メニュー
2023 年のフィッシングを理解するための究極のガイド
だから、何ですか フィッシング詐欺?
フィッシングとは、人々をだましてパスワードや貴重な情報を開示させるソーシャル エンジニアリングの一種です。 情報. フィッシング攻撃は、電子メール、テキスト メッセージ、電話の形で行われる可能性があります。
通常、これらの攻撃は、人々が簡単に認識できる人気のあるサービスや企業を装います。
ユーザーが電子メールの本文にあるフィッシング リンクをクリックすると、信頼しているサイトのそっくりなバージョンに送信されます。 フィッシング詐欺では、この時点でログイン資格情報を求められます。 偽の Web サイトに情報を入力すると、攻撃者は実際のアカウントにアクセスするために必要なものを手に入れます。
フィッシング攻撃により、個人情報、財務情報、または健康情報が盗まれる可能性があります。 攻撃者が XNUMX つのアカウントへのアクセス権を取得すると、そのアカウントへのアクセス権を販売するか、その情報を使用して被害者の他のアカウントをハッキングします。
アカウントが売却されると、アカウントから利益を得る方法を知っている誰かが、ダーク Web からアカウントの資格情報を購入し、盗まれたデータを利用します。
フィッシング攻撃の手順を理解するのに役立つ視覚化を次に示します。
フィッシング攻撃にはさまざまな形態があります。 フィッシングは、電話、テキスト メッセージ、電子メール、またはソーシャル メディア メッセージから実行できます。
一般的なフィッシング メールは、最も一般的なタイプのフィッシング攻撃です。 このような攻撃は、最小限の労力で済むため、一般的です。
ハッカーは、Paypal またはソーシャル メディア アカウントに関連付けられた電子メール アドレスのリストを取得し、 潜在的な被害者に一斉メール送信.
被害者が電子メールのリンクをクリックすると、多くの場合、人気のある Web サイトの偽バージョンに移動し、アカウント情報でログインするように求められます。 ハッカーがアカウント情報を送信するとすぐに、ハッカーは自分のアカウントにアクセスするために必要なものを手に入れます。
ある意味で、この種のフィッシングは、魚の群れに網を投げ込むようなものです。 一方、他の形式のフィッシングは、より標的を絞った攻撃です。
スピアフィッシングとは 攻撃者は特定の個人を標的にします 人々のグループに一般的な電子メールを送信するのではなく。
スピア フィッシング攻撃は、ターゲットに具体的に対処し、被害者が知っている可能性のある人物に変装しようとします。
インターネット上に個人を特定できる情報がある場合、これらの攻撃は詐欺師にとってより簡単になります。 攻撃者は、あなたとあなたのネットワークを調査して、関連性があり説得力のあるメッセージを作成することができます.
パーソナライゼーションの量が多いため、スピア フィッシング攻撃は、通常のフィッシング攻撃に比べて識別がはるかに困難です。
また、犯罪者が成功するまでに時間がかかるため、あまり一般的ではありません。
質問: スピアフィッシング メールの成功率は?
回答: スピアフィッシング メールの平均メール開封率は 視聴者の38%が および 視聴者の38%が の受信者がメール内のリンクをクリックします。
スピア フィッシング攻撃と比較して、ホエーリング攻撃は大幅に標的を絞っています。
捕鯨攻撃は、企業の最高経営責任者や最高財務責任者など、組織内の個人を狙っています。
捕鯨攻撃の最も一般的な目的の XNUMX つは、被害者を操作して攻撃者に多額の資金を配線させることです。
攻撃が電子メールの形式で行われるという点で通常のフィッシングと同様に、ホエーリングは会社のロゴや類似のアドレスを使用して自分自身を偽装する場合があります。
場合によっては、攻撃者が CEO になりすます そして、そのペルソナを使用して、別の従業員を説得して、財務データを開示させたり、攻撃者のアカウントに送金させたりします。
従業員は上司からの要求を拒否する可能性が低いため、これらの攻撃ははるかに悪質です。
多くの場合、攻撃者はホエーリング攻撃の作成により多くの時間を費やします。
「捕鯨」という名前は、ターゲットがより多くの財務力(CEO)を持っているという事実を指しています。
アングラーフィッシングは比較的 新しいタイプのフィッシング攻撃であり、ソーシャル メディアに存在します。
フィッシング攻撃の従来の電子メール形式には従いません。
代わりに、彼らは企業の顧客サービス担当者に変装し、人々をだましてダイレクト メッセージで情報を送信させます。
一般的な詐欺は、マルウェアをダウンロードする偽のカスタマー サポート Web サイトに人々を誘導することです。 ランサムウェア 被害者のデバイスに。
ビッシング攻撃とは、詐欺師から電話がかかってくることです あなたから個人情報を収集しようとすること。
詐欺師は通常、Microsoft、IRS、銀行などの評判の良い企業や組織を装います。
彼らは恐怖戦術を使用して、重要なアカウント データを明らかにさせます。
これにより、彼らはあなたの重要なアカウントに直接または間接的にアクセスできます。
ビッシング攻撃はトリッキーです。
攻撃者は、信頼できる人になりすますことができます。
Hailbytes の創設者である David McHale が、将来のテクノロジーによってロボコールがどのように消滅するかについて語っているのをご覧ください。
ほとんどのフィッシング攻撃は電子メールを介して行われますが、その正当性を特定する方法があります。
メールを開くと パブリック メール ドメインからのものかどうかを確認する (つまり、@gmail.com)。
組織がパブリック ドメインを使用していないため、パブリック メール ドメインから送信された場合は、フィッシング攻撃である可能性が最も高くなります。
むしろ、ドメインはビジネスに固有のものになります (つまり、Google の電子メール ドメインは @google.com です)。
ただし、独自のドメインを使用する、より巧妙なフィッシング攻撃があります。
会社をすばやく検索して、その正当性を確認するのに便利です。
フィッシング攻撃は常に、親切な挨拶や共感であなたを味方につけようとします。
たとえば、少し前に私のスパムで、「親愛なる友人」という挨拶のフィッシング メールを見つけました。
件名に「21 年 06 月 2020 日、あなたの資金についての良いニュース」と書かれていたので、これがフィッシング メールであることはすでにわかっていました。
その連絡先と対話したことがない場合、これらのタイプの挨拶を見ると、すぐに危険信号になるはずです.
フィッシング メールの内容は非常に重要であり、そのほとんどを構成するいくつかの特徴があります。
内容がばかげているように聞こえる場合は、おそらく詐欺です。
たとえば、件名に「宝くじに $1000000 当選しました」とあり、参加した記憶がない場合は危険信号です。
コンテンツが「あなた次第」のような切迫感を生み出し、疑わしいリンクをクリックすることにつながる場合、それは詐欺である可能性が最も高い.
フィッシング メールには常に疑わしいリンクやファイルが添付されています。
リンクにウイルスが含まれているかどうかを確認する良い方法は、マルウェアのファイルまたはリンクをチェックする Web サイトである VirusTotal を使用することです。
フィッシングメールの例:
この例では、Google は電子メールが潜在的に危険である可能性があると指摘しています。
その内容が他の同様のフィッシング メールと一致することを認識します。
メールが上記の基準のほとんどを満たしている場合は、reportphishing@apwg.org または phishing-report@us-cert.gov に報告して、ブロックされるようにすることをお勧めします。
Gmail を使用している場合は、メールのフィッシングを報告するオプションがあります。
フィッシング攻撃はランダムなユーザーを対象としていますが、企業の従業員を標的にすることがよくあります。
ただし、攻撃者は常に会社のお金ではなく、そのデータを狙っています。
ビジネスに関しては、データはお金よりもはるかに価値があり、企業に深刻な影響を与える可能性があります。
攻撃者は、漏洩したデータを使用して、消費者の信頼に影響を与え、会社名を汚すことで、一般の人々に影響を与えることができます。
しかし、それがもたらす結果はこれだけではありません。
その他の結果には、投資家の信頼への悪影響、ビジネスの混乱、一般データ保護規則 (GDPR) に基づく規制上の罰金の誘発などがあります。
フィッシング攻撃の成功を減らすために、この問題に対処するために従業員をトレーニングすることをお勧めします。
従業員をトレーニングする一般的な方法は、フィッシング メールの例とその見分け方を示すことです。
従業員にフィッシングを示すもう XNUMX つの良い方法は、シミュレーションです。
フィッシング シミュレーションは基本的に、従業員がフィッシングを直接認識できるようにするために設計された偽の攻撃であり、悪影響はありません。
ここで、フィッシング キャンペーンを成功させるために必要な手順を共有します。
WIPRO の 2020 年のサイバーセキュリティ状況レポートによると、フィッシングは依然として最大のセキュリティ脅威です。
データを収集して従業員を教育する最善の方法の XNUMX つは、内部フィッシング キャンペーンを実行することです。
フィッシング プラットフォームを使用してフィッシング メールを作成するのは簡単ですが、送信するだけでは不十分です。
内部コミュニケーションでフィッシングテストを処理する方法について説明します。
次に、収集したデータを分析して使用する方法について説明します。
フィッシング キャンペーンは、詐欺に引っかかった場合に人々を罰することではありません。 フィッシング シミュレーションとは、従業員にフィッシング メールへの対応方法を教えることです。 社内でのフィッシング トレーニングの実施について透明性を確保する必要があります。 フィッシング キャンペーンについて会社のリーダーに知らせることを優先し、キャンペーンの目標を説明します。
最初のベースライン フィッシング メール テストを送信した後、全従業員に全社的な通知を行うことができます。
内部コミュニケーションの重要な側面は、メッセージの一貫性を保つことです。 独自のフィッシング テストを行っている場合は、トレーニング資料用に独自のブランドを考え出すことをお勧めします。
プログラムの名前を考えると、従業員が受信トレイで教育コンテンツを認識するのに役立ちます。
管理されたフィッシング テスト サービスを使用している場合は、この問題がカバーされている可能性があります。 キャンペーン後すぐにフォローアップできるように、事前に教育コンテンツを作成する必要があります。
ベースライン テストの後に、社内のフィッシング メール プロトコルに関する指示と情報を従業員に伝えます。
あなたは、同僚にトレーニングに正しく対応する機会を与えたいと考えています。
電子メールを正しく見つけて報告した人の数を見ることは、フィッシング テストから得られる重要な情報です。
キャンペーンの最優先事項は何ですか?
エンゲージメント。
成功と失敗の数に基づいて結果を求めることはできますが、それらの数が必ずしも目的に役立つとは限りません。
フィッシング テストのシミュレーションを実行し、誰もリンクをクリックしなかった場合、それはテストが成功したことを意味しますか?
簡単に言うと「ノー」です。
成功率が 100% であっても、成功とは言えません。
これは、フィッシング テストがあまりにも簡単に見つけられなかったことを意味している可能性があります。
一方、フィッシング テストで途方もない失敗率が得られた場合、それはまったく別のことを意味する可能性があります。
これは、従業員がまだフィッシング攻撃を発見できていないことを意味している可能性があります。
キャンペーンのクリック率が高い場合は、フィッシング メールの難易度を下げる必要がある可能性が高くなります。
現在のレベルで人々を訓練するためにもっと時間をかけてください。
最終的には、フィッシング リンクのクリック率を減らしたいと考えています。
フィッシング シミュレーションでは、クリック率の良し悪しがどの程度か疑問に思われるかもしれません。
sans.org によると、あなたの 最初のフィッシング シミュレーションでは、平均クリック率が 25 ~ 30% になる可能性があります.
かなり高い数値のようです。
幸いなことに、彼らはそれを報告しました 9 ~ 18 か月のフィッシング トレーニングの後、フィッシング テストのクリック率は 5%未満。
これらの数値は、フィッシング トレーニングから得られる望ましい結果の概算として役立ちます。
最初のフィッシング メール シミュレーションを開始するには、必ずテスト ツールの IP アドレスをホワイトリストに登録してください。
これにより、従業員がメールを確実に受信できるようになります。
最初のシミュレートされたフィッシング メールを作成するときは、簡単すぎたり難しすぎたりしないでください。
また、聴衆を覚えておく必要があります。
同僚がソーシャル メディアのヘビー ユーザーでない場合、LinkedIn の偽のパスワード リセット フィッシング メールを使用するのはおそらく得策ではありません。 テスターの電子メールは、社内の誰もがクリックする理由があるように、十分に広くアピールする必要があります。
幅広い魅力を持つフィッシング メールの例としては、次のようなものがあります。
送信を押す前に、メッセージが聴衆にどのように受け止められるかという心理を覚えておいてください.
従業員にフィッシング トレーニング メールを送信し続けます。 人々のスキルレベルを上げるために、時間をかけてゆっくりと難易度を上げていることを確認してください。
毎月のメール送信を行うことをお勧めします。 組織を「フィッシング」する頻度が高すぎると、すぐに追いつく可能性があります。
従業員を捕まえて、少し油断することが、より現実的な結果を得る最善の方法です。
毎回同じ種類の「フィッシング」メールを送信すると、さまざまな詐欺に対応する方法を従業員に教えることができなくなります。
次のようなさまざまな角度を試すことができます。
新しいキャンペーンを送信するときは、常に、オーディエンスに対するメッセージの関連性を微調整していることを確認してください。
関心のあるものとは関係のないフィッシング メールを送信すると、キャンペーンから多くの応答が得られない可能性があります。
従業員にさまざまなキャンペーンを送信した後、最初に人々をだました古いキャンペーンのいくつかを更新し、そのキャンペーンに新しいスピンを加えます.
人々が学習し、改善していることが見られれば、トレーニングの有効性を知ることができます。
そこから、特定の種類のフィッシング メールを見分ける方法について、さらに教育が必要かどうかを判断できます。
独自のフィッシング トレーニング プログラムを作成するか、プログラムを外部委託するかを決定するには、3 つの要因があります。
あなたがセキュリティ エンジニアであるか、社内にセキュリティ エンジニアがいる場合は、既存のフィッシング プラットフォームを使用してフィッシング サーバーを簡単に起動してキャンペーンを作成できます。
セキュリティ エンジニアがいない場合、独自のフィッシング プログラムを作成することは問題にならない可能性があります。
組織内にセキュリティ エンジニアがいる場合がありますが、ソーシャル エンジニアリングやフィッシング テストの経験がない場合があります。
経験豊富な人がいる場合は、独自のフィッシング プログラムを作成するのに十分な信頼性があります。
これは、中小企業にとって非常に大きな要因です。
チームが小規模な場合、セキュリティ チームに別のタスクを追加するのは不便かもしれません。
別の経験豊富なチームに作業を依頼する方がはるかに便利です.
このガイド全体を読み、従業員をトレーニングする方法を理解し、フィッシング トレーニングを通じて組織を保護する準備が整いました。
今度は何だい?
あなたがセキュリティ エンジニアで、今すぐ最初のフィッシング キャンペーンの実行を開始したい場合は、 ここにアクセスして、今日から使用できるフィッシング シミュレーション ツールの詳細を確認してください。
または…
フィッシング キャンペーンを実行するためのマネージド サービスについて知りたい場合は、 フィッシング トレーニングの無料トライアルを開始する方法については、こちらをご覧ください。
チェックリストを使用して、通常とは異なるメールを特定し、フィッシングの場合は報告してください。
ユーザーを保護できるフィッシング フィルターは存在しますが、100% ではありません。
フィッシング メールは常に進化しており、同じものはありません。
に あなたの会社を守る あなたが参加できるフィッシング攻撃から フィッシングシミュレーション フィッシング攻撃が成功する可能性を減らします。
このガイドから十分に学び、ビジネスに対するフィッシング攻撃の可能性を減らすために次に何をする必要があるかを理解していただければ幸いです。
ご質問がある場合、またはフィッシング キャンペーンに関する知識や経験を共有したい場合は、コメントを残してください。
このガイドを共有して言葉を広めることを忘れないでください!
ヘイルバイト
9511 クイーンズ ガード Ct.
ローレル、MD 20723
電話番号:(732)771-9995
電子メール: info@hailbytes.com
