この記事は機械翻訳されました。
コンピュータシステムの脆弱性に焦点を当てた一般的なハッキングの試みとは異なり、 ソーシャルエンジニアリング 攻撃は、人々を欺き、心理的に操作することに依存しています。被害者は機密情報やシステムへのアクセスを引き渡します。彼らは、数日後、数週間後、さらには数か月後まで、間違いを犯したことに気付かないかもしれません。
ソーシャルエンジニアリングとは?
テクノロジーのユーザーは、機密情報を部外者から保護する必要があることを知っています。しかし、ソーシャルエンジニアリング攻撃の際には、ハッカーが人、エンティティ、またはハードウェアの一部を信頼するように騙され、ハッカーがその信頼を悪用してシステムにアクセスできるようになります。
「ソーシャル」という言葉は、この攻撃の人間的な部分を指します。人間は一般的に信頼しており、他人に好かれることを望んでいます。また、私たちは権力者に対して頭を下げる傾向があります。ハッカーは、ソーシャルエンジニアリング攻撃中にこれらの特性を私たちに対して使用します。
ここでは、この後、例を掘り下げていきます。しかし、ここでは、ハッカーがこのような攻撃を成功させるために通常実行する手順について説明しましょう。攻撃者は次のことを行います。
- 準備する。 ハッカーは、組織内の特定のターゲットを探す可能性があります。あるいは、ハッカーは物理的なオフィスのレイアウトやデジタルプラットフォームの脆弱性を探します。次に、ハッカーは最適な攻撃アプローチを決定します。
- 捕獲。 ハッカーは攻撃を起動し、信頼を呼び起こすことを望んでいます。 被害者が引き込まれ、本当の危険が始まる。
- 完成。 ハッカーは攻撃を終了し、すべての証拠を隠します。
ライトが点滅したり、ベルが鳴ったりすることはありませんが、ソーシャルエンジニアリング攻撃の被害に遭ったときです。それどころか、ハッカーは静かにデータを盗み、蒸気の中に消えていきます。
ソーシャルエンジニアリング攻撃の8つの例
ソーシャルエンジニアリング攻撃を起動する方法と理由について説明しました。 しかし、実際にはどのような姿をしているのか、そしてITはどのように機能するのでしょうか? いくつかの説明と実際の例に飛び込んでいきましょう。
1.ベイティング
あなたのハッカーは偽の約束をし、あなたはどういうわけか詳細を見る または利用するように奨励されます。 これを行うと、ハッカー 起動 マルウェアがデバイスまたは会社概要のサーバーに感染します。
北朝鮮のハッカーは 、2021年3月にアメリカのセキュリティ研究者に対してこの手法を使用しました。ハッカーは、偽のセキュリティ会社のWebサイトを立ち上げました概要。 画像や広告にはマルウェアが大量に感染していました。次に、攻撃者は偽のソーシャルメディアアカウントを設定し、研究者に新しいサイトから製品を割引価格で購入するように促しました。
フラッシュドライブやディスクなどの物理デバイスも、おとり詐欺の一部である可能性があります。会社概要は、あなたにデバイスを渡し、素晴らしい画像を見たり、フリーソフトウェアをインストールしたりするためにITをプラグインするように促すかもしれません。 しかし、ハッカーのマルウェアは代わりに実行されます。
2.スケアウェア
これを想像してみてください:Webサイトにアクセスしていると、ポップアップウィンドウが表示されます。「あなたのコンピュータが感染しています! 今すぐこのボタンを押すと、すべてのデータが失われます!」 スケアウェアに遭遇しました。
このような攻撃では、侵入者は恐怖と驚きを利用して、あまり難しく考えずに行動するようにあなたを誘惑します。感染が広がる恐れがあります。この戦術は、次のものとも呼ばれます。
- スケアウェア
- デセプション・スケアウェア
- 詐欺ウェア
3. プリテキスティング
攻撃は、正当に見える会話から始まります。アウトリーチは、あなたが認識しているアドレスから来ており、あなたは何も考えずにITに基づいて行動します。
たとえば、役員が 請求書を受け取ったとします。送信者のアドレスは、エグゼクティブのアシスタントのアドレスとそっくりでした。そのため、その役員はITのことを考えずに請求書を支払いました。 その後、彼女の会計士は、請求書は正当なものではなく、ITは攻撃者から来たものであることを彼女に伝えました。
この攻撃の他のバージョンでは、被害者はハッカー クレームから銀行家、法執行機関の役人、またはその他の権威ある人物に電話がかかってきます。 質疑応答の時間が続き、被害者はすべての個人情報を渡します。重要なことは、被害者が信頼できる情報源から取得した電話番号を使用して想定される人物に電話をかけ直すと、この種の攻撃を完全に回避できるということです。
4.フィッシング
フィッシングも 一般的なソーシャルエンジニアリング攻撃です。
E メール 多くの場合、攻撃をキックオフします。 このメモは公式のようで、IT 部門には正当な会社のロゴや住所が含まれている可能性があります概要。 リンクはテキストに点在しており、それらをタップするとマルウェアが実行されます。ハッカーはリンクを短くしたり、偽装したりするため、被害者が詐欺を見つけるのは困難です。
5. スピアフィッシング攻撃 (捕鯨とも呼ばれます)
E メール キックオフ this attack too. しかし、ハッカーは受信者を非常に慎重に選択します。彼らは、被害者がどこで働いているのか、被害者が何をしているのか、そしてどのような言葉やプロンプトがその人を行動に駆り立てるのかを知っています。カスタマイズされたメッセージは無視することはほとんど不可能です。
スピアフィッシング攻撃は、適切に開発されれば致命的です。実際、エンタープライズ レベルで 成功したすべての攻撃の 95% はスピアフィッシング攻撃です。
次に、実際の例を示します。ハッカーはセキュリティ研究者とつながり、これらの専門家が研究に協力できないかと尋ねました。専門家が同意すると、ハッカーは マルウェアのリンクだらけの「背景資料」を送りました。
6.クイド・プロ・クォー
攻撃者は、存在しない脅威に対する解決策を被害者に提供します。 被害者は怯え、助けを受け入れます。残念ながら、そこから攻撃が始まります。
このようなソーシャルエンジニアリング攻撃は、社会保障受給者を標的にしています。被害者は電話を受け、SSAの職員と話していると信じます。ハッカーは、アカウントが漏洩/侵害されていることを被害者に伝えます。 被害者は、問題を解決するために、アクティブなSSN、住所、年齢、およびその他の情報を提供する必要があります。
公式の社会保障局でさえ 、この詐欺を止めることはできません。
7. テールゲーティング
これは、ソーシャルエンジニアリング攻撃の対面式フォームです。 侵入者は、安全なエリアに侵入している人を追いかけるだけです。被害者は、侵入者が別の許可された従業員であると信じています。被害者は、攻撃者のためにドアを開けたままにしておくことがよくあります。
人物が建物の中に入ると、攻撃は続きます。侵入者は、高価な機器を盗んだり、悪意のある機器やソフトウェアを敷地内にインストールしたりする可能性があります。また、IT部門は攻撃者がそこにいる理由があるように思われるため、従業員はIT部門を止めないかもしれません。
8.水飲み場
ハッカーは正当なWebサイト(ニュースWebサイトなど)を見つけ、訪問者をマルウェアに誘導する何らかの広告を導入します。
この攻撃は、ハッカーがITを監視する必要がないため、「水飲み場型」と呼ばれています。 ツールが構築されると、ツールは独立して実行できます。
ソーシャルエンジニアリング攻撃を防ぐ方法
人為的ミスのすべての事例に対処することは不可能です。 私たちが他の人を信頼し、彼らと一緒に働きたいと思っている限り、この種の攻撃は続きます。
しかし、従業員に次のことを教育することはできます。
- 研究。 知らない送信元からの E メール メッセージはクリックしないでください。 メモが疑わしいと思われる場合は、IT 部門に ITを送ります。不明なハードウェアを会社概要 システムに接続しないでください。
- 守る。 見知らぬ人のためにドアを開けたままにしたり、デスクから離れるときは画面をロックしたりしないでください。ITを簡単に回復できる場所に機密情報を捨てないでください。 機密性の高いアプリケーション (アプリケーション) で 多要素認証 を使用します。 Run quarterly トレーニング on ソーシャルエンジニアリング and other form of attack.
- 容疑者。 ポップアップ広告など、疑わしいWebサイトの広告をクリックしないでください。ドアを開けたままにしておくように頼んでいる人のIDを確認してください。
管理者は、許可をロックダウンし、スタッフを危険と思われるWebサイトから遠ざけることができます。 ウイルス対策ソフトウェアを定期的に実行し、ファイアウォールを強化することも役立つ場合があります。
オフサイトの従業員にもトレーニングが必要であることを忘れないでください。彼らは、現場の従業員ほどリスクについて知らされていないかもしれません。また、自宅ではより危険な行動をとる可能性があります。
脅威について知れば知るほど、スタッフのトレーニングを向上させることができます。スピアフィッシング攻撃と標準 フィッシングの詳細については、ブログをご覧ください。
よくある質問(FAQ)
Q: 「ソーシャルエンジニアリング」の別の用語はありますか?
A:はい!一部の人々は、過剰共有攻撃、ソーシャルエンジニアリングハッキング、およびソーシャルエンジニアリング詐欺を使用して脅威を説明します。
Q:ハッカーはどのくらいの頻度でソーシャルエンジニアリングの手法を使用しますか?
A: これは非常に一般的なハッキングの形態です。 人々は始めるために強力なプログラミングスキルを必要としません。
Q:理想的なソーシャルエンジニアリングの被害者は誰ですか?
A: ハッカーは通常、 重要なデータや貴重なデータにアクセスできる人を選びます。ハッカーは時々、上級管理職を選びます。しかし、アシスタントは、ハッカーが欲しがる情報やリソースへのアクセスも持っているかもしれません。
Q:ソーシャルエンジニアリング攻撃の例を挙げていただけますか?
A: 2020年7月、ハッカーは Twitterの従業員に連絡を取りました。攻撃が展開するにつれて、従業員は社内の会社概要 ツールへのアクセスを許可しました。 その後、ハッカーはプライムTwitterアカウントを乗っ取り、所有権を解放するためにビットコインの身代金を要求しました。
Q: ソーシャルエンジニアリング攻撃はすべてソーシャルメディアを介して行われるのですか?
A: いいえ。実際、最も効果的なソーシャルエンジニアリングのエクスプロイトのいくつかは、なりすましや説得によって直接行われます。たとえば、適切な制服を着て明るい笑顔の人が、コンピューターを「修理」に渡すようにあなたを誘うことができます。
参考文献
Google:北朝鮮のハッカーが再びセキュリティ研究者を標的にしています。(2021年3月)。ビープ音を鳴らすコンピュータ。
シャーク・タンクのスター、バーバラ・コーコランがフィッシング詐欺で388,700ドルを失っています。(2020年2月)。CBSニュース.
ネットワークセキュリティがオンラインでの個人情報の保護にどのように役立つか。EC-カウンシル。
最も一般的なソーシャルエンジニアリング攻撃。(2020年8月、InfoSec。
スピアフィッシング攻撃を鈍らせる方法。(2013年3月)。ネットワークワールド。
北朝鮮のハッカーは、マルウェア、0-daysでセキュリティ研究者を標的にしています。(2021年1月)。ビープ音を鳴らすコンピュータ。
セキュリティ詐欺から身を守りましょう。社会保障局。
リモートワーカーは、ソーシャルエンジニアリングされた欺瞞やサイバー攻撃のリスクが高い。(2020年11月、安全。
サイバーセキュリティにおけるプリテキスティング:このソーシャルエンジニアリングの脅威が危険な理由。EC-Council)
Twitterによると、「ソーシャルエンジニアリング」は、バラク・オバマ氏やジェフ・ベゾス氏のような知名度の高いアカウントを標的とした大規模なハッキングにつながったという。ここでは、この手法に何が含まれ、それを回避する方法を説明します。(2020年7月)。 インサイダー。
