フィッシングはハッキングの歴史の中で最も早く進化したものの一つです。様々なタイプのフィッシング攻撃がインターネット上で瞬く間に広がりました。その進化は以下の通りです。
アメリカ・オンライン(AOL)は1990年代初頭にフィッシングの概念を提唱しました。
一致すると、フィッシャーはこのデータにアクセスして操作します。
AOLがこの詐欺に気づいた1995年以降には、フィッシャーはすでに新しいテクノロジーに移行していました。
次世代のフィッシャーは、より高度で技術に精通していました。
彼らは、よりコストがかからず、作成と追跡が容易なフィッシングの手段を選んだのです:メールフィッシング。
しかし2003年、あるアイデアがフィッシングの世界を変えました。
フィッシャーは、yahoo-info.com やmanager-apple.com のような有名なドメインに似ているドメインを購入し始めました。
これらのドメインを使って、洗練されたダイレクト・メールを送信しました。
同年、Paypalは、ユーザーに認証情報の確認を求めるフィッシングメールを受け取り、アカウントが危険にさらされました。
以前は、フィッシングは主に2つの手段で行われていました:メールフィッシング とドメインスプーフィング です。
時が経つにつれ、詐欺師は攻撃を仕掛けるために新しいタイプのフィッシングを考案しました。この記事では、様々なタイプのフィッシング攻撃の完全な概要を説明します。
フィッシングとは、詐欺師が既知の個人、ビジネスパートナー、サービスプロバイダーになりすまし、悪意のある電子メールを個人や組織の大量ユーザーに送信するサイバー犯罪です。
フィッシング:フィッシングの "f "を "ph "に置き換えたもの。
これらのメールは、あなたが何の疑いも持たずに開封するように注意深く作られています。
この種のフィッシング攻撃は、攻撃者がシステムに侵入し、銀行口座情報、クレジットカード番号、社会保障番号、パスワードなどの機密データにアクセスするための扉を開くものです。
情報を入手すると、フィッシャーはすぐにその情報を悪用する人々に送ったり売ったりします。
フィッシングは情報を失うだけでなく、被害者のコンピューターや携帯電話にウイルスを注入することもあります。
一度感染すると、フィッシャーはデバイスをコントロールできるようになり、そのデバイスを通じてサーバーに接続している他の人々に電子メールやメッセージを送信できるようになります。
フィッシング・チャネルに基づき、フィッシング攻撃のタイプは以下のカテゴリーに分類されます:
ビッシングとは、電話を使ったフィッシングのこと。このフィッシングには音声が使われるため、vishing → voice + phishing = vishing と呼ばれています。
ソーシャル・ネットワークで入手できるデータの手軽さと膨大さを考えれば、フィッシング詐欺師が友人や親戚、あるいは関連ブランドの名前を騙って、何の疑いも持たずに自信満々に電話をかけてくるのは当然のことです。
SMSフィッシングまたはSMiShingは、最も簡単なタイプのフィッシング攻撃の1つです。
SMSアラートを使用することで、ユーザーをターゲットにします。
SMiShingでは、ユーザーが偽のDMや偽の注文詳細を受け取ることがあります。このリンクは、実際には個人情報を収集するための偽のページです。
サーチエンジンフィッシングとは、特定のキーワードを狙った偽のウェブページを作成し、検索者がその偽のウェブページにたどり着くのを待つフィッシングの一種です。
検索者は、一度リンクをクリックすると、手遅れになるまで、そのページが罠にはまったことに気づきません。
何百万人という見知らぬユーザーにメールを送信する従来のフィッシングとは異なり、スピアフィッシングは一般的に標的型であり、メールは特定のユーザーをターゲットに慎重にデザインされています。
このような攻撃は、フィッシング詐欺師がソーシャルメディアのプロフィールや企業のウェブサイトを通じて、ユーザーやその組織に関する社会的プロフィールを完全に調査するため、リスクが高くなります。
様々なタイプのフィッシング攻撃の中で、スピアフィッシングは最も一般的に使用されているタイプのフィッシング攻撃 です。
ホエーリングはスピアフィッシングと大きな違いはありませんが、このタイプのフィッシング攻撃ではターゲットとなるグループがより特定され、限定されます。
この手口は、CEO、CFO、COOなどのC-suiteポスト、あるいはその他の上級管理職、一般的にフィッシング用語で "クジラ "として知られる、あらゆる組織の情報チェーンにおける重要人物と見なされる人物を狙います。
テクノロジー、バンキング、ヘルスケアはフィッシング攻撃の最も標的となる分野です。その主な理由は、ユーザー数が多いことと、データへの依存度が高いことの2つです。
主要なタイプのフィッシング攻撃を阻止するために取るべきいくつかの基本的な手順は以下の通りです: 。
1.メールネットワークに複数の防御レベルを設定します。
2.どのようなフィッシング攻撃も、標的にされた被害者がリンクをクリックした場合にのみ成功します。従って、フィッシング攻撃を防ぐには、従業員や他のユーザーに対して、ネットワークにおけるフィッシング攻撃の種類についての認識を高め、教育することが最善の方法です。
APWGレポート によると、2017年10月から2018年3月までのユニークなフィッシングサイトの数は73.80% に達していました。
また、報告されたフィッシング事件の48.60% が「.COM」ドメインを使用していました。
衝撃的でしょう?
私たちは、私たちが利用するドメインやウェブサイトは安全だと思い込んでいますが、ハッカーは、なりすましドメインやクローンウェブサイトを使って、さまざまなタイプのフィッシング攻撃を仕掛けてきます。
詐欺師は、ソーシャル・エンジニアリングを利用して、潜在的な被害者のオンライン上での行動や嗜好を把握します。
これは、彼らが巧妙な攻撃を仕掛けるのに役立ちます。
上司になりすましてメールを送り、重要なデータを要求すること、
組織になりすまし、従業員に内部データの共有を求める行為。
メールでは、リンクをクリックしてログインし、ドキュメントを閲覧するよう呼びかけています。
企業名とアクションの緊急性を見ただけで、一部のユーザーはリンクをクリックするかもしれません。
他のタイプのフィッシング攻撃と比較して、Eメールスプーフィングはターゲットが絞られており、構造も発達しています:
「誰をターゲットにするか?コンテンツはどうすべきか?そして、どのアクションがコンバージョンの確率が高いのか?"
このような詳細が記載されたメールは、開封されたりフィッシングされたりする可能性が高くなります。
メールフィッシングを防ぐには これらの攻撃を防ぐ最善の方法は、送信者のメールアドレスを注意深く読むことです。メールアドレスの文字がよくわからない場合は、コピーしてメモ帳に貼り付け、数字や特殊文字が使われていないかチェックしましょう。また、Gmail やで設定することもできます。
集団フィッシング攻撃は、ブランドの嗜好、人口統計、選択に基づいて、何らかの共通の関心を持つ人々のグループに送信される電子メールです。
集団フィッシング攻撃では、潜在的な被害者に送信されるメールは、領収書、支払督促、ギフトカードなどの取引メールのクローンです。
フィッシング詐欺師が大量攻撃の武器としてブランドを利用するのは、そのブランドが標的となる被害者の間で多くの信頼を得ているからです。
集団フィッシングを防ぐには? 受信したメールの「宛先」欄や「cc」欄に自分がマークされているかどうかを確認しましょう。宛先が不明なメールに返信するのは避けましょう。
URLフィッシング攻撃では、詐欺師はフィッシング・ページのURLを使ってターゲットに感染させます。
これは開封率が高いからです:
見知らぬ人から送られてきたリンクをクリックするほど、人々は「社交的」なのです、
DMリンクやEメール通知など、友達申請やメッセージを受け付ける準備が整っています。
フィッシングの餌で人を引っかける一つの方法は、隠れたリンクを使うことです。私たちは皆、"CLICK HERE"(ここをクリック)、"DOWNLOAD NOW"(今すぐダウンロード)、"SUBSCRIBE"(購読する)というアクションフレーズのメールを受け取ったことがあります。
これらは、詐欺師がフィッシング攻撃を仕掛けやすくする隠しリンクの例です。
上記の例では、フィッシャーは「Wells Fargo」の名前で電子メールを送信し、顧客に隠されたコールトゥアクションのリンクをクリックしてサービスオファーを確認するよう求めていました:「ここをクリック" - 攻撃者のページに直接つながります。
フィッシングリンクを隠すもう一つの方法は、TinyURLのようなリンク短縮ツールを使ってURLを短くし、本物らしく見せることです。
フィッシャーは、小さなURLの代わりに、スペルミスのURLも使用します。
ハッカーは、人気のあるウェブサイトに似たドメインを購入します。
その後、同一のウェブサイトを作成し、個人情報を送信してログインするようユーザーに求めます。
同形異義語攻撃は、誤読されやすい類似した単語、文字、またはその組み合わせを使用します。
これがその例です。
この例では、オファーは本物だと思うかもしれませんが、リンクをクリックすると、「amazon.com」ではなく、攻撃者のものである「arn azon.com」にリダイレクトされます。
攻撃者のサイトにアクセスすると、偽のページにログイン情報やクレジットカード情報などの個人を特定できる情報を入力するよう促されます。
添付のリンクにカーソルを合わせてください。完全なリンクがノートパソコンの画面に表示されます。リンクが異なっていたり、偽物と思われる場合は、クリックしないでください !モバイルデバイスの場合は、リンクの上にカーソルを置くと、添付されたリンクがポップアップウィンドウとして表示され、アクション可能なオプションが表示されます。
この種のフィッシング詐欺は、技術的な知識のない人をターゲットにしています。
詐欺師は、ドメインとサブドメインの違いを理解していないことを悪用し、フィッシング攻撃を仕掛けてきます。
あなたが所属する組織www.organizationname.com または同僚のメールIDcolleaguename@gmail.com. からメールを受け取ったとします。
メールには、緊急レポートを作成するため、指定されたリンクwww.organizationname.support.com をクリックし、データにアクセスするためにログインするよう指示されています。
どうしますか?
リンクをクリックすると、あなたの認証情報が危険にさらされることになります!
以下はその例です。
送信者のドメインが「linkedin.example.com」であることがわかります。これは、example ドメインの下にlinkedin というサブドメインがあることを意味します。
誰でも有名なドメインをサブドメインとして使えるからです。
ほとんどの人は、ドメインとサブドメインの違いを知らないかもしれません。
未知の送信者からの添付リンクをクリックする前に、ドメイン名をよく読んでください。 そして、ドメイン名は常に右から左へ読む ことを忘れないでください。
5.ポップアップメッセージセッション内フィッシング
ポップアップ・メッセージは、フィッシング・キャンペーンを成功させる最も簡単な方法です。
攻撃者は、ポップアップメッセージを通じて、偽のウェブサイトにリダイレクトさせることで、ログイン認証情報を盗むためのウィンドウを取得します。このフィッシングのテクニックは、"セッション内フィッシング "とも呼ばれています。
以下のポップアップウィンドウをご覧ください。
この例では、前景のポップアップが顧客を惑わすのに十分合法的に見えませんか?
現在のところ、ブラウザの拡張機能やさまざまなアプリストアの設定で利用できるポップアップブロッカーが唯一の予防策です。もしあなたのデータが非常に重要なものであるならば、あらゆる種類のデータセキュリティ侵害を防ぐために、これらの脅威を一発でブロックするセキュリティソフトウェアを選ぶべきです。
フィッシング詐欺師は、特定のキーワードに最適化した有料キャンペーンを実施し、フィッシング詐欺を仕掛けます。
これは完全に合法的に見えるよく練られた攻撃です。
フィッシャーは、「限定オファー」を餌に偽のウェブサイトを作成します!
このような偽サイトに出くわすと、ユーザーは騙されて情報を共有し、オファーを要求します。
下の例 では、広告に「フルバージョン&100%無料! 」と書かれています。
同様の例 を以下に示します。「ブロックチェーン」の検索結果では、偽のウェブページが検索結果のトップに表示されています。
この例では、何のオファーも述べていませんが、「公式サイト」 であると主張することで、ユーザーの信頼を狙います。
SEOフィッシングを防ぐには 検索エンジンからの攻撃を避ける最善の方法は、有料検索結果のセクションに表示される広告を避けることです。また、URLがわかっている場合は、可能な限りそのURLを入力するようにしてください。
ウェブサイトのなりすましは、電子メールのなりすましと似ていますが、攻撃者がより多くの労力を費やす必要があります。
フィッシャーは、正規のウェブサイトのデザイン、コンテンツ、ユーザーインターフェイスをコピーしてウェブサイトを公開します。
また、一部の詐欺師はURL短縮ツールを使って、偽サイトに似たURLを作成します。
以下は、バンク・オブ・アメリカのウェブサイトを模倣したウェブサイト偽装攻撃の例です:
どこからかリンクをコピー&ペーストするのではなく、自分でリンク全体を入力するのが常にベストプラクティスです。
Webサイトのなりすまし攻撃を防ぐには SysCloudのPhishing Protectionのようなサードパーティ製のツールは、あらゆる種類のなりすまし攻撃から可能な限り最高のセキュリティを提供します。そのサービスの一環として、疑わしいウェブサイトはすべてブロックされるだけでなく、ユーザーにも報告されます。
スクリプティングまたはクロスサイト・スクリプティング(XSS)は、電子メールを媒体として被害者のコンピュータや携帯電話に悪意のあるスクリプトを展開します。
ほとんどのウェブページはJavaScriptを使ってスクリプト化されているため、ハッカーがスクリプト攻撃を仕掛けるのは簡単です。
ハッカーは、ソーシャル・エンジニアリング によって特定された、定期的に訪問している正規のウェブサイトのスクリプトに感染させ、フィッシング・ページにリダイレクトさせます。
ブラウザがフィッシング・ページを読み込むと、悪意のあるスクリプトが実行され、被害者が気づかないうちに攻撃が行われます。
Googleで「色」を検索したときの通常のスクリプトの動作を示します。
これは、Google検索エンジンが返すページに検索パラメータ「q」の値が挿入されることを意味します。
例えば、詐欺師が、このURLがブラウザに読み込まれたときの動作を変更するスクリプトを作成したとしましょう。
ブラウザはGoogleの検索結果ページを実行します。
このスクリプトを使用すると、「colors」の検索結果を表示するフラグメントが以下のように変わります:
このページをロードすると、ブラウザは XSSphish_script() を実行します。
XSS保護機能 を内蔵したブラウザを使用してください。
ブラウザとセキュリティ・アプリケーションの最新バージョンのチェック
NoScript」のようなブラウザのアドオンを使って、スクリプトの許可を許可するか拒否するかを選択できます。
ハッカーは、取引、会話、その他のデータなどの機密情報にアクセスするために、双方になりすまします。
MITMは2つの主要なスプーフィング実行テクニックを使用します:ARPスプーフィングとDNSスプーフィングです。
1. ARPスプーフィング:ARP スプーフィングとは、悪意のある行為者がローカルエリアネットワーク上で偽の ARP (アドレス解決プロトコル) メッセージを送信する攻撃です。これにより、攻撃者の MAC (マシンアドレス) アドレスがネットワーク上の正当なコンピューターやサーバーの IP アドレスにリンクされます。
2. DNSスプーフィング:ドメインネームシステム(DNS)スプーフィングまたはDNSキャッシュポイズニングは、リゾルバキャッシュ内のDNSデータを破損し、ネームサーバが不正な結果レコードを返すようにするハッキングの一形態です。
考えられるMITM攻撃のシナリオを以下に示します:
MiTMフィッシング攻撃を防ぐには? 中間者攻撃を防ぐ唯一の方法は、オンラインデータを暗号化すること です。S/MIME暗号化を使用することで、サイバー犯罪者による悪用からデータを保護することができます。また、サードパーティツール を使用してデータを暗号化することもできます。
クローンフィッシング攻撃では、リンクや添付ファイルを含む以前に送信されたメールが、ほぼ同じ、またはクローンメールを作成するための真のコピーとして使用されます。
詐欺師は、メール内のリンクや添付ファイルを悪意のあるリンクや添付ファイルに置き換えます。
クローン化されたメールは、被害者の受信トレイから連絡先に転送されます。
クローンメールの受信者は、それを正当なメールと思い込み、悪意のあるリンクをクリックします。
クローンフィッシング攻撃が有害であるのには大きな理由があります:被害者はそのメールを決して 疑うことはありません。
メール内のリンクにカーソルを合わせると、クリックする前にランディングページが表示されます。
Eメールとその送信元と思われる組織を追跡調査してください。
あなたの興味に応じた画像を含む電子メールを受信している場合は、注意してください!
フィッシング攻撃の可能性があります。
攻撃者は、画像やその他のメディア形式を使用して、バッチファイルやウイルスを配信します。
メールにフィッシング画像を埋め込む方法は2つあります:
1. 画像をURLに直接リンクし、大量メール攻撃として被害者に送信します。
2. エンコードされた画像(.jpeg)や、曲(.mp3)、ビデオ(.mp4)、GIFファイル(.gif)などのメディアファイルを使用します。このタイプの攻撃では、ハッカーはバッチファイル(.bat)やウイルスを画像に埋め込み、被害者に添付ファイルとして送信します。
被害者が画像をダウンロードすると、バッチファイル(ウイルス)がダウンロードされ、パソコンや携帯電話に感染します。
Kaspersky Lab は、以下の画像に示すように、PNG(Portable Network Graphics)フィッシングに関するレポートを発表しました。
この攻撃により、ユーザーは悪意のあるJava ARchive (JAR)をダウンロードさせられ、ウイルスもダウンロードされました。
ボイスフィッシングまたはヴィッシング攻撃では、メッセージは潜在的な被害者に口頭で伝えられます。
テクノロジーを使わないとはいえ、これは最も巧妙なフィッシングのひとつです!
BBC が報じた、エマ・ワトソン(実業家)が(詐欺)銀行アラートの名目で騙された詐欺事件。
エマ・ワトソンが銀行から電話を受け、彼女の口座で異常な取引が確認されたとのこと。
お金を守るために、彼女は新しく作った口座に全額を振り込むよう要求されました。
彼らはとてもプロフェッショナルで、私の名前を知っていて、私の名前で話しかけてくれたので、彼らを疑うことはありませんでした。
「彼らは銀行に連絡用に与えられた固定電話の番号に電話をかけてきました。また、彼らは銀行用語を使いました。
エマは、彼女に伝えられた口座に10万ポンドを送金していました。
音声フィッシング攻撃を防ぐには これらの攻撃からのセキュリティと予防は、完全に被害者に依存しています。もし被害者がそのような攻撃に気づき、そのような電話に対して行動すべきかどうかを知っていれば、それを防ぐことができます。
CEO詐欺(ビジネスメールの漏洩)は、サイバー詐欺師が従業員を騙して不正送金を実行させたり、機密情報を開示させたりする捕鯨攻撃の一部です。
2016年4月4日、 FBIはこれらのCEO詐欺に対して警告を発し、"確認された被害者と暴露された損失は270%増加 している "と述べました。被害総額は約23億ドルで、平均被害額は約5万ドルでした。
セキュリティ勧告のレポートによると、詐欺師の70%以上がCEOになりすまし、残りはCFOとCOOの署名で構成されています。
CEO詐欺やBEC攻撃は、より高いリスクをもたらすだけでなく、より高いレベルで組織に損害を与えます。
これらの損害の一部を以下に挙げます:
CEO詐欺を防ぐには このような詐欺を避ける唯一の方法は、送信者の詳細を確認し、人力で身元を確認するか、組織でフィッシング対策用のサードパーティ・ソリューションを有効にすることです。
電子メールを通じてシステムやネットワークにマルウェアを注入するのは、フィッシングの一般的な形態です。
通常、マルウェア攻撃の目的は以下のとおりです:
1. ユーザーのコンピュータやオンラインセッションを乗っ取ること、
トロイの木馬はマルウェアの一種で、攻撃者が知らないうちにコンピュータに侵入するためのデジタルバックドアを作成します。
彼らはあなたの個人情報(SSNや個人ファイルなど)を盗んだり、ビジネスの詳細を盗んだり、あなたのコンピュータが永久に動かなくなったりする可能性があります。
攻撃者は、ハッキングされたデバイスをプロキシとして使用し、身元を隠したり、大量のフィッシング攻撃のためにスパムを送信したりすることができます。
「Zeus」は、攻撃者が数十の米国企業アカウントから約300万ドルを盗むのに役立ったトロイの木馬でした!
ウイルスとは、デバイスに侵入して機密データを取得するために使用される悪意のあるコードの集合です。
ほとんどの場合、ウイルスは.exe ファイルに添付され、コンピュータやラップトップに感染します。
悪意のある.exeファイルを開いた瞬間、あなたのマシンは破壊されます。
ウイルスと同様に、ワームは自分自身を複製することによってコンピュータに影響を与えます。
ワームはフィッシングの中でも最も危険なタイプの1つで、コピーを作るのに人間の介入を必要としないからです!
システムの脆弱性を利用して、あるデバイスから別のデバイスに感染するため、通常のウイルス攻撃よりも危険です。
ランサムウェアは、コンピュータのファイルを暗号化してロックし、復号化コードの代金を支払うまで人質にします。
WannaCry は、ユーザー側でデータを暗号化しロックすることで、150カ国にわたる20万台以上のコンピュータに影響を与えた暗号ワーム型ランサムウェアでした。この攻撃による推定損失額は40億ドルでした。
ランサムウェアから Gmail を保護する方法については、ここをクリック してください。
スパイウェアとは、被害者の行動を一定期間監視するマルウェアの一種です。このマルウェアの目的は、ハッカーに長期的な利益をもたらすことです。
様々なタイプのフィッシングに使用されるスパイウェアの種類:
システム スパイ : Web 検索、ホームページ、その他の Internet Explorer の設定のいずれかをハイジャックします。(例) CoolWebSearch (CWS)
アドウェア :ウェブサーフィンの履歴に基づいて広告を表示します。(例) Gator (GAIN)
キーストック :パスワードや詳細などのキー入力をモニターし、スクリーンショットを撮りましょう。(例)高度なキーロガー
マルウェアフィッシングを防ぐには? 最新のマルウェア対策やウイルス対策を使用することが最善の方法です。また、最新のブラウザは、この種のフィッシング攻撃から身を守るための追加のセキュリティ層として機能します。
私たちの誰もが知っているように、学ぶ最善の方法は、それを実行することです。
したがって、フィッシングの手口をより深く理解するために、あなたのチーム、友人、同僚、家族などを対象にフィッシング・テスト・キャンペーンを実施してください。
