よりマクロなレベルでは、行動心理学に関連するあらゆる行為はソーシャル エンジニアリングとみなされる可能性があります。ただし、この概念は必ずしも犯罪や詐欺行為に関連しているわけではありません。実際、ソーシャル エンジニアリングは社会科学、心理学、マーケティングなどの分野で広く使用され、研究されています。
サイバーセキュリティに関して言えば、ソーシャル エンジニアリングとは、後で会社の個人情報や機密情報を盗むために使用される可能性のある個人識別情報を盗むなど、下心で人々を悪い行動に誘導しようとする一連の悪意のある活動を指します。この種の攻撃の一般的な結果として ID 詐欺が発生し、多くの場合、重大な経済的損失が発生します。
ソーシャル エンジニアリングはサイバー脅威として考えられることが多いですが、この概念は古くから存在しており、この用語は監査人や IT 専門家になりすました現実世界の詐欺にも関連付けられることがあります。しかし、インターネットの出現により、ハッカーがより広範な規模で操作攻撃を実行することが容易になり、残念なことに、これらの悪意のある活動は暗号通貨の分野でも発生しています。
どのように機能するのでしょうか?
あらゆる種類のソーシャル エンジニアリングは、人間の心理の弱点に依存しています。詐欺師は感情を利用して被害者を操作し、騙します。彼らは人々の恐怖、貪欲、好奇心、そして他者を助けようとする意欲さえも食い物にします。さまざまな悪意のあるソーシャル エンジニアリング行為の中で、フィッシングは最も一般的でよく知られているケースの 1 つです。
フィッシング
フィッシング メールは、多くの場合、国立銀行、チェーン ストア、評判の良いオンライン ストア、メール プロバイダーなどの正規の企業からのメールを模倣します。場合によっては、これらの詐欺メールは、アカウントを更新する必要があるか、異常なアクティビティが発生したことをユーザーに警告し、身元を確認してアカウントを管理するために個人情報の提供を求めます。恐怖から、一部のユーザーはすぐにリンクをクリックして偽の Web サイトに移動し、犯罪者に必要なデータを提供してしまいます。この時点で、情報はハッカーの手に渡ります。
脅威ウェア
ソーシャル エンジニアリング技術は、いわゆるスケアウェアの拡散にも使用されます。名前が示すように、脅威ウェアはユーザーを脅迫して脅すことを目的としたマルウェアの一種です。多くの場合、被害者を騙して正規に見える詐欺的なソフトウェアをインストールさせたり、ユーザーを騙して Web サイトにアクセスさせてシステムに感染させたりするために、誤った警告を作成することが含まれます。この手法は通常、システムが侵害されているのではないかというユーザーの恐怖に基づいて、Web バナーやポップアップをクリックするように誘導します。これらのメッセージは通常、「システムが感染しています。クリーンアップするにはここをクリックしてください。」というものです。
欺く
フィッシングは、多くの不注意なユーザーに問題を引き起こすソーシャル エンジニアリングのもう 1 つの形式です。通常、ユーザーの貪欲さや好奇心を利用して被害者を誘惑します。たとえば、詐欺師は、音楽ファイル、ビデオ、書籍などの無料コンテンツを提供する Web サイトを作成する可能性があります。これらのファイルにアクセスするには、通常、ユーザーはアカウントを作成し、個人情報を提供する必要があります。場合によっては、ダウンロードされたファイルが被害者のコンピュータ システムに侵入して機密データを収集するマルウェアに直接感染する可能性があるため、アカウントの作成が必要ない場合もあります。
実際には、USB ストレージや外付けハード ドライブを使用してフィッシングが行われることもあります。詐欺師は、感染したデバイスを公共の場所に意図的に放置し、好奇心旺盛な人々を誘惑してそのデバイスを調べ、その内容を閲覧させ、最終的にはその個人のコンピュータを感染させる可能性があります。
ソーシャルエンジニアリングと暗号通貨
金融市場に関しては、貪欲な考え方は非常に危険である可能性があり、トレーダーや投資家は、フィッシング、ポンジ、ねずみ講、その他の種類の詐欺に対して特に脆弱です。ブロックチェーン業界では、仮想通貨によって引き起こされた注目により、比較的短期間に(特に強気市場の間)多くの新しい人々がこの分野に引き寄せられました。
多くの人は暗号通貨がどのように機能するかを完全に理解していませんが、十分な調査を行わずに巨額の利益を生み出し、盲目的に投資する可能性がある市場の可能性についてのニュースレポートをよく耳にします。ソーシャル エンジニアリングは、初心者にとって特に懸念事項です。なぜなら、彼らは自分自身の欲望や恐怖に囚われていることが多いからです。
一方で、手っ取り早く利益を得てお金を稼ぎたいという欲求により、初心者は偽りの利益を追い求め、エアドロップの約束を信じてしまいます。一方で、ユーザーは自分のプライベート ファイルが侵害されることを恐れ、身代金を支払う可能性があります。場合によっては、ユーザーがハッカーによって作成された偽のアラートやメッセージに騙されているだけで、実際にはランサムウェアに感染していない場合もあります。
ソーシャルエンジニアリング攻撃を防ぐ方法
前述したように、ソーシャル エンジニアリング詐欺は人間の弱点を利用するためにのみ機能します。彼らはしばしば恐怖を動機として利用し、人々に非現実的な脅威から自分自身 (または自分のシステム) を守るために直ちに行動を起こすよう促します。ソーシャル エンジニアリング攻撃の中には、人間の欲望に依存して被害者をさまざまな種類の投資詐欺に誘い込むものもあります。したがって、オファーが真実ではなさすぎるように見える場合、それはおそらく詐欺であることを覚えておくことが重要です。
一部の詐欺師は高度な技術を持っていますが、平均的な攻撃者は明らかな間違いを犯します。一部のフィッシングメールや脅威ウェアのタイトルには、文法やスペルの間違いが含まれていることが多く、通常は不注意な人を騙すだけなので、注意してください。
ソーシャル エンジニアリング攻撃の被害に遭わないようにするには、次のセキュリティ対策に注意を払う必要があります。
自分自身、家族、友人を教育してください。悪意のあるソーシャル エンジニアリングの一般的な例を教え、主要なセキュリティ原則を紹介します。
電子メールの添付ファイルやリンクを扱うときは注意してください。不明なソースからの広告や Web サイトをクリックしないでください。
正規のウイルス対策ソフトウェアをインストールして、ソフトウェア アプリケーションとオペレーティング システムを最新の状態に保ちます。
電子メールのログイン資格情報やその他の個人データを保護したい場合は、多要素認証ソリューションを使用してください。 Binance アカウントの 2 要素認証 (2FA) を設定するようなものです。
企業向け: フィッシングやソーシャル エンジニアリング攻撃を防ぐために、従業員にソーシャル エンジニアリング攻撃を特定する権限を与える必要があります。
まとめた感想
サイバー犯罪者は、金銭や機密情報を盗むことを目的として、ユーザーを騙す新しい方法を常に模索しているため、自分自身と周囲の人たちを教育することが重要です。インターネットは、特に暗号通貨の分野でよく見られるこの種の詐欺にとって安全な場所となります。したがって、ソーシャル エンジニアリングの罠に陥らないように、注意して用心深くしてください。
さらに、暗号通貨の取引や投資を決定する人は、事前に十分な調査を行って、ブロックチェーン技術の市場と動作メカニズムを十分に理解する必要があります。