あらゆる種類のフィッシング攻撃

公開: 2022-07-27

フィッシングは、今日の企業が直面する最も一般的なサイバー脅威の 1 つです。

非常に一般的であるため、多くの人がフィッシングとは何か、またフィッシング攻撃のさまざまなバリエーションが存在することを正確に認識していないことは驚くべきことです。

フィッシングが何であるかを知っている人でさえ、まだ捕まっています。 最近の 2021 年のレポートによると、昨年、組織の 80% 以上がフィッシング攻撃の犠牲になりました。

これが、Data Connect のチームがこの役立つガイドを使用して、さまざまな種類のフィッシング攻撃に対する認識を高めるのに役立っている理由です。

以下にリストされているのは、最も一般的なタイプのほんの一部です。

フィッシング攻撃の影響

Google フィッシング クイズ
画像:グーグル

組織は、フィッシング攻撃の犠牲になった後、多くの結果に対処しなければなりません。

サイバー攻撃が年々増加し、アプローチがはるかに複雑になっているため、組織のメンバーは、サイバー セキュリティだけでなく、会社全体に対するフィッシング攻撃のリスクと影響を認識する必要があります。

Tessian のデータによると、フィッシング攻撃の最も一般的な結果は次のとおりです。

  • データの損失
  • 認証情報やアカウントの侵害
  • ランサムウェアに感染した組織
  • マルウェア感染
  • 金銭的損失

フィッシング攻撃は、組織が克服しなければならない複雑なシナリオを作成するだけでなく、企業を罰金、混乱、ビジネスの損失、および収入のリスクにさらします。

さらに、攻撃によって引き起こされた損害を修復するためのコストは、多くの場合、非常に高くつく可能性があります。 したがって、フィッシング攻撃を理解し、そのさまざまな種類に注意することが重要です。

ここでは、サイバー犯罪者が今年最もよく使用する 6 つのフィッシング手法を紹介します。

メールフィッシング

Gmail のロゴ
画像:ノウテック

フィッシングの最も一般的で多作なスタイルは、電子メール フィッシングです。 フィッシング攻撃について少しでも知っていれば、メールを介した攻撃に遭遇することは間違いありません。

攻撃は、悪意のある電子メールが個人に送信されたときに発生し、多くの場合、本物の組織になりすました。

リンクをクリックするだけで、サイバー犯罪者はデバイスをマルウェアに感染させたり、さらに操作して個人情報を漏らしたりできます。

シスコの最近のサイバーセキュリティ レポートでは、2021 年に組織の約 86% で少なくとも 1 人がフィッシング リンクをクリックしたことがわかりました。これらの攻撃が実際にどれほど蔓延しているか、およびそれらがもたらすリスクを示しています。

スピアフィッシング

スピア フィッシングは、サイバー犯罪者が一般的な大規模なユーザー ベースではなく、個人を標的とするタイプのフィッシング攻撃を表すために使用される用語です。

「成功」率に関しては、これらの攻撃は正当なコンテンツのなりすまし (本物の電子メールを模倣する) が原因で機能します。

電子メールには、受信者の名前と、役割、電話番号、その他の詳細などの特定の詳細を含めて、可能な限り信頼できるようにすることができます。

また、個人が関与していることを攻撃者が知っている信頼できるブランドを含めることもできます。 これは、人々が毎年フィッシング詐欺の被害に遭う最も一般的な理由の 1 つです。

捕鯨

ホエーリングは特定のタイプのフィッシング攻撃であり、組織の CEO や取締役など、上級レベルの個人を標的にするために使用されます。

攻撃の犯人は、偽の電子メールで個人をだまし、資格情報にアクセスしたり、マシンにマルウェアをインストールしたり、送金を強要したりします.

取締役は、企業内での権限と、より機密性の高い情報にアクセスできる可能性があるため、標的にされることがよくあります。

この例として、組織内の他のユーザーに電子メールを送信して、信頼を獲得し、会社のデータにさらにアクセスすることが挙げられます。

スミッシングとビッシング

スミッシング攻撃の例
画像:ノウテック

これらは、電子メールから離れて、別の通信形式を使用するフィッシング攻撃の 2 つのスタイルです。

スミッシングとは、テキスト メッセージを送信して被害者をおびき寄せる SMS フィッシングのことです。

多くの場合、犯罪者は正当な企業になりすまし、緊急性を要求するなどのソーシャル エンジニアリング手法を使用して被害者を操作して関与させます。

Tessian によると、従業員の 56% が詐欺のテキスト メッセージを受け取り、32% が要求に応じました。

多くの場合、これらのテキストは、受信者が次のようないくつかの手順のいずれかを完了するように促します。

  • 詐欺サイトへのリンクを開く
  • 人に連絡する
  • 添付ファイルまたはアプリケーションのダウンロード

統計によると、このスタイルのフィッシング攻撃が増加しており、2019 年から 2020 年の間に受信したスミッシング テキストの数はほぼ 3 倍になっています。

犯罪者が脆弱な人々を標的にするために進行中の状況を利用した COVID-19 パンデミックの結果として、詐欺的なテキスト メッセージを受信した可能性があります。

ビッシングは「ボイス フィッシング」の略で、被害者に機密情報の共有を強要するために電話で配信されます。 ほとんどの人は、この種のフィッシングについてすでに認識しています。

これは、攻撃がより巧妙になり、多くの場合、攻撃の最初の段階ではないことを意味します (最初に被害者またはビジネスを調査するなど)。

ソーシャル メディア フィッシング

画像:bandt.com.au

ソーシャル メディア フィッシングは、その名の通り、ソーシャル メディア プラットフォームを介して実行される攻撃です。 これには、Facebook、Twitter、LinkedIn、Instagram などの人気のあるプラットフォームが含まれます。

通常、これはソーシャル メディア アカウントを制御するために使用されますが、企業の場合、この方法により、悪意のあるアクターが個々の従業員のプロファイルを介してデータや資格情報を取得することもできます。

LinkedIn を使用することで、犯罪者はこのような攻撃を実行するために必要な情報をさらに簡単に見つけることができます。

自分自身と組織をフィッシング攻撃から保護するには、次のような重要な手順を実行する必要があります。

  • フィッシング シミュレーションとトレーニングを使用して、フィッシング メールを認識できるようにチームをトレーニングします。
  • 従業員がセキュリティに関する質問をしたり、疑わしいアクティビティやエラーを報告したりすることを歓迎されていると感じる文化を作るのに役立ちます
  • 管理者へのアクセスを、その役割に必要な人だけに制限することで、マルウェアによる損害の量を制限します
  • すべてのアカウントに多要素認証 (MFA) を使用する

これについて何か考えはありますか? 以下のコメント欄でお知らせいただくか、Twitter または Facebook で議論を進めてください。

編集者の推奨事項:

  • OpenSea は、電子メール漏洩後の NFT フィッシングの試みについてユーザーに警告します
  • スモール ビジネスをフィッシング攻撃から保護する
  • 防御するフィッシング攻撃の種類
  • フィッシング対策ソリューション – 必要ですか?