フィッシング攻撃は毎日のように起こっています。企業から消費者にいたるまで、フィッシング攻撃は年々広がり、さらに危険なオンラインの脅威となっています。サイバー詐欺師が貴重な個人情報にアクセスするために使用している最新のテクニックを認識していないと、1 回誤ってクリックするだけで悪夢が起こる可能性があります。
フィッシング攻撃は、戦術的なサイバー犯罪者が、信頼できるソースから来たと見受けられる、偽の電子メールで被害者を罠にかけるために使用します。攻撃者の目標は、ユーザーが添付ファイルを開いたり、悪意のあるリンクをクリックしたり、個人情報を提供したりするよう誘惑することです。このような偽の電子メールは、驚くほど洗練され本物そっくりになっています。この詐欺は、銀行からの問い合わせや、一見正式に見える政府機関、さらには有名ブランドからの電子メール (毎月サブスクリプション料金を支払っている利用しているサービスなど) の形式で出現します。
罠にはまった場合、悪意のある Web サイトに誘導され、アカウント ログイン情報やクレジットカード番号、最悪の場合には社会保障番号の入力を求められます。フィッシング攻撃の最終目標は、単に個人情報を盗むことです。
2017 年前半のウェブルートによる四半期の脅威トレンド レポートでは、毎日 46,000 件の新しいフィッシング サイトが開設されており、サイバーセキュリティ侵害の最大の原因となっています。ハッカーが新しいフィッシング戦術を開発するに従い、従来の検出方法はすぐに時代遅れとなります。
検出を回避するために犯罪者が最も頻繁に用いる手法は、ライブとなっている時間が短時間の攻撃です。四半期の脅威トレンド レポートはまた、インターネット上でライブとなっているのが 4~8 時間のみのフィッシング サイトが継続的に増加していることが報告されています。ブラックリストなど、従来のフィッシング対策手法では 3~5 日の遅れがあるため、短時間の攻撃は検出が困難です。つまり、リストに現れたときにはすでにサイトが`削除されています。
おそらくすでにご存じのように、フィッシングを回避するには、疑わしいリンクや不明な電子メールをクリックしないことが重要です。しかし、フィッシングの手法がますます高度になるなか、どうすれば最も効果的に攻撃を認識して回避できるでしょうか。
あまり知られていないフィッシングの認識方法
ウェブルートでは、以下に絶えず注意を払うことを推奨しています。
- 電子メールまたはインスタントメッセージを介した機密情報のリクエスト
- 脅しの戦術を用いた、または緊急の対応を要請する電子メール
- 個人的なメッセージや挨拶の欠如。銀行やクレジットカード会社からの正式な電子メールには、多くの場合、パーソナライズされた挨拶や口座番号の一部、ユーザー名、パスワードが含まれています。
- 誤字・脱字、およびスペルや文法の間違い。受信した電子メールに疑わしい点がある場合は、会社に電話する。
- URL にスペルミスがある、または通常のドメインの前に何かが付いた URL (phishingsite.webroot.com など) の Web サイトへ移動するようにとの指示。
サイバー犯罪者に先手を打つ
受信トレイに疑わしい電子メールがある場合に実行できることがいくつかあります。
- 別のコミュニケーション チャネルを通じて (カスタマー サポートの電話番号または電子メール アドレスを調べるなど) そのサービスまたはブランドに直接連絡し、電子メールの内容が正当なものかどうかを問い合わせる。
- その電子メールが、本当に記載された送信元からのものであるという確信がない限り、個人を特定できる情報 (PII) を電子送信しない。
- 電子メールに記載されたリンクをクリックした場合は、情報を送信する前にサイトのセキュリティを確認する。サイトの URL が「https」で始まり、アドレス バーの近くに鍵のかかった錠前のアイコンがあることを確認する。また、サイトのセキュリティ証明書も確認する。
Recent Comments