最新のフィッシングはどのように機能するのでしょうか?

フィッシングは、サイバー犯罪者が人々を騙して金銭的利益を得るために機密情報 (クレジット カードの詳細、ログイン資格情報、電話番号、住所など) を引き渡させるために使用される、長年使用されているソーシャル エンジニアリング手法です。同意や承認が得られないため、被害者は自分の情報が侵害されたことにさえ気づきません。フィッシング対策ワーキング グループ (APWG) のレポートによると、2022 年の第 4 四半期には、世界中のフィッシング攻撃の数が 470 万件を超えるという記録を打ち立てました。これは、2019 年以来、年間 150% 以上の成長率に相当し、金融セクターが最もターゲットにされています。

攻撃者は、これらの電子的手段を使用して説得力のあるテキストや画像を配布し、通信の正当性を被害者に納得させて信頼を獲得します。この種の詐欺には、電話フィッシング、スミッシング (SMS フィッシング)、フィッシングメール、フィッシング Web サイトなど、さまざまな形があります。

潜在的な被害者に近づく一般的な方法は、悪意のある Web サイトに誘導する、正当に見えるフィッシング リンク (URL) を電子メールで配信することです。 Facebook、WhatsApp、Instagram などのソーシャル ネットワーキング サイトやアプリで送信されるメッセージでさえ、フィッシング リンクとそれらをクリックする理由が含まれている場合があります。その一方で、ユーザーは認識しているものの公式ページにリダイレクトされると主張しています。さらに、検索エンジンの結果の一部として、無害なリンクの間に悪意のあるリンクが見つかることもよくあります。

悪意のあるリンクは、攻撃者がなりすまそうとしている実際の URL に非常に似ている可能性があることに注意することが重要です。これらのフィッシング URL の一般的な例は、 www.faceb00k.com (本物のwww.facebook.comの偽装バージョン) のようなものです。 URL 間の外観が非常に似ているため、ユーザーがインターネット ブラウザに URL アドレスを入力するときに文字を打ち間違える可能性があるため、攻撃者がこれを利用する可能性のある別のセキュリティ ギャップが生じます。これらのほぼ同一の URL がフィッシング Web サイトに使用される可能性があります。実際の URL とはまったく異なる外観を持つフィッシング URL の例が実際に見つかります。これらは、Google URL 短縮ツールによって生成されたもののような、非常に長い URL の短縮バージョンであるようです。

フィッシング Web サイトを特定するのは難しい場合があります。被害者を騙して個人情報を提供させることを狙って、多くのサイトがまねしているサイトのように見せかけています。場合によっては、偽の Web サイトは攻撃者によって不適切に構築されており、ページが明らかに歪んで見えます。元のバージョンのレンダリングが不十分であるか、ページ上に予期しない要素 (ページ フッター、メニュー、パネル) があるなどです。不一致のタイポグラフィーや言語を含むテキスト要素がいくつかある可能性もあります。

それにもかかわらず、Web ページのソース コードのほとんどはインターネット ブラウザを通じてアクセスできるため、正規の Web ページと同一に見えるフィッシング Web ページを作成するのは非常に簡単であり、視覚的な評価または「ユーザーの直感」によって悪意のあるページを識別することができます。正確に行うのは非常に困難です。

フィッシングメールは、スパムとしての分類が進歩しているため、通常は成功しにくくなっています。ただし、一部のフィッシングメールやリンクは依然として受信箱に紛れ込んでいます。それにもかかわらず、攻撃者は悪意のある URL を配布する方法をますます創造的にしています。たとえば、詐欺師は通話中にこれらの情報を共有したり、大量の SMS メッセージを送信したりして、特定のグループを攻撃する手口を利用できます。これは、人気 YouTuber の動画内に悪意のある URL を投稿するものから、認証情報を盗む機能がインストールされたフィッシング サイトを含む QR コードをユーザーに表示する、認証用の不正なアプリに至るまで、多岐にわたります。以下に、最近のフィッシング キャンペーンの 2 つの例を示します。

フィッシングは、サイバー犯罪者が大規模に人々を標的にすることを可能にするため、引き続き主要な攻撃方法です。通常、彼らは、対象となるターゲットがアカウントを持っている大手企業の代表者を装ってフィッシング詐欺を配布します。銀行、政府機関、電子ショップ、電子メール サービス プロバイダー、通信会社は、顧客数が多く機密データが含まれるため、フィッシング攻撃にとって最も魅力的な企業です。

フィッシングサイトとはどのようなものですか?

最近のフィッシング Web サイトの中には、正規のサイトとの明らかな相違があるため、実際に存在することをかなり簡単に強調できるものがあります。現在、サイバー犯罪者はツールキットを使用して、Web サイト構築に関する専門知識を必要とせずにフィッシング ページを短時間で作成しています。以下にそのような攻撃の例を示します。視覚的な違いによってサイトの偽りが明らかになります。

以前の Facebook ログイン ページでは、より大きなロゴ、活字の違い、フッター テキストの欠如、わずかに異なる緑色の「新しいアカウントの作成」ボタンなど、Web サイトの信頼性を疑うような変更がいくつか見られます。トーンなど。

それにもかかわらず、非常に欺瞞的なフィッシング サイトが存在します。このような場合、攻撃者は本物のように見せるために多大な労力を費やします。以下の例では、本物のフィッシング サイトと比較して、フィッシング サイトがどのように似ているかがわかります。

上記のログイン ページでは、フィッシング サイトと実際のログイン ページを区別する小さな詳細を見つけることができます。フィッシング バージョンは元のバージョンのほぼ複製であり、変更は被害者に気付かれないように意図的に非常に微妙かつ個別に行われています。つまり、フッター テキストの配置が異なっていたり、要素が欠落していたり、フッター テキストが表示されなかったりします。正しく。

フィッシング サイトは長年にわたって大幅に進化し、説得力のある偽造サイトになりました。一部では HTTPS を使用しており、緑色の南京錠を見るとユーザーに誤った安心感を与えます。

フィッシング Web サイトの小さな欠陥は、正規のページと並べて配置すると明白に見えますが、単独ではそれほど目立ちません。しかし、頻繁に使用するサービスのログイン ページを最後に見たときのことを思い出してください。おそらく、すべての詳細を思い出すのに苦労するでしょう。これは、フィッシング詐欺師がページを設計するときにまさに望んでいることです。

フィッシングの脅威はどのように広がっているのでしょうか?

これまで、フィッシング Web サイトを広める最も一般的な方法はフィッシングメールを介することでしたが、検索結果に表示される有料広告を介して拡散することもあります。他の攻撃ベクトルには、クリックベイトと呼ばれる手法が含まれます。サイバー犯罪者は通常、ユーザーに悪意のあるリンクをクリックさせるために、無料電話などの約束をしてソーシャル メディア上でクリックベイトを利用します。

フィッシング詐欺師が捕まえるとどうなるでしょうか?

現代のほぼすべてのサイバー攻撃と同様、フィッシングも金銭的利益を目的として使用されます。ユーザーがフィッシング サイトへのログイン資格情報を放棄すると、サイバー犯罪者はフィッシングに使用されるサイトの種類に応じて、さまざまな方法でログイン資格情報を悪用する可能性があります。フィッシング攻撃の多くは、銀行などの金融機関や PayPal などの企業を模倣し、サイバー犯罪者に多額の金銭的報酬をもたらすことを目的としています。

サイバー犯罪者がユーザーをだまして UPS や FedEx などの配送 Web サイトに認証情報を渡させたとしても、アカウントにアクセスして利益を得られる可能性はほとんどありません。代わりに、人々が複数のサービスで同じパスワードを使用することが多いことを知っているため、同じ資格情報を使用して、より貴重な情報が含まれる他のアカウント (電子メール アカウントなど) にアクセスしようとする可能性があります。サイバー犯罪者が利益を得るもう 1 つの方法は、盗んだ認証情報をダーク Web 上で販売することです。ダーク Web は、プライベート ネットワークが身元情報を開示せずに匿名でビジネスを行うインターネットの深層部分です。

これは「スプレー アンド プレイ」攻撃方法です。ウェブ上の多くの古い WordPress サイトはハッキングされ、非常に低コストでフィッシング キャンペーンに使用される可能性があります。一般に、フィッシング キットの導入価格は約 25 ドルで、非常に手頃な価格でありながら、攻撃者にとっては利益をもたらします。潜在的な被害者にとってのフィッシングのもう 1 つの欠点は、攻撃の有効期間 (TTL) が短く、1 つのキャンペーン内で URL が頻繁に変更されるため、不審な URL のブロックリストの作成などの標準的な検出方法がゼロデイ攻撃に対して効果がないことです。 。

自分を守る方法

多くの場合、フィッシング攻撃が成功するまで、つまりサイバー犯罪者が資格情報を取得するときと、それを使用するまでにかかる時間は異なります。脅威を軽減するのが早ければ早いほど、より多くの潜在的な被害者を保護することができます。ユーザーの資格情報が盗まれると、できるだけ早くその資格情報を変更する以外にできることはほとんどありません。

2024 年、サイバーセキュリティ研究者は、Google の最高のスパム フィルターを含むさまざまなスパム フィルターをバイパスする新しい技術も存在するという証拠を発見しました。たとえば、添付ファイルはテキストを含まない PDF ファイルとして送信され、ユーザーを Google ドキュメントなどの他の Google サービスにリダイレクトします。さらに、カレンダーの招待状など、他の非標準のフィッシング添付ファイルも使用されており、フィッシング サイトにリンクする URL もイベントの説明に含まれています。

以下は、最も成功した形態のサイバー攻撃の被害に遭わないようにするためのチェックリストです。

• 何よりもまず、PC、モバイル、Mac など、すべてのデバイスにウイルス対策ソリューションをインストールします。ウイルス対策ソフトウェアはセーフティ ネットとして機能し、オンラインのユーザーを保護します。
• リンクをクリックしたり、不審なメールからファイルをダウンロードしたりしないでください。たとえからのものであっても、返信しないでください。代わりに、別のチャネルを通じてそれらのエンティティに連絡し、メッセージが実際にそれらのエンティティから送信されたものであることを確認してください。
• 可能な限りブラウザに Web サイトの URL を直接入力すると、偽のバージョンではなく、目的のサイトにアクセスできるようになります。
• 緑色の HTTPS 南京錠だけに頼らないでください。これは接続が暗号化されていることを示していますが、それでもサイトが偽である可能性があります。サイバー犯罪者はフィッシング サイトを暗号化してユーザーをさらに欺くため、アクセスしているサイトが本物であることを再確認することが重要です。
• 肉眼では認識できないフィッシング サイトをキャッチできるインターネット ブラウザを使用して、安全に Web サーフィンを行います。ノートン セキュア ブラウザと同様に、複数の保護層に分散された最先端のセキュリティ機能を搭載しており、カーテンの後ろで実行されている技術コンポーネントからユーザーに表示されるビジュアル コンテンツに至るまで URL の正当性を評価します。大規模なキャンペーンにおけるこれらの脅威の効率的な軽減につながります。

著者：ハビエル・アルダナ・イウイト博士。 GEN、ビジュアルフィッシングおよび詐欺サイバー脅威検出の AI/ML 研究者