ソーシャルエンジニアリング攻撃とは何ですか?どのようにそれらを防ぐことができますか?
公開: 2019-11-14ソーシャルエンジニアリング攻撃とは何か知っていますか? 強力なウイルス対策/マルウェアソリューションが用意されているため、心配していないと言っても、まったく役に立ちません。
このビデオは、ソーシャルエンジニアリング攻撃がいかに簡単で恐ろしいかを示しています。
これは、ソーシャルエンジニアリングがソフトウェアやハードウェアの脆弱性ではなく、人間の行動を悪用するためです。 そしてこれが、サイバー犯罪者が攻撃を開始するさまざまな方法に対処するために、サイバーセキュリティ戦略を変更および適応させる必要がある理由です。
GetAppからの新しいレポートによると、企業の27%だけが従業員にソーシャルエンジニアリングトレーニングを提供しています。 10月が全国サイバーセキュリティ月間であったことを考えると、GetAppからのデータはタイムリーで洞察に満ちています。
レポートのタイトルは、「すべての企業が知っておくべき10のサイバーセキュリティ統計」です。 また、レポートによると、ITセキュリティ環境の複雑さには次のようなものが必要です。「…多くのトピックに関する一連のトレーニング。 残念ながら、企業は多くの場合、これらの懸念の一部についてのみセキュリティトレーニングを提供し、従業員を他の人に暗闇にさらします。」
ソーシャルエンジニアリング攻撃とは何ですか?
FBIによると、ソーシャルエンジニアリングは、警戒を緩めるように設計されています。 さらに、犯罪者、敵対者、競合他社、およびスパイが人やコンピュータネットワークを悪用するために使用する一般的な手法であると言います。 なぜ、それは技術的なスキルを必要としないからです。
ソーシャルエンジニアリング攻撃は、欺瞞を使用して人々の行動を操作します。 目標は、機密情報、個人情報、保護された情報を漏らすようにその人に話しかけることです。 この情報を入手すると、詐欺師はそれを使用して最終的な標的を追跡します。 そして、最終的なターゲットは、機密データから、人物、政治家候補、さらにはブランドについての軽蔑的な発言まで、あらゆるものになり得ます。
過去には、これらのまったく同じ犯罪者は詐欺師/グリフターと呼ばれていた可能性がありますが、前提は同じであり、詐欺の対象となる人物の信頼を得ることができます。
ソーシャルエンジニアリング攻撃の種類
ソーシャルエンジニアリング攻撃について知っておくべきことの1つは、攻撃は常に進化しているということです。 このため、定期的に従業員をトレーニングする必要があります。 次の攻撃形態がどうなるかわからないからです。
犯罪者が使用する攻撃の種類には次のものがあります。
プレテキスト–攻撃者は、受信者の身元を確認するために個人情報または財務情報を必要とするふりをします。
ウォーターホール–攻撃者は、Webサイトに感染して、ネットワークアクセスを取得するためにそのサイトに頻繁にアクセスする人々を危険にさらします。
流用の盗難–詐欺師は、配達会社や宅配会社をだまして、取引を傍受することで荷物を間違った住所にドロップします。
Quid Pro Quo –名前が示すように、攻撃者は情報や助けの見返りに被害者に何かを約束します。
フィッシングとスミッシング–フィッシング攻撃は電子メールを使用し、スミッシングはテキストメッセージを使用して、エンドユーザーに悪意のあるリンクをクリックまたはダウンロードさせます。 成功した攻撃の91%がフィッシングメールとして開始されることを考えると、これらのタイプの攻撃の認識を高めることが特に重要です。
ハニートラップ–攻撃者は魅力的な人物のふりをして、機密情報を入手するために偽のオンライン関係を開始します。
餌付け–攻撃者は、フラッシュドライブなどのマルウェアに感染したデバイスを簡単に見つけられる場所に置きます。 ドライブがコンピューターに接続すると、マルウェアがインストールされます。
これらは、詐欺師が使用するソーシャルエンジニアリング攻撃のほんの一部ですが、他にもあり、間違いなく、犯罪者はこの瞬間に新しい攻撃を作成しています。
ソーシャルエンジニアリング攻撃から身を守る
意識は、物理的な世界であろうとデジタルの世界であろうと、あらゆる形態の攻撃からビジネスを保護するための鍵です。 逆に、ソーシャルエンジニアリング攻撃は、標的とする人々の自己満足に依存しています。
そのことを念頭に置いて、組織の自己満足の原因となる行動を排除する必要があります。 そしてこれは、他人を助けることへの信頼や意欲など、人々が持っている生来の特性に逆らうことを意味します。 これらの点を考慮して、従業員に検証、検証、検証を要求する必要があります。