻撃、およびそれらに対抗する方法をもう一度思い出すと役立ちます。
2017年のフィッシング:フィッシング攻撃の主な例
フィッシングは、ソーシャルエンジニアリングの原則に基づいたオンライン詐欺の一種です。 フィッシングの主な目的は、重要なデータ(パスポートデータなど)、口座、銀行の詳細、機密情報、および将来それらを使用してお金を盗むための機密情報にアクセスすることです。 フィッシングは、ユーザーを偽のネットワークリソースにリダイレクトすることで機能します。これは実際のネットワークリソースを完全に模倣したものです。
1.クラシックフィッシング-フィッシングフィッシング
このカテゴリには、すべてのフィッシング攻撃のほとんどが含まれます。 攻撃者は、実際の会社に代わってメールを送信して、ユーザーの資格情報を取得し、個人またはビジネスアカウントを制御します。 支払いシステムまたは銀行、配送サービス、オンラインストア、ソーシャルネットワーク、税などに代わってフィッシングメールを受信できます。
フィッシングメールは非常に慎重に作成されます。 実際には、ユーザーが実際の会社から郵送で定期的に受け取る文字と違いはありません。 警告が表示されるのは、リンクをたどってアクションを実行する要求だけです。 しかし、この移行は詐欺サイトにつながります。これは、銀行のサイト、ソーシャルネットワーク、またはその他の法的リソースのページの「ツイン」です。
そのような手紙でリンクをたどるインセンティブは、「ニンジン」(「24時間以内に登録するとサービスの70%割引を受けることができます」)と「スティック」(「疑わしい活動のためにアカウントが停止されました」) 。自分がアカウントの所有者であることを確認するには、リンク '')に従ってください。
最も人気のある詐欺トリックのリストを次に示します。
あなたのアカウントはブロックされている/無効にされています。
ユーザーを怖がらせる戦術は非常に効果的です。 ユーザーがすぐにアカウントにログインしなかった場合、近い将来にアカウントがブロックされた、またはブロックされるという脅威により、警戒し、レター内のリンクをたどり、ユーザー名とパスワードを入力します。
アカウントで検出された疑わしいまたは詐欺的な活動。 セキュリティアップデートが必要です。
このような手紙では、ユーザーは緊急にアカウントにログインし、セキュリティ設定を更新するよう求められます。 前の段落と同じ原則が適用されます。 ユーザーはパニックに陥り、警戒を忘れます。
重要なメッセージを受け取りました。 個人アカウントにアクセスして、慣れてください。
ほとんどの場合、そのような手紙は金融機関に代わって送信されます。 金融機関は実際には機密情報を電子メールで送信しないため、ユーザーは文字の信ver性を信じる傾向があります。
税フィッシングメール。
そのような手紙は、税金を支払う時期が近づくとすぐにトレンドに入ります。 書簡の主題は大きく異なります。借金の通知、行方不明の書類の送付要求、税金の払い戻しを受ける権利の通知などです。
2.標的型フィッシング攻撃
フィッシングは常にランダムにヒットするわけではありません。攻撃は多くの場合、パーソナライズされ、標的にされます。 目標は同じです-ユーザーを強制的にフィッシングサイトに移動させ、資格情報を残します。
当然のことながら、将来の被害者は、自分の職場、会社での地位、およびその他の個人データを記載した名前で宛名を書いた手紙によって、より信頼できるようになります。 さらに、標的となるフィッシング攻撃に関する情報を自分で提供することがよくあります。 よく知られているLinkedInなどのリソースは、犯罪者にとって特に「実り多い」ものです。潜在的な雇用者に基づいて履歴書を作成し、誰もが自分に関する詳細情報を提供しようとします。
このような状況を防ぐため、組織は従業員に個人情報やビジネス情報をパブリックドメインに投稿することは望ましくないことを常に思い出させる必要があります。
3.フィッシングとトップマネジメント
詐欺師にとって特に興味深いのは、経営者の資格です。
原則として、どの会社のセキュリティスペシャリストも、従業員の地位に応じて、公差と責任レベルの明確なシステムを実装します。 そのため、セールスマネージャーは製品データベースにアクセスでき、彼の会社の従業員のリストは制限された領域です。 また、人事スペシャリストは、どの空席が誰によって占められ、誰が空席になり、誰が昇進に値するかを完全に認識していますが、母国の銀行口座の数と状態については知りません。 リーダーは通常、企業または組織のすべての重要な生命ノードへのアクセスに集中します。
会社の責任者のアカウントにアクセスできるようになったフィッシング専門家は、さらに進んで、会社の他の部門と通信するために使用します。たとえば、選択した金融機関への不正な銀行振込を承認します。
高レベルの入学にもかかわらず、上級管理職は情報セキュリティの基礎に関する人材育成プログラムに常に参加しているわけではありません。 そのため、フィッシング攻撃が彼らに向けられた場合、これは会社にとって特に悲惨な結果につながる可能性があります。
4. GoogleおよびDropboxからのフィッシングメール
最近では、フィッシングに新たな方向性が現れました。クラウドデータストレージにログインするためのログインとパスワードのハントです。
DropboxクラウドサービスとGoogleドライブでは、個人と企業の両方のユーザーが多くの機密情報を保存します。 これらは、プレゼンテーション、表、ドキュメント(公式)、ローカルコンピューターからのデータのバックアップコピー、個人の写真、他のサービスのパスワードです。
これらのリソース上のアカウントへのアクセスが攻撃者にとって魅力的な見通しであることは驚くことではありません。 この目標を達成するには、標準的なアプローチを使用します。 特定のサービスのアカウントログインページを完全に模倣するフィッシングサイトが作成されます。 ほとんどの場合、その潜在的な被害者は、電子メール内のフィッシングリンクをリダイレクトします。
5.添付ファイル付きのフィッシングメール
ユーザーデータを盗むために疑わしいサイトにリンクすることは、フィッシングができる最悪のことではありません。 実際、この場合、犯罪者は機密情報の特定の部分(ログイン、パスワード、つまり特定のサービスのアカウント)のみにアクセスします。 フィッシング攻撃が被害者のコンピューター全体をマルウェア(暗号化ウイルス、スパイウェア、トロイの木馬)で侵害すると、さらに悪化します。
このようなウイルスは、電子メールの添付ファイルに含まれている場合があります。 メッセージが信頼できるソースから送信されたと仮定すると、ユーザーはそのようなファイルを熱心にダウンロードし、コンピューター、タブレット、ラップトップに感染します。
農業とは
疑わしいリソースへのリンクを含む従来のフィッシングは、徐々に効果が低下しています。 Webサービスの経験豊富なユーザーは通常、疑わしいサイトへのリンクが奇妙な手紙や通知を受け取ったときに注意を払って使用する危険性をすでに認識しています。 ネットワークに被害者を誘い込むことはますます難しくなっています。
従来の攻撃の有効性の低下に対応して、攻撃者はファーミング(詐欺サイトへの隠されたリダイレクト)を思いつきました。
ファーミングの本質は、最初の段階で、被害者のコンピューターに何らかの方法でトロイの木馬が導入されることです。 多くの場合、アンチウイルスによって認識されず、それ自体を表示せず、すぐに待機しています。 マルウェアは、ユーザーが外部の影響なしに、インターネット上の犯罪者が関心のあるページに移動することを決定した場合にのみアクティブになります。 ほとんどの場合、これらはオンラインバンキングサービス、支払いシステム、および現金取引を実行するその他のリソースです。 ここで置換プロセスが行われます。頻繁にアクセスされるチェックされたサイトの代わりに、感染したコンピューターのホストはフィッシングサイトに移動し、何も疑わずにハッカーが必要とするデータを示します。 これは、ローカルコンピューターまたはネットワーク機器のDNSキャッシュを変更することにより行われます。 このタイプの詐欺は、検出が難しいため、特に危険です。
フィッシング対策-基本ルール
- 軽微なスペルミスについては、推奨されるURLを確認してください。
- 安全なhttps接続のみを使用してください。 サイトのアドレスに「s」という文字が1つだけ含まれていないことを警告する必要があります。
- 添付ファイルやリンクのある文字には疑いを抱きます。 身近なアドレスから来たとしても、これはセキュリティを保証するものではありません。ハッキングされる可能性があります。
- 予期しない疑わしいメッセージを受信した場合、送信者に何らかの代替方法で連絡し、送信者が送信したかどうかを明確にすることは価値があります。
- それでもリソースにアクセスする必要がある場合は、手動でアドレスを入力するか、以前に保存したブックマークを使用することをお勧めします(alas、これは農業から保存されません)。
- オープンWi-Fiネットワークを使用してオンラインバンキングやその他の金融サービスにアクセスしないでください。多くの場合、攻撃者によって作成されます。 そうでなくても、ハッカーにとって安全でない接続に接続することは難しくありません。
- すべてのアカウントで、可能であれば、二要素認証を有効にします。 この方法は、メインパスワードがクラッカーに知られるようになった場合に状況を保存できます。
結論
近い将来、フィッシングを完全に破壊することはほとんどありません。人間の怠iness、だまされやすさ、貪欲が原因です。
何千ものフィッシング攻撃が毎日発生し、多くの形態をとることがあります。
- 古典的なフィッシング 。 ユーザーが通常これらの会社から受け取る手紙とほとんど区別できない、よく知られた真に既存の会社に代わって送信されるフィッシングメール。 唯一の違いは、何らかのアクションを実行するためにリンクをたどるというリクエストにあります。
- 標的型フィッシング攻撃 。 特定の人を対象としたパーソナライズされたフィッシングメール。 そのような手紙には、名前、潜在的な被害者の位置、およびその他の個人データが含まれています。
- フィッシング対トップマネジメント 。 会社の責任者、ゼネラルディレクター、テクニカルディレクターなどのアカウントへのアクセスを目的としたフィッシングメール そのようなアカウントへのアクセスを取得した後、フィッシングの専門家は引き続きそれらを使用して他の部門に連絡し、たとえば、選択した金融機関への不正な銀行振込を確認できます。
- GoogleフィッシングメールとDropbox 。 フィッシング攻撃の比較的新しい方向。その目的は、クラウドデータストレージに入るためのユーザー名とパスワードです。
- 添付ファイル付きのフィッシングメール 。 ウイルスを含む添付ファイル付きのフィッシングメール。
- 農業 。 スニークは、ローカルコンピューターまたはネットワーク機器のDNSキャッシュを変更することにより作成された詐欺サイトにリダイレクトします。
ハッカーの方法に関するタイムリーで最も完全な情報、および異常な予期しないメッセージや申し出に関連する健全な不審性があれば、このタイプのインターネット詐欺による被害を大幅に減らすことができます。
したがって、フィッシングに対する保護のルールを必ずお読みください。 そして何よりも、誰にもパスワードを渡さないでください。必要なサイトのアドレスを常に手動で操作したり、ブラウザでブックマークを使用したりすることを習慣にしてください。文字のリンクには特に注意してください。
ソース-Protectimus Solutions LLPブログ