スミッシングとビッシング:これらのサイバー攻撃の仕組みと防止策

スミッシングとビッシングは、SMSメッセージや音声通話で被害者を誘い出そうとするフィッシング攻撃の一種です。 どちらも、従来のフィッシング詐欺で採用されているのと同じ感情的なアピールに依存しており、緊急の行動を起こさせるように設計されています。

「サイバー泥棒は、基本的な原理が不変であるため、操作技術を多くのコミュニケーション形態に適用することができます」と、セキュリティ啓発リーダーであるKnowBe4 CEOのStu Sjouwerman氏は説明します。 「餌で犠牲者を誘い、釣り針で捕まえるのだ」

スミッシングとは何か

スミッシングの定義。

Eメールのフィッシング詐欺と同様、スミッシングメッセージには通常、リンクをクリックしたり、番号に電話をかけたりして、機密情報を渡すようにという脅迫や誘惑が含まれています。 時には、セキュリティ ソフトウェアのインストールを勧め、それがマルウェアであることが判明することもあります。

スミッシングの例です。 典型的なスミッシングのテキストメッセージは、「あなたのABC銀行の口座は停止されています」というような内容のものです。 口座のロックを解除するには、ここをタップしてください。 https://bit.ly/2LPLdaU」と表示され、そのリンクから携帯電話にマルウェアがダウンロードされます。 また、詐欺師は使用するメディアに合わせることに長けているため、「これは本当にあなたの写真ですか? https://bit.ly/2LPLdaU” というテキストメッセージが届き、そのリンクをタップすると、またしてもマルウェアをダウンロードすることになります。 ビッシング(ボイスフィッシング)とは、電話で行われるフィッシング攻撃の一種で、SkypeなどのVoIP(Voice over IP)サービスのユーザーをターゲットにしたものが多くあります。

詐欺師が発信者番号を偽装するのは簡単で、地元の市外局番や知っている組織から電話しているように見せかけることができます。 あなたが電話に出ないと、彼らはあなたに電話をかけ直すよう求めるボイスメールを残します。 この種の詐欺は、留守番電話サービスや、犯罪の実行に気づいていないコールセンターを使用することもあります。

もう一度言いますが、目的はクレジットカードの詳細、誕生日、アカウントのサインイン、あるいは連絡先から電話番号を取得することです。

スミッシングとビッシングを防ぐには

スパムの受信に慣れ、詐欺もよくあることなので、最近はメールに警戒していますが、テキストメッセージや電話は多くの人にとってより合法的に感じられるものです。 しかし、メールや電話では、まだ多くの人が正当なものと感じることができます。ショッピングやバンキングなど、携帯電話からオンラインで行うことが多くなったため、詐欺師が現れる機会も増えています。 犠牲者にならないためには、立ち止まって考える必要があります」

「常識は一般的なベストプラクティスであり、オンライン詐欺や電話詐欺に対する個人の最初の防御線であるべきです」とSjouwermanは述べています。 基本的には、誰も信用しないことが出発点です。 メッセージにあるリンクをタップしたりクリックしたりせず、番号やウェブサイトのアドレスは自分で調べて入力しましょう。 電話をかけてきた人が正当な人であると確信できない限り、情報を与えないようにしましょう。

Update your awareness training

油断しないことは、日常生活における個人への堅実なアドバイスですが、現実には、職場の人々はしばしば不注意なものです。 気が散っていたり、プレッシャーがかかっていたり、仕事を進めようと躍起になっていたり、詐欺は悪魔のように巧妙なものなのです。 SMSがCEOから、あるいは電話が人事部からかかってきたとしたら、どうでしょう。 適切なトレーニングと明確なポリシーによって、従業員を強化し、防御力を高めることができます。

すべての企業は、ある種の義務的で定期的なセキュリティ認識トレーニングプログラムを持つ必要があります。 一般的な安全のためのベストプラクティスはもちろん、疑わしいものがあった場合の連絡先や、特定の機密通信の処理方法に関するルールなど、ポリシーを定義することで、詐欺の試みを発見しやすくなります。

何らかのフィッシング攻撃を受けた場合は、二度と起こらないように変更し、セキュリティトレーニングにも反映させます。 あなたは賢いので最近の不審なSMSや電話を無視できるかもしれませんが、もしかしたら経理のMargeや人事のDaveが被害に遭うかもしれません。

フィッシングは進化を続け、新しい攻撃経路を発見しているので、私たちは警戒を怠らず、常に戦略を更新して対処しなければなりません。

コメントを残す

メールアドレスが公開されることはありません。