paint-brush
史上最も独創的なサイバー詐欺トップ3@zacamos
542 測定値
542 測定値

史上最も独創的なサイバー詐欺トップ3

Zac Amos4m2024/06/12
Read on Terminal Reader

長すぎる; 読むには

Dyre Banking 詐欺、WPP Deepfake 詐欺、中小企業をターゲットにした誤解を招く詐欺広告は、歴史上最も巧妙なサイバー詐欺の一部です。同じ攻撃の餌食にならないように、これらの詐欺の手口を説明します。
featured image - 史上最も独創的なサイバー詐欺トップ3
Zac Amos HackerNoon profile picture
0-item

サイバーセキュリティの問題としてよく知られているのは、攻撃が次第に巧妙化していき、オンライン セキュリティの専門家が困難に直面し、前例のない規模の攻撃を頻繁に目にするようになることです。どのような例が最も限界を押し広げたのでしょうか。

1. ダイア銀行詐欺

ハッカーは最も利益の大きい業界を狙うのが好きなので、銀行が頻繁にサイバー攻撃の標的になるのも不思議ではありません。銀行は、脅威にさらされている企業であるか、銀行機関から送信されたように見える電子メールを受け取った消費者に特定の行動を取らせるための標的です。


2014 年に初めて検出された銀行特有の詐欺では、Dyre マルウェアが使用されていました。このマルウェアは、被害者のブラウザを侵害し、金融機関のプラットフォームやその他のセキュリティ保護されたインターフェースにログインするための認証情報を盗みました。この詐欺は、未払いの請求書が含まれているとされる電子メールの添付ファイルを受け取ったときに始まりました。さらに、添付ファイルには、受信者の Adobe Reader ソフトウェアのパッチ未適用の脆弱性を悪用するように設計されたマルウェアが含まれていました。


これらの点から、サイバー犯罪者の独創的な思考がうかがえます。まず、請求書に関する漠然としながらも関連性のある添付ファイル名が人々の興味を引くことはわかっていました。生活は多忙になりがちなので、支払いを忘れてしまうこともあるでしょう。ファイル名のスペルミスはこのサイバー攻撃の特徴的な特徴ですが、犯罪者は人々がそれに気付かなかったり気にしなかったりすることを期待していたと思われます。


詐欺師たちは、ターゲットが Adobe ソフトウェアを頻繁に更新しないだろうと当然のように想定し、意欲的なハッカーが侵入できる潜在的なポイントを多数作り出しました。誰かが騙されて添付ファイルをダウンロードすると、マルウェアは自分自身をコピーし、一見無害な「Google アップデート サービス」をその人のコンピューター上に作成しました。次に、レジストリ キーを設定し、キーストローク データを記録してハッカーに送信し始めました。


2016年現在、米国政府当局は主要なウイルス対策ソフトウェアはすべてベンダーの製品はこの脅威を検出しました。ただし、検出するには、ユーザーがそのようなツールを定期的に使用して更新する必要があります。


銀行員は厳格な詐欺を防止するための顧客確認手順リスク プロファイルを確立します。これらは間違いなく必要ですが、この詐欺は、顧客がマルウェアに引っかかると、事態がいかに簡単に悪化するかを示しています。

2. WPPディープフェイク詐欺

テクノロジーが進歩するにつれ、サイバー犯罪者がテクノロジーを悪用する創造性も高まっています。人工知能 (AI) は非常に信憑性が高くなったため、精巧なディープフェイクのせいで、消費者は見たり聞いたりするすべてを必ずしも信頼できるわけではないことを学ばざるを得なくなりました。


こうした状況は、英国の多国籍広告・広報会社 WPP の CEO マーク・リード氏にとって、最も関心の高い問題となった。同氏は最近、多数のプラットフォームやメディア タイプを悪用したディープフェイク詐欺について詳細に説明した。


リード氏は、ハッカーが新しいWhatsAppアカウントを作成し、彼の公開されている画像をプロフィール写真として使用した方法を説明した。ハッカーはそれを使用して、リード氏とやり取りしていると思っていた別の上級幹部とのMicrosoft Teamsでの会議をスケジュールした。


会議中、サイバー犯罪者はリード氏の音声クローンと YouTube 映像を展開し、同時に Microsoft Teams のチャット ウィンドウでやり取りしてリード氏になりすまし、リーダーのように見え、聞こえ、読みやすい資料で他の出席者を騙した。その目的は、ある機関のトップに新しいビジネスを立ち上げるよう説得し、その後、詐欺師が彼らから財務情報や個人情報を入手することだった。


この詐欺は失敗し、リードはその結果、彼の会社の警戒心が強まった標的となった幹部のハッカーの期待通りの反応がなかったことなど、さまざまな理由が考えられます。CEOは、メールの受信箱を越える手口も含め、ますます巧妙化する手口に対して全員が警戒する必要があると指摘しました。


一部の技術専門家は、ブロックチェーンは人々の声の特徴を保護するのに最適であると示唆している。悪意のある第三者による改ざんを防止する認証されたクリップ付き。しかし、有名人の声はテレビ、ラジオ、YouTube、さらにはオーディオブックにも掲載されているため、やる気のあるサイバー犯罪者には利用できるデータが豊富だ。

3. 中小企業をターゲットにした誤解を招くAI広告

サイバー詐欺から完全に安全な企業や個人は存在しませんが、巧妙に仕組まれた攻撃の影響は、被害者によって大きく異なります。中小企業は、完全かつ迅速に復旧するためのリソースが不足していることが多いため、その好例です。


しかし、2023年の調査によると、 中小企業の73%がサイバー攻撃を経験、データ侵害、またはその両方が前年に発生しました。2024年の報告書によると、サイバー攻撃は60%の人が最も懸念していた回答者の70%が、脅威の深刻さを理解していると回答した。


残念ながら、詐欺師は中小企業の経営者が絶好のターゲットであることを知っており、新しい技術でワークフローを改善したいという被害者の願望を食い物にする可能性があります。中小企業に対する詐欺が Google 幹部の注目を集め、詐欺師に対する訴訟に発展したケースがまさにその例です。


この戦略は、現在Geminiとして知られる大規模言語モデルであるGoogle Bardを中心に展開された。このテクノロジー企業の最初の訴訟は、ソーシャルメディアのプロフィールや広告を作成し、中小企業経営者にBardのダウンロードを勧める悪質な行為者に対するものだった。


しかし、Google は、Bard を使用するために何かをダウンロードする必要はなく、代わりに、そのツールを既存の製品の多くに統合しました。この詐欺に騙された人は、何かをダウンロードすれば Bard を使用できると期待していました。しかし、実際には、ソーシャル メディア プロファイルを侵害するマルウェアが配布されました。


2023年4月から11月にかけて、Googleは約300件の削除通知が関連この詐欺行為で、犯罪者が同様のサイトを立ち上げるのを阻止し、現在ドメイン登録機関に登録されているサイトを非アクティブ化する命令を求めた。


この詐欺は、Google のブランド認知度と、ビジネス運営をより便利にするための新製品を試してみたいという人々の関心をうまく利用した点で独創的でした。

真実と嘘が混ざり合う

こうした独創的なサイバー詐欺は、詐欺を企む者たちが目的を達成するためには手段を選ばないことを証明している。たとえその努力が報われなかったとしても(WPP ディープフェイク事件のように)、それは人々が物事が見た目どおりではないことに常に警戒しなければならないという警告となる。結局のところ、ほとんどのオンライン詐欺には真実の要素と虚偽の要素が混じっているのだ。


Google Bardという製品がありましたが、これを使用するのにソフトウェアをダウンロードする必要はありませんでした。マーク・リードはWPPのCEOですが、新規事業の立ち上げに関する会議を企画したり参加したりしたことはありませんでした。これらの事例は、行動を起こす前に慎重に考えること、そして破滅的な結果をもたらす可能性のある決定を下す前に主張を検証することの重要性を浮き彫りにしています。