ソーシャル エンジニアリング攻撃は複数のフェーズで構成されます。 加害者はまずターゲットの被害者を分析して、考えられる侵入経路や脆弱なセキュリティメカニズムなど、攻撃を実行するために必要な背景情報を取得します。 この記事では、ソーシャル エンジニアリング、ソーシャル エンジニアリング攻撃、ソーシャル エンジニアリングから身を守る方法、およびソーシャル エンジニアリングの例について説明します。
これは、口座番号、パスワード、銀行情報などの機密の個人情報を誠実に提供するよう説得することにより、オンラインの状況で人々を操作する行為です。
ソーシャル エンジニアリングは、「エンジニア」が被害者に、取引先の金融機関や人物だと思われる金融機関に送金するよう被害者に依頼し、そのお金が最終的に「エンジニア」の口座に振り込まれる場合にも発生します。
サイバーおよびプライバシー保険プランは、保証がある場合、ソーシャル エンジニアリングに起因する損失をカバーできますが、補償額は通常最大 100,000 万ドルです。 また、「不正指示補償」とも呼ばれるソーシャルエンジニアリング補償は、適用されるビジネス犯罪保険契約の限度額を超える追加補償としてのみ利用可能です。
ソーシャルエンジニアリングとは
ソーシャル エンジニアリングは、人々の間違いを利用して個人情報、アクセス、または商品を入手する方法です。 サイバー犯罪では、これらのいわゆる「ヒューマン ハッキング」詐欺は、何が起こっているのかわからないユーザーをだましてデータを暴露したり、マルウェア攻撃を広めたり、秘密にしておくべきシステムへのアクセスを与えたりするためによく使用されます。 攻撃は対面、オンライン、またはその他の方法で発生する可能性があります。
ソーシャル エンジニアリングは、人々の考え方や行動に基づいた詐欺の一種です。 このため、ソーシャル エンジニアリング攻撃は、人の行動を変える優れた方法です。 攻撃者がユーザーの行動を理解すると、ユーザーをうまく騙して制御することができます。
さらに、ハッカーはユーザーの専門知識の欠如を利用しようとします。 テクノロジーの進歩は非常に速いため、多くの顧客や従業員はドライブバイダウンロードなどのリスクについて知りません。 また、電話番号などの個人情報がいかに重要であるかを理解していない人もいるかもしれません。 このため、多くのユーザーは自分自身と自分の情報を安全に保つ方法を知りません。
また、 オンライン ハッカー: 10 種類のハッカーとその危険性、およびどのような被害を与えるか
ソーシャル エンジニアリング攻撃
ソーシャル エンジニアリングを伴う攻撃はさまざまな形をとり、人々が会話するあらゆる場所で発生する可能性があります。 ここでは、ソーシャル エンジニアリング攻撃を受ける最も一般的な XNUMX つの方法を紹介します。
#1. 餌付け
おとり攻撃は、その名前が示すように、偽のオファーを使用して、人を貪欲にしたり好奇心を抱かせたりします。 人々は策略に騙されて、個人情報を盗んだり、コンピュータにマルウェアを仕込んだりする罠に陥ります。
マルウェアは実際のメディアを通じて拡散されますが、これは最も嫌われているタイプの餌付けです。 たとえば、攻撃者は、トイレ、エレベーター、標的となっている会社の駐車場など、潜在的な被害者が確実に目にする場所に、通常はマルウェアが保存されたフラッシュ ドライブであるおとりを置きます。 この餌は本物のようで、会社の給与リストであることを示すラベルなどが付いています。
人々は興味本位でこの餌を受け取り、それを職場や自宅のコンピュータに入れると、システムにマルウェアが自動的にインストールされます。
エサを使った詐欺は現実世界で起こる必要はありません。 オンラインでの餌付けは、見た目は良くても有害なサイトに誘導したり、マルウェアに感染したソフトウェアをダウンロードさせようとしたりする広告の形をとります。
#2. スケアウェア
スケアウェアはソーシャル エンジニアリング攻撃の一種です。 これには、人々に大量の誤った警告や偽の脅迫を送信することが含まれます。 ユーザーは自分のコンピュータがマルウェアに感染していると思い込まされ、(実行した人を除いて) 何も役に立たないソフトウェア、またはそれ自体がマルウェアであるソフトウェアを実行させられます。 スケアウェアは、詐欺ウェア、違法スキャナ ソフトウェア、詐欺ソフトウェアとも呼ばれます。
スケアウェアは、本物のように見えるポップアップ バナーの形で現れることが多く、「あなたのコンピュータは有害なスパイウェア プログラムに感染している可能性があります。」などと表示されます。 ツール (多くの場合、マルウェアに汚染されています) のインストールを提案されるか、コンピュータを感染させる悪意のあるサイトに誘導されます。
スケアウェアは、誤った警告を発したり、役に立たないサービスや有害なサービスを購入させようとするスパム メールを通じても拡散します。
#3. プリテキシング
プリテキスティングは、攻撃者が慎重に設計された一連の嘘を通じて情報を入手するときに発生するソーシャル エンジニアリング攻撃のもう XNUMX つの形式です。 通常、重要なタスクを完了するために被害者の機密情報が必要だと主張する人物が詐欺を開始します。
攻撃者は、同僚、法執行官、銀行家、税務職員、または知る権利のある個人になりすまして開始することがよくあります。 詐欺師は被害者の身元を確認するために必要と思われる質問をしますが、実際には重要な個人情報を入手するために使用されます。
この詐欺は、社会保障番号、個人の住所と電話番号、電話記録、従業員の休暇日、銀行記録、さらには実際のプラントのセキュリティに関する情報など、あらゆる種類の重要な情報と記録を収集します。
#4。 フィッシング
フィッシング詐欺は、人々に「すぐに行動する必要がある」「好奇心がある」「怖い」と思わせようとする電子メールやテキスト メッセージ キャンペーンです。 これは非常に一般的なタイプのソーシャル エンジニアリング攻撃です。 その後、ユーザーをだまして個人情報を提供したり、悪意のある Web サイトへのリンクをクリックさせたり、マルウェアを含む添付ファイルを開かせたりします。
一例としては、オンライン サービスのユーザーが、パスワードの変更など、すぐに何かを行う必要があるルールを破ったときに受信する電子メールが挙げられます。 本物とほぼ同じように見える偽の Web サイトへのリンクがあります。 この偽の Web サイトは、ユーザーに現在のログイン情報と新しいパスワードの入力を求めます。 フォームが送信されると、情報が攻撃者に送信されます。
フィッシング詐欺はすべてのユーザーに同じまたはほぼ同じメッセージを送信するため、脅威共有プラットフォームにアクセスできるメール サーバーがフィッシング詐欺を見つけて阻止することは非常に簡単です。
また、 サイバーセキュリティ コンサルタント: 概要と 2023 年のベスト プロバイダー
ソーシャル エンジニアリングから身を守る
ソーシャル エンジニアリング攻撃では、攻撃者は信頼を利用できる人々との関係を構築することで、データやサービスへのアクセスを試みます。 常に意識を保つことが防御の第一線です。 攻撃者は、あなたに尋問するような形で話しかけようとする可能性があります。 しかし、ソーシャル エンジニアリングから身を守る最善の方法は、誰が信頼できるかを知り、自分自身も信頼できる人間になることです。 あなたのアカウントにアクセスしたり変更したりできる人物を特定し、そうする正当な理由があることを確認する必要があります。 ソーシャル エンジニアリングから身を守る方法を次に示します。
#1. 不明な送信者 (電子メールとテキスト メッセージ)
送信者の電子メール アドレスとメッセージ自体をよく見てください。 怪しい文書へのリンクをクリックする必要はないことを知っておくことが重要です。
#2. 個人情報の共有を停止する
パスワードやクレジット カード番号などの個人情報を他人に教える前に、よく考えてください。 実在の企業や個人は、この種の個人情報を決して求めるべきではありません。 推測しにくいパスワードを使用し、頻繁に変更してください。 複数のアカウントで同じパスワードを使用すると、ソーシャル エンジニアリング攻撃の標的になる可能性があります。
#3. セキュリティの層
できる限り、XNUMX つの要素による検証を使用してください。 ユーザーにユーザー名、パスワード、携帯電話に送信されたコードの入力を求めることで、セキュリティをさらに強化できます。 電子メールと電話番号のセキュリティ コードを設定して、誰かがどちらかのシステムに侵入した場合でも、あなたのアカウントを直接使用できないようにします。
#4. ウイルス対策ソフト
所有するすべてのガジェットにウイルス対策ソフトウェアとマルウェア対策ソフトウェアをインストールします。 これらのプログラムを最新の状態に保って、最新の脅威から保護してください。 ただし、デバイスにウイルス対策ソフトウェアがロードされている場合は、ソーシャル エンジニアリングに対する優れた防御策となる可能性があります。
#5. あらゆるリスクに常に留意する
常にリスクについて考えるべきです。 情報提供の呼びかけが正しいことを XNUMX 回、場合によっては XNUMX 回確認してください。 最近の侵害により損害が発生した場合は、サイバーセキュリティのニュースに注意してください。
ソーシャルエンジニアリングの例
ニュースではソーシャル エンジニアリングの例がたくさんありますが、どのように機能するのかを理解するために、ここでは XNUMX つの例を紹介します。
#1. マリオットホテル
ソーシャル エンジニアリング手法を使用して、ハッカー グループがマリオット ホテルから 20 GB の個人データと財務データを盗みました。 ハッカーたちはマリオットホテルの従業員を捕まえて、その従業員のコンピュータへのアクセスを許可させた。
#2. 米国労働省 (DoL)
これは、Office 365 のログイン情報を盗むソーシャル エンジニアリング攻撃の例でした。この攻撃は、本物の DoL ドメインとまったく同じように見える偽のドメインを使用したスマート フィッシングによって行われました。 この電子メールは、政府の仕事に入札するよう求める国務省の上級職員からのもののように見えました。 従業員が「入札」ボタンをクリックすると、パスワードを盗むために使用される「フィッシング」サイトに誘導されました。
#3. Zoomユーザー
従業員を狙ったフィッシング作戦は少なくとも50,000万人に影響を与えた。 ソーシャル エンジニアは、解雇されるかもしれないという恐怖を利用して、従業員にリンクをクリックさせ、人事部との Zoom 会議を設定させました。 従業員がリンクをクリックすると、パスワードを盗むために設定された偽の Zoom ログイン ページに誘導されました。
#4. FACC(オーストリアの航空機メーカー)
FACC は、複雑なビジネス電子メール侵害 (BEC) 詐欺の結果、約 42 万ユーロの損失を被りました。 同社 CEO の電子メール アカウントがハッキングされ、送金の「緊急」リクエストの送信に使用されました。 このメールは買掛金担当者を騙し、その要求に同意してお金を犯人に送金しました。
#5. クラウドストライク コールバック
ソーシャル エンジニアリングは非常に強力なので、セキュリティ会社もその影響を感じています。 クラウドストライクは現在、ソーシャル エンジニアリング ゲームの一部および例として使用されています。 詐欺師は、Crowdstrike やその他のセキュリティ会社の信頼できる名前を使用して、従業員にフィッシングメールを送信しています。 このメールには、マルウェア攻撃の可能性に関する情報と、インストールされているマルウェアを削除するための電話番号が記載されています。 この番号に達すると、従業員はだまされて攻撃者に自分のコンピュータへのアクセスを許可します。
まとめ
ソーシャル エンジニアリングの脅威から身を守るには、自分自身を守る方法を学ぶ必要があります。 世界中で長い間使用されてきた、実証済みの手法とソーシャル エンジニアリング攻撃の例についてはすでに説明しましたので、すぐに対策を講じるようにしてください。 ソーシャル エンジニアリング攻撃は、ほんの数秒で人のキャリアに損害を与える可能性があります。 デバイス、パスワード、その他のログインを保護するために、常に XNUMX つのセットアップ ログイン確認コードを使用してください。 これももう一つの安全対策です。
サイバーにおけるソーシャル エンジニアリングとは何ですか?
これは、誰かを騙して情報を提供させたり、すべきでないことをさせたりするために使用されるすべての手法を指す用語です。
最も一般的なソーシャル エンジニアリングとは何ですか?
最も一般的な攻撃は次のとおりです。
- フィッシングによる攻撃。
- 集中的なハッキング。
- 捕鯨。
- スミッシングとビッシングの両方。
- 餌付け。
- おんぶ/共連れ。
- プリテキスティング。
- (BEC) ビジネス電子メール侵害
ソーシャルエンジニアリングが最大の脅威?
ソーシャル エンジニアリングは、人間との接触に大きく依存した攻撃の一種で、通常は人々をだまして通常のセキュリティ手順やベスト プラクティスを破らせ、システム、ネットワーク、物理的な場所に違法にアクセスしたり、金銭を獲得したりすることが含まれます。
ソーシャル エンジニアリングのターゲットになる可能性が最も高いのは誰ですか?
ソーシャル エンジニアリング攻撃のターゲットとなるのは、裕福な人、有名人、または高い地位にある人です。 犯罪者は、大きな権力とアクセス権を持つ人々を狙います。
ソーシャル エンジニアリングに対する最善の防御策は何ですか?
ソーシャル エンジニアリング攻撃を阻止する最善の方法は、企業で働く従業員を訓練し、教育することだと人々は考えています。
ソーシャル エンジニアリングは別名何ですか?
ソーシャル エンジニアリングは、テクノロジーやデジタル システムの脆弱性ではなく、人間の脆弱性をターゲットにするため、「ヒューマン ハッキング」とも呼ばれます。 これは、主なターゲットが脆弱な個人であるという事実によるものです。
参考文献
関連記事
