まとめ

  • フィッシングは、攻撃者が信頼できる存在を装い、個人をだまして機密情報を漏らす悪意のある行為です。

  • 不審な URL や個人情報の緊急要求などの一般的な兆候を認識することで、フィッシング活動を防ぐことができます。

  • サイバー防御とセキュリティを強化するには、一般的な電子メール詐欺から高度なスピア フィッシングまで、さまざまなフィッシング戦術を理解する必要があります。

はじめに

フィッシングとは、悪意のある人が信頼できる情報源を装い、人々を騙して機密データにアクセスさせる悪意のある手法です。この記事では、フィッシングについて詳しく説明し、フィッシングとは何なのか、どのように機能するのかなどの疑問に答えます。また、そのような詐欺行為の餌食にならないようにするにはどうすればよいでしょうか。

フィッシングはどのように行われるのでしょうか?

フィッシングは主にソーシャル エンジニアリングに依存しています。ソーシャル エンジニアリングは、攻撃者が個人を操作して機密情報を暴露させるために使用される手法で、被害者は多くの場合、本物のように見える悪意のあるメールを受信します。知人や評判の良い組織から。

悪意のあるリンクや添付ファイルを含む電子メールは最も一般的なタイプのフィッシングであり、これらのリンクをクリックすると、ユーザーのデバイスにマルウェアがインストールされたり、個人情報や金融情報を盗むことを目的とした偽の Web サイトに個人が誘導される可能性があります。

言葉遣いの悪いフィッシングメールは見分けやすいため、サイバー犯罪者はチャットボットや AI 音声生成機能などの高度なツールを利用して不正な攻撃を検出されず、ユーザーが本物の通信と不正な通信を区別することが困難になっています。

フィッシングの試みを特定する

フィッシングメールを見分けるのは難しい場合がありますが、それを見分けるのに役立つ兆候がいくつかあります。

一般的な兆候

メッセージに不審な URL が含まれている場合、一般的な電子メール アドレスが使用されている場合、恐怖感や緊急性を感じさせる場合、個人情報の要求が含まれている場合、またはスペルや文法上の誤りが含まれている場合は注意が必要であり、ほとんどの場合、カーソルを移動する必要があります。リンクをクリックすると、実際にクリックせずに URL を確認できます。

電子決済詐欺

詐欺師は、PayPal、Venmo、Wise などの信頼できるオンライン決済サービス プロバイダーになりすますことがよくあります。ユーザーはログイン情報の確認を求める詐欺メールを受け取るため、常に警戒し、疑わしい行為を報告することが重要です。

金融活動に基づくフィッシング攻撃

詐欺師は銀行や金融機関を装い、個人情報を入手するためにセキュリティ侵害を主張します。一般的な手口には、新入社員をターゲットとした送金詐欺や口座振替詐欺などがあります。

仕事関連のフィッシング詐欺

これらの詐欺では、攻撃者は経営者、CEO、または CFO を装い、電話で AI 音声ジェネレーターを使用して個人に銀行振込や架空の購入を要求します。これも詐欺師が使用する手口です。

フィッシング攻撃を防ぐ方法

フィッシング攻撃を防ぐために、いくつかのセキュリティ対策を講じることをお勧めします。受け取ったリンクは直接クリックしないで、その会社の公式 Web サイトまたはコミュニケーション チャネルにアクセスして、受け取った情報が本物か偽物かを確認してください。ウイルス対策ソフトウェア、ファイアウォール、スパム フィルターなどのセキュリティ ツールの使用を検討してください。 

さらに、組織は電子メール認証標準を使用して受信電子メールを検証する必要があります。電子メール認証方法の一般的な例には、DKIM (Domain Key Identified Mail) や DMARC (Domain-Based Message Authentication, Reporting, and Reconciliation) などがあります。

個人は家族や友人にフィッシングの危険性を知らせる必要があり、企業はリスクを軽減するためにフィッシング手口について従業員を教育し、意識向上コースやトレーニングセッションを定期的に提供する必要があります。

さらにヘルプや情報が必要な場合は、OnGuardOnline.gov などの政府の取り組みやフィッシング対策作業部会などの組織を参照して、フィッシング攻撃の発見、回避、報告に関する詳細なリソースとガイダンスを見つけることをお勧めします。

フィッシングの種類

サイバー犯罪者がさまざまな方法を使用するため、フィッシング手法は進化しており、さまざまなタイプのフィッシングは通常、ターゲットと攻撃ベクトルに応じて分類されており、以下にいくつかのタイプを示します。

クローンフィッシング

攻撃者は、以前に送信された元の正常な電子メールの 1 つを使用し、その内容をコピーして、悪意のあるサイトへのリンクを含む同様のメッセージを作成し、このリンクが最新であるか新しいものであると主張する可能性があります。以前のリンクは無効か期限切れでした。

スピアフィッシング

このタイプの攻撃は、1 人の個人または組織に焦点を当てます。スピア攻撃は、情報を収集し、それを利用して目的を達成することに基づいているため、他のタイプのフィッシングよりも複雑です。このデータは、被害者をだまして Web サイト上の悪意のあるファイルを開かせるために使用されます。

住所の偽造

攻撃者はドメイン ネーム システム (DNS) レコードを破壊しようとし、その結果、本物の Web サイトへの訪問者が攻撃者によって作成された偽の Web サイトにリダイレクトされます。これは、DNS レコードがユーザーの制御下にないため、このタイプが最も危険です。それはユーザーを抵抗する力をなくします。

捕鯨

これは、富裕層や CEO や政府関係者などの VIP をターゲットとしたスピアフィッシングの一種です。

メールのなりすまし。

フィッシングメールは通常、本物の企業や個人を模倣した偽の通信の形式で送信され、被害者が悪意のあるサイトへのリンクを開くように誘導し、攻撃者が検出が困難な偽のログインページを使用してログイン資格情報や個人識別情報を収集できるようにします。ページには、個人情報を盗むトロイの木馬ウイルス、キーロガー、その他の悪意のあるスクリプトが含まれている可能性があります。

リダイレクト

リダイレクトによってユーザーは、アクセスしようとしていた URL とは異なる URL に送信され、攻撃者は脆弱性を悪用してリダイレクトを挿入し、ユーザーのコンピュータにマルウェアをインストールします。

スコープのタイプミス

ドメインのタイプミスにより、外国語のスペル、一般的なスペルミス、またはトップレベルドメインのニュアンスを使用する偽の Web サイトにトラフィックが誘導されます。詐欺師は、ドメインを使用して本物の Web サイトのインターフェイスを模倣し、URL をタイプまたは読み間違えたユーザーを悪用します。

偽の有料広告

有料広告はフィッシングに使用される手法の 1 つです。これらの (偽) 広告は、攻撃者が意図的に入力ミスをして検索結果に表示されるように購入したドメインを使用しており、そのサイトが Google の検索結果の上位に表示される可能性があります。

水飲み場攻撃

詐欺師はユーザーを分析して、ユーザーが最も頻繁にアクセスする Web サイトを特定し、それらのサイトの脆弱性をスキャンし、ユーザーが次回その Web サイトにアクセスしたときにターゲットにするように設計された悪意のあるスクリプトを挿入しようとします。

なりすましおよび虚偽の贈り物

これには、ソーシャル メディアのインフルエンサーになりすまして、詐欺師が騙しやすいユーザーを見つけることを目的としたソーシャル エンジニアリング操作を通じて、企業の主要なリーダーになりすまして、景品を発表したり、その他の欺瞞的な行為を行ったりする可能性があります。認証済みアカウントをハッキングし、アカウントの認証済みステータスを維持しながらユーザー名を変更して実在の人物になりすます。

詐欺師は現在、Discord などのプラットフォームをターゲットにすることが増えています。

悪意のあるアプリケーション

詐欺師は、悪意のあるアプリを使用して、ユーザーの行動を監視したり、機密情報を盗んだりする場合もあります。これらのアプリは、価格トラッカー、ウォレット、その他の暗号関連ツール (暗号通貨の取引や所有を希望するユーザー ベースを持っています) としてやってくる可能性があります。

SMS および音声フィッシング

フィッシングは、ユーザーに個人情報の共有を促す SMS または音声メッセージを介して発生することがあります。

フィッシングとアドレススプーフィング

アドレスの偽造はフィッシング攻撃の 1 つであると考える人もいますが、フィッシングとアドレスの偽造の主な違いは、フィッシングでは被害者が間違いを犯す必要があるのに対し、アドレスの偽造ではアクセスを試行するだけで済むことです。名前システム ログを公開する本物の Web サイトのドメインが攻撃者によって侵害される可能性があります。

ブロックチェーンとデジタル通貨の分野でのフィッシング

ブロックチェーン技術はその分散型の性質により強力なデータセキュリティを提供しますが、サイバー犯罪者は多くの場合、秘密キーやログインデータにアクセスするために人間の脆弱性を悪用しようとするため、ブロックチェーンユーザーはソーシャルエンジニアリングやフィッシングの試みに対して常に警戒する必要があります。ヒューマンエラーに移ります。

詐欺師は、ユーザーを騙してシード フレーズを暴露させたり、偽のアドレスに送金させようとしたりする場合もあるため、注意してセキュリティのベスト プラクティスに従ってください。

まとめ

結論として、フィッシングを理解し、個人情報や財務情報を保護するための高度なテクノロジーを常に意識する必要があります。強力なセキュリティ対策を適用し、知識と意識を広めることによって、個人と組織はフィッシングの危険から身を守ることができます。私たちの相互接続されたデジタル世界。安全を確保してください!

関連記事

  • デジタル通貨の残高を確保するための 5 つのヒント

  • Binance アカウントのセキュリティを強化する 5 つの方法

  • P2P取引で安全を保つ方法

免責事項: このコンテンツは、一般的な情報および教育目的のみを目的として「現状のまま」提供されており、いかなる種類の表明や保証もありません。これは、財務上、法律上、またはその他のアドバイスとして解釈されるべきではなく、特定の製品やサービスの購入を推奨するものでもありません。相談には専門のコンサルタントの助けを求める必要があります。記事が第三者によって提供されている場合、表明された意見はその第三者のものであり、必ずしもバイナンス アカデミーの見解を反映しているわけではないことに注意してください。詳細については、こちらの免責事項全文をお読みください。デジタル資産は価格変動の影響を受ける可能性があり、投資価値が増減する可能性があり、投資額を取り戻せない場合があります。投資決定についてはお客様が単独で責任を負い、Binance Academy はお客様が被る可能性のある損失について責任を負いません。この記事は、財務的、法律的、または専門的なアドバイスとして解釈されるべきではありません。詳細については、利用規約とリスク警告をご覧ください。