何ですか ソーシャルエンジニアリング? 注意すべき11の例
目次
とにかく、ソーシャルエンジニアリングとは正確には何ですか?
ソーシャル エンジニアリングとは、人々を操作して機密情報を引き出す行為を指します。 犯罪者が探す情報の種類はさまざまです。 通常、個人は銀行口座の詳細や口座のパスワードを狙われます。 また、犯罪者は被害者のコンピュータにアクセスして、悪意のあるソフトウェアをインストールしようとします。 このソフトウェアは、必要な情報を抽出するのに役立ちます。
犯罪者がソーシャル エンジニアリングの手法を使用するのは、信頼を得て、個人情報を提供するよう説得することで簡単に悪用できるからです。 これは、知らないうちに誰かのコンピューターに直接ハッキングするよりも便利な方法です。
ソーシャル エンジニアリングの例
ソーシャル エンジニアリングが行われるさまざまな方法を知ることで、より適切に身を守ることができます。
1. 口実
プリテキスティングは、犯罪者が重要なタスクを実行するために被害者の機密情報にアクセスしたい場合に使用されます。 攻撃者は、慎重に作成されたいくつかの嘘を通じて情報を取得しようとします。
犯罪者は被害者との信頼関係を築くことから始めます。 これは、友人、同僚、銀行職員、警察、またはそのような機密情報を要求する可能性のあるその他の当局になりすますことによって行われる可能性があります。 攻撃者は、身元を確認するという口実で一連の質問を行い、この過程で個人データを収集します。
このメソッドは、人からあらゆる種類の個人的および公式の詳細を抽出するために使用されます。 このような情報には、個人の住所、社会保障番号、電話番号、電話記録、銀行の詳細、スタッフの休暇日、ビジネスに関連するセキュリティ情報などが含まれる場合があります。
2. 転用盗難
これは、通常、宅配業者や運送会社を対象とした一種の詐欺です。 犯罪者は、標的の会社に、当初の予定とは異なる配達場所に配達パッケージを提供させることで、だまそうとします。 この手口は、郵便で配達されている貴重品を盗むために使用されます。
この詐欺は、オフラインとオンラインの両方で実行される可能性があります。 荷物を運んでいる担当者に連絡を取り、別の場所に荷物を預けるよう説得することができます。 攻撃者がオンライン配信システムにアクセスする可能性もあります。 その後、配達スケジュールを傍受して変更することができます。
3。 フィッシング
フィッシングは、ソーシャル エンジニアリングの最も一般的な形態の XNUMX つです。 フィッシング詐欺には、電子メールやテキスト メッセージが含まれており、被害者に好奇心、恐怖、切迫感を与える可能性があります。 テキストまたは電子メールは、デバイスにマルウェアをインストールする悪意のある Web サイトまたは添付ファイルにつながるリンクをクリックするようにユーザーを誘導します。
たとえば、オンライン サービスのユーザーは、パスワードをすぐに変更する必要があるポリシーの変更があったことを主張する電子メールを受信する場合があります。 メールには、元の Web サイトと同一の違法 Web サイトへのリンクが含まれます。 ユーザーは、それが正当なものであると見なして、その Web サイトに自分のアカウント資格情報を入力します。 詳細を提出すると、犯罪者はその情報にアクセスできるようになります。
4.スピアフィッシング
これは、特定の個人または組織を標的とするフィッシング詐欺の一種です。 攻撃者は、被害者の役職、特徴、契約に基づいてメッセージをカスタマイズし、より本物に見えるようにします。 スピア フィッシングは、犯罪者の側でより多くの努力を必要とし、通常のフィッシングよりも多くの時間がかかる可能性があります。 ただし、それらは識別が難しく、成功率が高くなります。
たとえば、組織に対してスピア フィッシングを試みる攻撃者は、その会社の IT コンサルタントになりすました従業員に電子メールを送信します。 電子メールは、コンサルタントが行う方法とまったく同じように組み立てられます。 受信者を欺くのに十分なほど本物に見えます。 電子メールは、情報を記録して攻撃者に送信する悪意のある Web ページへのリンクを従業員に提供することで、パスワードを変更するよう従業員に促します。
5.ウォーターホーリング
Water-holing 詐欺は、多くの人が定期的にアクセスする信頼できる Web サイトを利用します。 犯罪者は、対象となる人々のグループに関する情報を収集して、彼らが頻繁にアクセスしている Web サイトを特定します。 次に、これらの Web サイトの脆弱性がテストされます。 時間の経過とともに、このグループの XNUMX 人以上のメンバーが感染します。 その後、攻撃者はこれらの感染したユーザーの安全なシステムにアクセスできるようになります。
その名前は、動物が喉が渇いたときに、信頼できる場所に集まって水を飲むことにたとえられています。 彼らは予防策を講じることについて二の足を踏むことはありません。 捕食者はこれを認識しているため、近くで待機し、ガードが解除されたときに攻撃する準備ができています。 デジタルランドスケープのウォーターホールは、脆弱なユーザーのグループに対して同時に最も壊滅的な攻撃のいくつかを行うために使用できます.
6.餌付け
名前から明らかなように、おとりとは、被害者の好奇心や貪欲を誘発するために偽りの約束を使用することです。 被害者は、犯罪者が個人情報を盗んだり、システムにマルウェアをインストールしたりするのに役立つデジタル トラップに誘い込まれます。
餌付けは、オンラインとオフラインの両方の媒体で行うことができます。 オフラインの例として、犯罪者はマルウェアに感染したフラッシュ ドライブの形でおとりを目立つ場所に置いたままにする可能性があります。 これは、対象となる企業のエレベーター、トイレ、駐車場などである可能性があります。 フラッシュドライブは本物のように見えるため、被害者はそれを手に取り、職場または自宅のコンピューターに挿入します. その後、フラッシュ ドライブは自動的にマルウェアをシステムにエクスポートします。
オンラインでの餌付けは、魅力的で魅力的な広告の形をとっており、被害者がクリックするように仕向ける可能性があります。 このリンクは、悪意のあるプログラムをダウンロードする可能性があり、そのプログラムがコンピューターをマルウェアに感染させます。
7. 見返りを求める
代償攻撃とは、「何かのための何か」攻撃を意味します。 ベイトテクニックのバリエーションです。 報酬の約束で犠牲者をおびき寄せる代わりに、見返り攻撃は、特定のアクションが実行された場合にサービスを約束します。 攻撃者は、アクセスまたは情報と引き換えに、被害者に偽の利益を提供します。
この攻撃の最も一般的な形態は、犯罪者が企業の IT スタッフになりすます場合です。 その後、犯罪者は会社の従業員に連絡を取り、新しいソフトウェアやシステムのアップグレードを提案します。 従業員は、ウイルス対策ソフトウェアを無効にするか、アップグレードが必要な場合は悪意のあるソフトウェアをインストールするよう求められます。
8. 共連れ
共連れ攻撃はピギーバックとも呼ばれます。 これには、適切な認証手段を持たない制限された場所への侵入を試みる犯罪者が含まれます。 犯罪者は、エリアへの立ち入りを許可された別の人物の後ろを歩くことで、アクセスを得ることができます。
一例として、犯罪者は荷物で両手がいっぱいになっている配達ドライバーになりすます可能性があります。 彼は、許可された従業員がドアに入るのを待ちます。 次に、なりすましの配達員は、従業員にドアを開けてもらうように依頼し、許可なくアクセスできるようにします。
9. ハニートラップ
このトリックには、犯罪者がオンラインで魅力的な人物になりすますことが含まれます。 その人はターゲットと友達になり、彼らとのオンライン関係を偽造します。 犯罪者はこの関係を利用して、被害者の個人情報を抽出したり、お金を借りたり、コンピューターにマルウェアをインストールさせたりします。
「ハニートラップ」という名前は、女性が男性を標的にするために使用された古いスパイ戦術に由来しています。
10.ローグ
不正なソフトウェアは、不正なマルウェア対策、不正なスキャナ、不正なスケアウェア、スパイウェア対策などの形で現れることがあります。 このタイプのコンピューター マルウェアは、マルウェアを削除すると約束するシミュレートされたソフトウェアまたは偽のソフトウェアにユーザーを誤解させ、料金を支払うように誘導します。 近年、不正なセキュリティ ソフトウェアに対する懸念が高まっています。 疑いを持たないユーザーは、そのようなソフトウェアの餌食に簡単に陥る可能性があります。
11 マルウェア
マルウェア攻撃の目的は、被害者にシステムにマルウェアをインストールさせることです。 攻撃者は人間の感情を操作して、被害者にマルウェアをコンピューターに侵入させます。 この手法では、インスタント メッセージ、テキスト メッセージ、ソーシャル メディア、電子メールなどを使用して、フィッシング メッセージを送信します。 これらのメッセージは、マルウェアを含む Web サイトを開くリンクをクリックするように被害者を騙します。
メッセージには、恐怖の戦術がよく使用されます。 彼らは、あなたのアカウントに何か問題があり、提供されたリンクをクリックしてアカウントにログインする必要があると言うかもしれません. リンクをクリックすると、マルウェアがコンピューターにインストールされるファイルをダウンロードするようになります。
意識を保ち、安全を保つ
情報を常に把握しておくことが、感染症から身を守るための第一歩です。 ソーシャルエンジニアリング攻撃. 基本的なヒントは、パスワードや財務情報を求めるメッセージを無視することです。 メール サービスに付属のスパム フィルターを使用して、そのようなメールにフラグを付けることができます。 信頼できるウイルス対策ソフトウェアを入手することも、システムのセキュリティを強化するのに役立ちます。
