ソーシャルエンジニアリング攻撃とは?
公開: 2022-08-11ソーシャル エンジニアリング攻撃とは、システムの脆弱性ではなく人的エラーに依存する幅広い戦術を指します。 ハッカーはソーシャル エンジニアリングを利用して、ユーザーをだましてお金を稼がせたり、機密情報を収集させたり、コンピューター システムにマルウェアをインストールさせたりします。
この記事では、重大な種類のソーシャル エンジニアリング攻撃と、それらを防ぐ方法について説明します。 飛び込んでみましょう:
ソーシャル エンジニアリング攻撃 – 概要
人間は、サイバーセキュリティにおける最も弱いリンクです。 システムの脆弱性を見つけて悪用するには、多くの場合、時間、才能、およびハイテク リソースが必要です。 しかし、人間によるハッキングはそれよりもはるかに簡単です。
サイバーセキュリティの問題の 95% が人的エラーに起因することは驚くに値しません。 ハッカーや脅威アクターは、人間の行動や自然な傾向を利用して、機密情報の収集、金銭の取得、または悪意のあるソフトウェアのインストールを誘導します。
ほとんどのソーシャル エンジニアリング攻撃には、次の 4 つの予測可能なフェーズがあります。
- ハッカーは、標的に関する必要な情報を収集します。 ハッカーが持つ情報が多ければ多いほど、ユーザーをだます準備が整います
- 第 2 段階では、ハッカーはさまざまな戦術を通じて、ターゲットとの信頼関係と関係を構築しようとします。
- 第 3 段階では、ハッカーまたは攻撃者が情報と信頼関係を利用してターゲットに侵入します。
- 第 4 段階は閉鎖段階です。ハッカーが金銭や、ログイン資格情報や銀行口座情報などの機密データを取得すると、疑惑を回避するためにやり取りを終了します。
ソーシャル エンジニアリング攻撃は、企業に多額の費用をもたらします。 ソーシャル エンジニアの Evaldas Rimasauskas は、ソーシャル エンジニアリングによって Facebook と Google から 1 億ドル以上を盗みました。 別のソーシャル エンジニアリング攻撃では、英国のエネルギー会社が詐欺師に 24 万 3,000 ドルを失いました。
中小企業のセキュリティ意識が高まるにつれ、ハッカーはソーシャル エンジニアリング スキームを利用して人間の行動を悪用する可能性が高くなります。
実際、ISACA の State of Cybersecurity Report によると、ソーシャル エンジニアリングはサイバー攻撃の主要な方法です。
知っておくべきソーシャル エンジニアリング手法
以下は、攻撃者がユーザーをだまして金銭を取得させたり、機密情報を漏らしたりするためによく使用されるソーシャル エンジニアリング戦術です。
おとり攻撃
おとり攻撃は、人間の貪欲、好奇心、恐怖心を悪用します。 このような攻撃では、ハッカーはターゲットがそれを取るための魅力的な餌を作成します。 被害者が餌を狙うと、コンピュータ システムが感染します。
攻撃者は、物理メディアとデジタル形式の両方を介しておとり攻撃を行います。
物理的なバッティング攻撃では、ハッカーは物理メディア (感染したペン ドライブや CD など) を会社の敷地内に置き、従業員が発見できるようにします。 メディアには、従業員ボーナス スキームなどの名前が付けられます。 従業員がこの感染したメディアをシステムで再生すると、システムが感染します。 また、内部ネットワークを介して、他のシステムにも感染する可能性があります。
サイバー犯罪者は、人気のあるテレビ シリーズや映画を無料でダウンロードするための悪意のあるリンクを含む偽の Web サイトを作成できます。 誰かがそのようなリンクをクリックすると、システムにマルウェアがインストールされる可能性があります。
見返りの代償
ハッカーは信頼を悪用し、代償攻撃で人間の行動を操作します。 ハッカーはランダムな人々に手を差し伸べ、彼らが技術的な問題の解決策を提供していることを伝えます. 同じ技術的問題を抱えている人が応答すると、ハッカーは問題を解決するためのいくつかの手順を教えてくれます. これらの手順で、ハッカーはシステムに感染する可能性があります。
フィッシング攻撃
フィッシング攻撃とは、正当な企業から発信されたように見える偽の電子メール、テキスト メッセージ、またはその他の種類の通信です。 多くの場合、メッセージには、ユーザーを誘惑するにはうますぎる取引やオファーが含まれています。
ハッカーは、正規のサイトに似せた偽のランディング ページを作成します。 次に、ユーザーに素晴らしいオファーのメッセージを送信します。
ユーザーまたは対象の従業員が提案されたアクションを実行するか、添付ファイルをダウンロードすると、ハッカーが機密データを収集するか、悪意のあるコードが被害者のコンピューターにインストールされ、システムに影響を与えます。
CISCO のレポートによると、企業の 86% が、従業員がフィッシング Web サイトに接続しようとしていると報告しています。 レポートでは、フィッシング攻撃がデータ侵害の 90% を占めているとも述べています。
フィッシング Web サイトを特定する方法について従業員を教育し、フィッシング対策ツールをインストールしてフィッシング メールをフィルタリングすることで、フィッシング攻撃を効果的に防ぐことができます。
スピアフィッシング攻撃
スピア フィッシングは、特定の人物、特定のユーザー、または企業を標的とするフィッシング攻撃です。 スピア フィッシング攻撃には、多くの場合、標的の関心を引く可能性のある情報が含まれています。
スケアウェアの脅威
スケアウェアは人間の恐怖を悪用します。 スケアウェア攻撃では、安全を確保するために特定の手順を実行するよう求めるポップアップが表示されることがよくあります。 そして、これらの手順に従うと、偽のソフトウェアを購入したり、マルウェアをインストールしたり、デバイスにマルウェアを自動的にインストールする悪意のある Web サイトにアクセスしたりします。
ブラウザを最新の状態に保ち、定評のあるウイルス対策プログラムを使用することで、スケアウェアの脅威と戦うことができます。
なりすまし詐欺
なりすまし詐欺では、脅威アクターは口実またはシナリオを作成して、個人を特定できる情報、クレジット カード情報、またはデータ侵害や個人情報の盗難などの詐欺行為に使用できるその他の情報を取得するように人々をだまします。 犯罪者は、当局、保険調査員、銀行、または機関になりすまして、なりすまし詐欺を行うことがよくあります。
口実詐欺を防ぐ効果的な方法は、別の手段で情報源に連絡して機密情報の要求を検証することです。
共連れ
共連れ攻撃では、正当なアクセス権を持たない許可されていない人が、許可された個人に続いて、従業員のワークステーションやサーバー ルームなどの制限されたエリアに侵入します。
たとえば、攻撃者が大きな箱を両手に持って会社の入り口に到達したとします。 従業員は、自分の善意が不正侵入を引き起こしたことに気づかずに、アクセス カードを使用してドアを開けます。
厳格なデジタルおよび物理認証ポリシーを適用することで、テールゲートとの戦いに役立ちます。
ソーシャル エンジニアがアクセスを取得する最も一般的な方法は何ですか?
フィッシングは、ソーシャル エンジニアがユーザーをだまして悪意のあるリンクをクリックさせたり、悪意のある Web サイトにアクセスさせたりしてマルウェアを拡散させる最も一般的な方法です。
ソーシャル エンジニアは、電子メール、ソーシャル メディア サイト、電話、またはテキスト メッセージを介してフィッシングを試み、ヒューマン エラーを悪用することがよくあります。
ソーシャル エンジニアリングから身を守る方法
以下は、ソーシャル エンジニアリング攻撃を防止するための実証済みの戦術の一部です。
1. 従業員のトレーニング
ソーシャル エンジニアリング攻撃は、人間の行動や自然な傾向を悪用します。 したがって、チーム メンバーのトレーニングは、積極的なセキュリティ文化の構築に大いに役立ちます。
従業員を次のようにトレーニングしてください。
- 不明なソースからのメールや添付ファイルを開かないようにする
- 電話で個人情報や財務情報を共有しない
- 魅力的なオファーに注意してください
- 不正なスキャナー ソフトウェアなどの悪意のあるソフトウェアについて学ぶ
- ソーシャル ネットワーキング サイトで個人を特定できる情報を共有しない
外部のセキュリティ コンサルタントを雇って、サイバーセキュリティに関するワークショップを実施することもできます。
2.多要素認証を強制する
ビジネスにおけるサイバーセキュリティは、従業員とベンダーが使用する認証方法に大きく依存します。
セキュリティを強化するには、多要素認証を適用する必要があります。 これは、正当なユーザーへのアクセスを許可し、サイバー犯罪者を遠ざける効果的な方法です。
3.ウイルス対策ソフトウェアをインストールする
主要なウイルス対策およびマルウェア対策ソフトウェアは、電子メールを介したマルウェアの侵入を防ぐのに役立ちます。 また、優れたツールは、悪意のあるサイトに遭遇したときに従業員に警告することができます.
4.準備状況を評価する
ソーシャル エンジニアリング攻撃に対する防御を定期的にテストする必要があります。 ときどきドリルを練習して実行することで、チーム メンバーはソーシャル エンジニアリング攻撃に備えることができます。
画像: Envato Elements