1. コンピューターコンピューターネットワーキングネットワークセキュリティソーシャルエンジニアリング攻撃の種類

ジョセフ・スタインバーグ

信じられないかもしれませんが、現代のサイバー攻撃の多くは、未来の技術と高度なハッキングスキルを使用して実施されていません。多くの場合、サイバー攻撃は依然として優れた「旧式のソーシャルエンジニアリング」を使用しています。以下の情報は、さまざまなタイプのソーシャルエンジニアリング攻撃の詳細を示しています。

フィッシング攻撃は、ソーシャルエンジニアリング攻撃の最も一般的な形態の1つです。次の画像は、フィッシングメールの例を示しています。

フィッシング攻撃

フィッシング攻撃は、フィッシングメールを送信する犯罪者が標的から信頼を得るだけでなく、意図した被害者が迅速に行動するための想定される必要性を強調する状況を作りだす、プレテクティングと呼ばれる技術を利用する場合があります。

表示されているフィッシングメールで、Wells Fargo銀行になりすました送信者は、メール内に実際のWells Fargoへのリンクを含めましたが、送信アドレスを適切に偽装できなかったことに注意してください。

ソーシャルエンジニアリング攻撃の一般的な形態には、スピアフィッシングメール、スミッシング、スピアスミッシング、ビッシング、スピアビッシング、CEO詐欺が含まれます。

フィッシング

フィッシングとは、ユーザーに合法的にユーザーにそのようなアクションを要求する可能性のある信頼できる当事者になりすますことで、アクションを実行するように説得する試みを指します。

たとえば、犯罪者は、大手銀行から送信されたように見えるメールを送信し、データ侵害の可能性があるためパスワードをリセットするために受信者にリンクをクリックするように要求します。ユーザーがリンクをクリックすると、銀行に属しているように見えますが、実際には犯罪者によって実行されたレプリカであるWebサイトにリダイレクトされます。

そのため、犯罪者は詐欺サイトを使用して、銀行サイトへのユーザー名とパスワードを収集します。

スピアフィッシング

スピアフィッシングとは、特定の個人、企業、または組織を標的とするように設計および送信されるフィッシング攻撃のことです。たとえば、犯罪者が特定の会社のメールシステムに資格情報を取得しようとする場合、組織内の特定の対象者向けに特別に作成されたメールを送信できます。

多くの場合、スピアフィッシングを行う犯罪者は、ターゲットをオンラインで調査し、特に合法的に聞こえる電子メールを作成するためにソーシャルメディア上の共有情報を活用します。

たとえば、通常、次の種類のメールは「メールサーバーにログインしてパスワードをリセットしてください」よりも説得力があります。

「こんにちは、私は10分後に飛行機に乗る予定です。 Exchangeサーバーにログインして、会議がいつ行われるかを確認してください。何らかの理由で、私は入ることができません。セキュリティ上の理由から最初に電話で私に電話することを試みることができますが、私を逃した場合、先に進み、情報を確認し、私にそれを電子メールで送信してください。離陸しようとしているフライトで。」

CEO詐欺

CEO詐欺は、特定のビジネスのCEOまたは他の上級管理者になりすます犯罪者が関与するという点で、スピアフィッシングに似たソーシャルエンジニアリング攻撃ですが、「CEO」によって提供される指示は、システムにログインします。目標は、ユーザー名やパスワードなどをキャプチャすることではない場合があります。

詐欺師は、たとえば、特定の新しいベンダーに電信送金を発行するか、その年のすべての組織のW2フォームを会社の会計士に属する特定のメールアドレスに送信するように指示するメールを会社のCFOに送信する場合があります。

CEO詐欺は、多くの場合、犯罪者に大きな利益をもたらし、詐欺に陥った従業員を無能に見せます。その結果、そのような詐欺の餌食になる人々は、しばしば仕事から解雇されます。

ソーシャルエンジニアリングメール

スミッシング

スミッシングとは、攻撃者が電子メールではなくテキストメッセージ(SMS)でメッセージを配信するフィッシングのことです。目標は、ユーザー名とパスワードをキャプチャするか、ユーザーをだましてマルウェアをインストールさせることです。

ビッシング

ビッシング、または音声ベースのフィッシングは、POTSを介したフィッシングです。これは「昔ながらの電話サービス」を意味します。今日、そのような通話のほとんどはVoice Over IPシステムによって送信されますが、結局、詐欺師は、詐欺師が何十年もしてきたのとほぼ同じ方法で、通常の電話で人々に電話をかけています。

捕鯨

捕鯨とは、有名な企業幹部や政府関係者を標的とするスピアフィッシングのことです。

改ざん

攻撃者は、組織の通常の活動を妨害したくない場合がありますが、代わりに経済的利益のためにそれらの活動を悪用することでソーシャルエンジニアリングを試みます。多くの場合、詐欺師は、転送中または改ざんとして知られるプロセスでターゲットのシステムに存在するデータを操作することにより、このような目的を達成します。

たとえば、転送中のデータを改ざんする基本的なケースでは、オンラインバンキングのユーザーが自分の銀行に特定の口座に送金するように指示したが、犯罪者がリクエストを傍受し、関連するルーティングと口座番号を自分のアカウントに変更したと想像してください自分の。

犯罪者は、システムをハッキングし、同様の目的で情報を操作することもあります。前の例を使用して、特定の受取人に関連付けられた支払い先住所を犯罪者が変更して、買掛金部門がオンラインで支払いを行う場合を想像してください。資金は間違った宛先に送られます(少なくとも、支払人の目には間違っています)。

その他のソーシャルエンジニアリング攻撃

その他の種類のソーシャルエンジニアリング攻撃も同様に人気があります。

  • ベイティング:攻撃者は、メールやチャットメッセージを送信します。または、ソーシャルメディアへの投稿で、何らかの行動を取ることと引き換えに誰かに報酬を約束します。たとえば、調査を完了すると無料アイテムを受け取ることをターゲットに伝えます。時にはそのような約束は現実的ですが、多くの場合、そうではなく、他の人がそうしなかった特定の行動をとるように誰かを動機づける単なる方法です。
ソーシャルエンジニアリングの餌付け

そのような詐欺師は、賞品の少額の配送料の支払いを求めたり、マルウェアを配布したり、機密情報を収集したりします。餌となるマルウェアもあります。

餌と釣りを混同しないでください。後者は、人々がだまされやすくなり、犠牲者になり、詐欺師の時間とリソースを繰り返しやり取りすることで浪費するふりをするだけでなく、(場合によっては)法律に引き継ぐことができる詐欺師に関する情報を収集する警戒心の一形態を指します他の人に詐欺師に警告するために施行またはインターネット上で公開されています。

ソーシャルエンジニアリングのなりすまし

一部の人々は、ユーザーを怖がらせるスケアウェアを、ウイルスデマの一種である特定のセキュリティソフトウェアを購入する必要があると信じ込ませています。他の人は、スケアウェアの「スケア」が、マルウェアが既にインストールされていることを装うデマメッセージではなく、すでにインストールされているマルウェアによって行われるため、そうではありません。

  • 技術的な失敗:犯罪者は、さまざまなセキュリティテクノロジーを弱体化させるために、テクノロジーの問題に対する人間の不快感を簡単に悪用できます。

たとえば、特定の領域に通常セキュリティ画像を表示するWebサイトになりすます犯罪者がクローンWebサイトの同じ領域に「壊れた画像記号」を配置すると、多くのユーザーは、壊れていることに慣れているため、危険を感じません。シンボルをイメージ化し、セキュリティリスクではなく技術的な障害に関連付けます。

ソーシャルエンジニアが悪用する6つの原則

社会心理学者のロバートベノチャルディーニは、1984年にHarperCollinsが出版した「Influence:The Psychology of Persuasion」で、他の人に影響を与えようとする人々がしばしば活用する6つの重要な基本概念を説明しています。人々をだまそうとするソーシャルエンジニアは、これらの6つの原則を悪用することが多いため、情報セキュリティのコンテキストでそれらの概要を簡単に説明します。

次のリストは、ソーシャルエンジニアが信頼を得るために使用する可能性のある方法を理解し、内部化するのに役立ちます。

  • 社会的証拠:人々は、他の人々がしていると見ていることをする傾向があります。 相反性:一般的に、人々はしばしば、誰かが彼らのために何か良いことをした場合、彼らはその人に何か良いことをする義務があると信じています。 権威:権威の数字に同意しない場合や、求められていることが好ましくないと考える場合でも、人々は権威の数字に従う傾向があります。 好感度:人々は、一般的に言えば、他の人よりも自分の好きな人に説得されやすい。 一貫性とコミットメント:人々が何らかの目標を達成するためにコミットメントを行い、そのコミットメントを内面化すると、それは彼らの自己イメージの一部となり、彼らは試みる可能性が高い 希少性:特定のリソースが実際に不足しているかどうかに関係なく、特定のリソースが不足していると人々が考える場合、たとえそれが必要でなくても、それは必要になります。

ソーシャルエンジニアリング攻撃を認識するようにエンドユーザーをトレーニングして、組織を保護し、効果的なサイバーセキュリティの実践を確保することが重要です。