Googleは、毎年1,230万人以上がフィッシングの被害に遭っていると推定しています。前世紀の終わりに最初のフィッシング攻撃が記録され、従来の方法が徐々に背景に後退しているという事実にもかかわらず、このタイプのサイバー詐欺は、個人と企業の両方にかなり深刻な危険をもたらし続けています。
フィッシングの被害者になるリスクを最小限に抑えるために、この種のサイバー詐欺について詳しく理解する必要があります。
フィッシングとは何ですか?
ほとんどの場合、フィッシングとは、大規模な性質を持つかなり有名な企業に代わって手紙を配布することです。このようなメッセージには通常、最初の大まかな検査で実際のサイトと変わらないサイトへのリンクが含まれています。詐欺師がさまざまなトリックを使用して達成する適切なフィールドに機密情報を入力することにより、ユーザーはサイバー犯罪者に自分のアカウントへのアクセスを許可します。
すべての始まり
AOLに関連するフィッシングの最初の言及は1996年に登場しました。
メディア会社の従業員を装った詐欺師は、ユーザーに自分のアカウントのパスワードを提供するように求め、アクセスを取得した後、それらを使用してスパムを送信しました。決済システムへの配布は2000年代初頭に始まり、2006年にサイバー詐欺師がMySpaceにアクセスして、ユーザー登録データを盗みました。
フィッシングターゲット
フィッシング攻撃は個人と企業の両方で実行される可能性があるという事実を考慮すると、詐欺師が追求する目標も異なります。
したがって、最初のケースの目標は、ログインとパスワード、銀行サービスのユーザーのアカウント番号、および支払いシステムとソーシャルネットワークへのアクセスを取得することです。さらに、フィッシング攻撃は、潜在的な被害者のコンピュータに悪意のあるソフトウェアをインストールするために実行されることがよくあります。
詐欺師がアクセスしたアカウントをキャッシュアウトすることは、技術的な観点からはかなり複雑なプロセスであり、そのような操作に関与している人を捕まえるのははるかに簡単です。
したがって、機密情報を受け取った詐欺師は、ほとんどの場合、アカウントから資金を引き出す実証済みの方法を使用して、機密情報を他の人に販売するだけです。会社に対してフィッシング攻撃が行われた場合、優先目標は、従業員の1人のアカウントにアクセスして、その後会社全体を攻撃することです。
フィッシングの方法とスキーム
ソーシャルエンジニアリング手法
この場合、有名企業の従業員を装った詐欺師は、潜在的な被害者に個人データを更新または提供する必要があることを通知します。これは通常、システムの障害または損失によって説明されます。
このスキームは、人々が通常重要なイベントに反応するという事実を利用しており、これに関連して、フィッシング攻撃の主催者はユーザーを可能な限り興奮させ、詐欺師がすぐに必要とする行動を取るように強制します。見出しに「アカウントへのアクセスを復元するには、リンクをたどる…」というフレーズが含まれる文字がユーザーの注意を引き、クリックを強いることは一般的に認められています。
単純な欺瞞
詐欺師が有名な会社に代わって電子メールを送信するこのスキームは、リンクをたどる要求を含めて最も一般的であり、1時間以内に何百万ものスパム電子メールを送信できます。個人データを盗むために、一見、実際のサイトと外見上は変わらないフィッシングサイトが作成されます。ほとんどの場合、実際のドメインとは文字通り1文字異なるドメインが使用されます。
ハープーンフィッシング
この場合、攻撃は大規模ではありませんが、特定の人に対して実行されます。通常、このようなスキームは、企業の保護を回避し、標的型攻撃を実行するために使用されます。サイバー詐欺師は、ソーシャルネットワークやその他のサービスを使用して潜在的な被害者を事前に調査し、それによってメッセージを適応させて、より説得力のあるものにします。
「捕鯨」
同様の方法がトップマネージャーや企業幹部へのフィッシング攻撃で使用されており、潜在的な被害者の個人的な資質を最大限に把握するために、詐欺師は盗むための最も適切な方法を見つけるために多くの時間を費やしています機密情報。
ウイルスの配布
多くの場合、フィッシング攻撃は個人データを盗むためではなく、特定のグループの人々に危害を加えるために使用されます。これを行うには、フィッシングメッセージにリンクを挿入し、クリックすると、悪意のあるプログラムが被害者のコンピューターにダウンロードされ、ユーザーのコンピューターを完全に制御できるようになります。
農業
かなり新しいこの方法を使用すると、詐欺師は公式Webサイトを使用して個人データを取得します。このようなフィッシングは、DNSサーバー上の会社の公式Webサイトのデジタルアドレスがスプーフィングされ、ユーザーが自動的に偽のサイトにリダイレクトされる場合、従来の方法よりもはるかに危険です。この場合、スプーフィングは単純に確認できないためです。 EbayとPayPalはすでにそのようなフィッシング詐欺に苦しんでいます。
ビッシング
この場合、電話通信が使用され、「問題」を解消するために呼び出されなければならない電話番号自体が、通知の性質の手紙に示されます。さらに、電話での会話の過程ですでに直接、詐欺師は問題を最も迅速に解決するためにユーザーに識別データを提供するように求めます。
フィッシングから身を守る方法
まず、自分でフィッシングを計算する方法を学ぶ必要があります。アカウントの「確認」を求める手紙を受け取ったら、すぐに会社に連絡してメッセージを認証してください。
ハイパーリンクを使用する代わりに、ブラウザに会社のURLを手動で入力する必要があります。実際のサービスから送信されるメッセージの大部分には、名前やアカウントの最後の桁など、初心者のフィッシング詐欺師が利用できない特定の情報が含まれていますが、これによりリスクはわずかに減少します。アカウントがハッキングされた友人からのメッセージには、フィッシングサイトへのリンクが含まれている可能性があることに注意してください。
リスクを最小限に抑えるための技術的方法
多くのブラウザはすでにインターネットユーザーにフィッシングの脅威について警告しており、そのようなサイトの独自のリストを維持しています。メールサービスも戦い、スパムフィルターを改善し、フィッシングメールを分析しています。大企業は、リスクを最小限に抑えるために、承認手続きを複雑にし、個人データの保護を向上させます。
JSC ER-TelecomHoldingを代表する情報セキュリティの専門家であるMikhailTereshkovは、フィッシングに対する保護のかなり単純で効果的な方法をいくつか提供しています。サイトにhttpsのようなセキュリティ証明書があるかどうかに特に注意する必要があります。また、ルーターのデフォルトのパスワードを変更する必要があります。購入するときは公共のWi-Fiを使わない方がいいですし、なじみのないオンラインストアで支払うときは、それに関する詳細情報を収集する必要があります。
出力
サイバー攻撃が長い間私たちの生活に入ってきたことを考えると、サイバー犯罪者に対する資格のある保護は、eコマースサービスを開発する企業の主要なタスクの1つになっていますが、一般ユーザーは、陥るリスクを最小限に抑えることができる対策を忘れてはなりません犯罪者の罠。
