懸念すべきオンラインの脅威はマルウェアだけではありません。ソーシャルエンジニアリングは大きな脅威であり、どのオペレーティングシステムでも攻撃を受ける可能性があります。実際、ソーシャルエンジニアリングは、電話や対面の状況でも発生する可能性があります。
ソーシャルエンジニアリングを認識し、目を光らせることが重要です。セキュリティプログラムは、ほとんどのソーシャルエンジニアリングの脅威からユーザーを保護しないため、自分自身を保護する必要があります。
ソーシャルエンジニアリングの説明
従来のコンピュータベースの攻撃は、多くの場合、コンピュータのコードの脆弱性を見つけることに依存しています。たとえば、古いバージョンのAdobe Flashを使用している場合、または、神が禁じている場合、 Java 、シスコによると、2013年の攻撃の91%の原因でした。悪意のあるWebサイトにアクセスすると、そのWebサイトがソフトウェアの脆弱性を悪用して、コンピュータにアクセスする可能性があります。攻撃者は、ソフトウェアのバグを操作して、おそらくインストールしたキーロガーを使用して、アクセスを取得し、個人情報を収集しています。
ソーシャルエンジニアリングのトリックは、代わりに心理的操作を伴うため、異なります。言い換えれば、彼らはソフトウェアではなく、人々を悪用します。
関連: オンラインセキュリティ:フィッシングメールの構造を分析する
おそらくすでに聞いたことがあるでしょう フィッシング 、これはソーシャルエンジニアリングの一形態です。銀行、クレジットカード会社、またはその他の信頼できる企業からのものであると主張する電子メールを受け取る場合があります。本物のように見せかけた偽のWebサイトに誘導したり、悪意のあるプログラムをダウンロードしてインストールするように求めたりする場合があります。しかし、そのようなソーシャルエンジニアリングのトリックは、偽のWebサイトやマルウェアを含む必要はありません。フィッシングメールでは、個人情報を記載した返信メールを送信するように求められる場合があります。ソフトウェアのバグを悪用しようとするのではなく、通常の人間の相互作用を悪用しようとします。 スピアフィッシング 特定の個人を標的にするように設計されたフィッシングの一種であるため、さらに危険な場合があります。
ソーシャルエンジニアリングの例
チャットサービスやオンラインゲームでよくあるトリックの1つは、「管理者」などの名前でアカウントを登録し、「警告:誰かがアカウントをハッキングしている可能性があることを検出しました。パスワードで応答して自分自身を認証してください」などの恐ろしいメッセージを送信することです。ターゲットがパスワードで応答した場合、ターゲットはそのトリックに陥り、攻撃者はアカウントのパスワードを入手できるようになります。
誰かがあなたの個人情報を持っている場合、彼らはあなたのアカウントへのアクセスを得るためにそれを使用する可能性があります。たとえば、生年月日、社会保障番号、クレジットカード番号などの情報は、多くの場合、あなたを識別するために使用されます。誰かがこの情報を持っている場合、彼らは企業に連絡してあなたのふりをする可能性があります。このトリックは、攻撃者がサラペイリンのYahoo!にアクセスするために使用したことで有名です。 2008年にアカウントにメールを送信し、Yahoo!のパスワード回復フォームからアカウントにアクセスするのに十分な個人情報を送信します。ビジネスで認証に必要な個人情報がある場合は、同じ方法を電話で使用できます。ターゲットに関する情報を持っている攻撃者は、ターゲットになりすまして、より多くのものにアクセスすることができます。
ソーシャルエンジニアリングも直接使用できます。攻撃者は企業に足を踏み入れ、彼らが修理人、新入社員、または消防署員であることを権威のある説得力のある口調で秘書に知らせ、ホールを歩き回り、機密データを盗んだり、バグを植え付けて企業スパイを実行したりする可能性があります。このトリックは、攻撃者が自分ではない人物として自分自身を提示することに依存します。秘書、ドアマン、または他の担当者があまり多くの質問をしたり、よく調べたりしなければ、トリックは成功します。
関連: 攻撃者が実際にオンラインで「アカウントをハッキング」する方法と自分自身を保護する方法
ソーシャルエンジニアリング攻撃は、偽のWebサイト、不正な電子メール、不正なチャットメッセージの範囲から、電話や対面で誰かになりすますまでの範囲に及びます。これらの攻撃にはさまざまな形態がありますが、すべてに共通することが1つあります。それは、心理的なトリックに依存しているということです。ソーシャルエンジニアリングは、心理的操作の芸術と呼ばれています。それは 「ハッカー」が実際にオンラインでアカウントを「ハッキング」する主な方法 。
ソーシャルエンジニアリングを回避する方法
ソーシャルエンジニアリングが存在することを知っていると、それと戦うのに役立ちます。個人情報を要求する一方的な電子メール、チャットメッセージ、および電話には疑いを持ってください。財務情報や重要な個人情報をメールで公開しないでください。危険な可能性のあるメールの添付ファイルをダウンロードして実行しないでください。メールで重要だと主張されている場合でも同様です。
また、メール内の機密性の高いWebサイトへのリンクをたどらないでください。たとえば、銀行から送信されたように見えるメール内のリンクをクリックしてログインしないでください。銀行のサイトになりすましたが、URLが微妙に異なる偽のフィッシングサイトに移動する可能性があります。代わりに、直接Webサイトにアクセスしてください。
銀行からの電話で個人情報を求められるなど、疑わしいリクエストを受け取った場合は、リクエストの発信元に直接連絡して確認を求めてください。この例では、銀行に電話して、自分の銀行であると主張する人に情報を漏らすのではなく、何が欲しいかを尋ねます。
電子メールプログラム、Webブラウザ、およびセキュリティスイートには通常、既知のフィッシングサイトにアクセスしたときに警告を発するフィッシングフィルタがあります。彼らができることは、既知のフィッシングサイトにアクセスしたとき、または既知のフィッシングメールを受信したときに警告することだけであり、そこにあるすべてのフィッシングサイトやメールについては知りません。ほとんどの場合、自分自身を保護するのはあなた次第です—セキュリティプログラムはほんの少ししか役に立ちません。
個人データやソーシャルエンジニアリング攻撃の可能性のあるその他のリクエストに対処するときは、健全な疑いを行使することをお勧めします。疑惑と注意は、オンラインとオフラインの両方であなたを保護するのに役立ちます。
画像クレジット: FlickrのJeffTurnet
