ソーシャルエンジニアリングは、機密情報を放棄するように人々を操作する技術です。これらの犯罪者が求める情報の種類はさまざまですが、個人が標的にされると、犯罪者は通常、あなたをだましてパスワードや銀行情報を提供させたり、コンピュータにアクセスして悪意のあるソフトウェアを密かにインストールしようとします。パスワードと銀行情報、およびコンピューターの制御を許可します。

通常、ソフトウェアをハッキングする方法を見つけるよりも、信頼するという自然な傾向を悪用する方が簡単であるため、犯罪者はソーシャルエンジニアリングの戦術を使用します。たとえば、誰かをだましてパスワードを教えてもらう方が、パスワードをハッキングしようとするよりもはるかに簡単です（パスワードが本当に弱い場合を除く）。

フィッシングは進化しました。このガイドでは、ハッカーがデータを狙う11の方法と、自分自身を保護する方法を学びます。

セキュリティとは、誰を何を信頼するかを知ることです。いつ、いつ人を彼らの言葉で受け入れないか、そしてあなたが通信している人がいつ彼らが誰であるかを知ることは重要です。オンラインでのやり取りやウェブサイトの使用についても同じことが言えます。使用しているウェブサイトが合法であるか、安全に情報を提供できると確信できるのはいつですか。

セキュリティの専門家に尋ねると、最も弱いと言われます。セキュリティチェーンのリンクは、人またはシナリオを額面通りに受け入れる人間です。ドアや窓にいくつの錠やデッドボルトがあるか、番犬、警報システム、投光照明、有刺鉄線のある柵、武装した警備員がいるかどうかは関係ありません。ゲートで彼がピザ配達人であると言っている人を信頼し、彼が合法であるかどうかを最初に確認せずに彼を入れた場合、あなたは彼が表すあらゆるリスクに完全にさらされます。

ソーシャルエンジニアリング攻撃はどのように見えますか？

友人からのメール

犯罪者が1人のメールパスワードをハッキングまたはソーシャルエンジニアリングした場合、その人の連絡先リストにアクセスできます。ほとんどの人がどこでも1つのパスワードを使用すれば、おそらくその人のソーシャルネットワーキングの連絡先にもアクセスできます。

犯罪者がその電子メールアカウントを管理できるようになると、その人のすべての連絡先に電子メールを送信するか、すべての連絡先にメッセージを残します。友人のソーシャルページ、場合によってはその人の友人の友人のページ。

あなたの信頼と好奇心を利用して、これらのメッセージは次のようになります。

• リンクが含まれているチェックアウトする必要があること、そしてリンクは友人からのものであり、興味があるので、あなたは信頼するでしょうリンクしてクリックし、マルウェアに感染させて、犯罪者があなたのマシンを乗っ取り、連絡先情報を収集して、あなたがだまされたようにだまします

• 写真のダウンロードを含め、悪意のあるソフトウェアが埋め込まれている音楽、映画、ドキュメントなど。友達からのものだと思ってダウンロードする可能性が高いので、ダウンロードすると感染します。これで、犯罪者はあなたのマシン、電子メールアカウント、ソーシャルネットワークアカウント、連絡先にアクセスできるようになり、攻撃はあなたが知っているすべての人に広がります。

別の信頼できるソースからのメール

フィッシング攻撃は、信頼できるソースを模倣して作成するソーシャルエンジニアリング戦略のサブセットです。ログイン資格情報やその他の機密性の高い個人データを渡すための一見論理的なシナリオ。 Webrootのデータによると、金融機関は偽装企業の大多数を占めており、Verizonの年次データ侵害調査レポートによると、フィッシングや口実を含むソーシャルエンジニアリング攻撃（以下を参照）が成功したデータ侵害の93％の原因となっています。

説得力のあるストーリーや口実を使用して、これらのメッセージは次のようになります。

• 緊急に助けを求めます。あなたの「友達」はX国で立ち往生し、奪われ、殴打されました。 、そして病院にいます。彼らは家に帰るためにあなたにお金を送る必要があり、犯罪者にお金を送る方法を教えてくれます。

• フィッシングの試みを正当に見える背景。通常、フィッシング詐欺師は、正当で人気のある企業、銀行、学校、または機関から送信されたように見える電子メール、IM、コメント、またはテキストメッセージを送信します。

• 彼らの慈善募金活動またはその他の目的に寄付するように依頼します。犯罪者に送金する方法についての指示がある可能性があります。親族を捕食する寛大さと寛大さを備えたこれらのフィッシング詐欺師は、災害、政治運動、慈善活動が一時的に最優先事項である場合は、援助や支援を求めます。

• 問題を提示して「表示されたリンクをクリックし、フォームに情報を入力して、情報を確認してください。リンクの場所は、すべての適切なロゴとコンテンツで非常に正当に見える場合があります（実際、犯罪者は正当なサイトの正確な形式とコンテンツをコピーした可能性があります）。すべてが合法に見えるので、あなたは電子メールと偽のサイトを信頼し、詐欺師が求めているあらゆる情報を提供します。これらのタイプのフィッシング詐欺には、すぐに行動しなかった場合にどうなるかについての警告が含まれていることがよくあります。犯罪者は、あなたが考える前に行動を起こすことができれば、フィッシングの試みに陥る可能性が高いことを知っているからです。

• あなたが「勝者」であることを通知します。おそらく、電子メールは宝くじ、死んだ親戚、またはサイトをクリックした100万人目の人物などからのものであると主張しています。 「賞金」を受け取るには、銀行のルーティングに関する情報を提供して、送金方法を知ってもらうか、住所と電話番号を提供して賞金を送金できるようにする必要があります。また、あなたが誰であるかを証明するよう求められる場合もあります。多くの場合、社会保障番号が含まれます。これらは「貪欲なフィッシュ」であり、物語の口実が薄い場合でも、人々は提供されたものを欲しがり、情報を提供し、銀行口座を空にし、個人情報を盗むことでそれに夢中になります。

• 上司または同僚としてポーズをとる。会社のクレジットカードに関連する支払い情報、または日常業務を装ったその他の問い合わせについて、会社が現在取り組んでいる重要な専有プロジェクトの更新を要求する場合があります。

餌のシナリオ

これらのソーシャルエンジニアリングスキームは、人々が望むものをぶら下げると、多くの人々が餌を取ることを知っています。これらのスキームは、最新の映画や音楽などのダウンロードを提供するピアツーピアサイトでよく見られます。ただし、このスキームは、ソーシャルネットワーキングサイトや検索結果で見つけた悪意のあるWebサイトなどにも見られます。

または、このスキームは、分類されたサイトやオークションサイトなどで驚くほど多く表示される場合があります。 ..疑惑を和らげるために、売り手が良い評価を持っていることがわかります（すべて事前に計画および作成されています）。

餌をとる人は、悪意のあるソフトウェアに感染している可能性があります。自分自身とその連絡先に対する新たな悪用は、購入したアイテムを受け取らずにお金を失う可能性があり、小切手で支払うほど愚かだった場合、銀行口座が空になる可能性があります。

質問への回答かつてなかった

犯罪者は、企業からの「助けを求める要求」に応答しているふりをする一方で、さらに多くの助けを提供する場合があります。彼らは、ソフトウェア会社や銀行など、何百万人もの人々が使用する会社を選びます。製品またはサービスを使用しない場合は、電子メール、電話、またはメッセージを無視しますが、サービスを使用する場合は、問題の解決が必要な可能性があるため、応答する可能性が高くなります。 。

たとえば、最初に質問をしなかったことがわかっていても、おそらくコンピュータのオペレーティングシステムに問題があり、この機会を利用して修正します。無料で！あなたが応答した瞬間、あなたは詐欺師の話を購入し、彼らにあなたの信頼を与え、搾取のために自分自身を開放しました。

実際には犯罪者である代表者は、「あなたを認証」する必要があります。 「彼らのシステム」または、あなたはあなたのコンピュータにログインして、彼らがあなたのためにそれを「修正」できるようにあなたのコンピュータへのリモートアクセスを与えるか、あなたが彼らの助けを借りてあなた自身でそれを修正できるようにあなたにコマンドを教えますか？入力するように指示されたコマンドは、犯罪者が後でコンピュータに戻る方法を開きます。

不信感の作成

一部のソーシャルエンジニアリングは、不信感の作成、または競合の開始に関するものです。 ;これらは多くの場合、あなたが知っていてあなたに腹を立てている人々によって実行されますが、それはまた、大混乱を引き起こそうとしている厄介な人々、最初に他人についてあなたの心に不信感を生み出したい人々によって実行されます。ヒーローで信頼を得たり、情報を操作して開示を脅かしたりする強奪者によって。

この形式のソーシャルエンジニアリングは、多くの場合、IMクライアントの電子メールアカウントまたは別の通信アカウントにアクセスすることから始まります。 、ソーシャルネットワーク、チャット、フォーラムなど。ハッキング、ソーシャルエンジニアリング、または単に非常に弱いパスワードを推測することでこれを実現します。

• 悪意のある人物は、機密性の高い通信やプライベートな通信を変更する可能性があります。 （画像や音声を含む）基本的な編集技術を使用して、これらを他の人に転送し、ドラマ、不信、恥ずかしさなどを作成します。誤って送信されたように見せたり、「本当に」とは何かを知らせているように見せたりする場合があります。進行中です。

• Aあるいは、ハッキングされた人物または想定される受信者から金銭を強要するために、変更された資料を使用する場合があります。

ソーシャルエンジニアリング攻撃には文字通り何千ものバリエーションがあります。この種のエクスプロイトを通じてユーザーをソーシャルエンジニアリングできる方法の数に対する唯一の制限は、犯罪者の想像力です。また、1回の攻撃で複数の形態のエクスプロイトが発生する可能性があります。そうすれば、犯罪者はあなたの情報を他人に売る可能性が高く、犯罪者が人々の見当違いの信頼を利用するときに、他人もあなた、あなたの友人、あなたの友人の友人などに対してエクスプロイトを実行できます。

にならないでください被害者

フィッシング攻撃は横行し、短命であり、キャンペーンを成功させるために餌を取るのに数人のユーザーしか必要としませんが、身を守る方法はいくつかあります。ほとんどの場合、目の前の細部に注意を払うだけで十分です。自分でフィッシングされないように、次の点に注意してください。

覚えておくべきヒント：

• 速度を落とします。スパマーは、最初に行動して後で考えることを望んでいます。メッセージが緊急性を伝えている場合や、高圧の販売戦略を使用している場合は、懐疑的です。その緊急性が慎重なレビューに影響を与えないようにしてください。

• 事実を調査します。迷惑メッセージを疑ってください。使用している会社からのメールのように見える場合は、独自の調査を行ってください。検索エンジンを使用して実際の会社のサイトにアクセスするか、電話番号を見つけるための電話ディレクトリ。

• リンクで着陸場所を制御しないでください。検索エンジンを使用して自分でWebサイトを見つけ、着陸する予定の場所に着陸するようにしてください。メール内のリンクにカーソルを合わせると、実際のURLが下部に表示されますが、偽物を使用すると、誤った方向に進む可能性があります。

• メールの乗っ取り横行しています。ハック人々の電子メールアカウント（およびその他の通信アカウント）の制御を引き継ぐユーザー、スパマー、およびソーシャルエンジニアが横行しています。メールアカウントを管理すると、その人の連絡先の信頼を食い物にします。送信者があなたの知っている人のように見えても、リンクや添付ファイルが記載されたメールを期待していない場合は、リンクを開いたりダウンロードしたりする前に、友達に確認してください。

• 注意してください。任意のダウンロード。送信者を個人的に知らず、送信者からのファイルを期待している場合、何かをダウンロードするのは間違いです。

• 外国のオファーは偽物です。外国の宝くじや懸賞からメールを受け取ったり、見知らぬ親戚からお金を受け取ったり、そのお金の一部を外国から送金したりすることを要求した場合、それは詐欺であることが保証されます。

自分を守る方法：

• 財務情報やパスワードのリクエストを削除します。個人情報を含むメッセージへの返信を求められた場合、それは詐欺です。

• ヘルプのリクエストやヘルプの提供を拒否します。正当な企業や組織が支援を提供するためにあなたに連絡することはありません。送信者に特に支援を要求しなかった場合は、クレジットスコアの復元、家の借り換え、質問への回答など、詐欺を「支援」する提案を検討してください。同様に、関係のない慈善団体や組織から支援の要請を受けた場合は、それを削除してください。与えるには、詐欺に見舞われないように、自分で評判の良い慈善団体を探してください。

• スパムフィルターを高く設定します。すべての電子メールプログラムにはスパムフィルターがあります。自分のものを見つけるには、設定オプションを確認し、これらを高に設定します。スパムフォルダを定期的にチェックして、正当な電子メールが誤ってそこにトラップされていないかどうかを確認してください。メールプロバイダーの名前と「スパムフィルター」というフレーズを検索して、スパムフィルターを設定するためのステップバイステップガイドを検索することもできます。

• コンピューティングデバイス。ウイルス対策ソフトウェア、ファイアウォール、電子メールフィルターをインストールし、これらを最新の状態に保ちます。オペレーティングシステムを自動的に更新するように設定します。スマートフォンが自動的に更新されない場合は、通知を受け取ったら手動で更新します。 Webブラウザまたはサードパーティが提供するフィッシング対策ツールを使用して、リスクを警告します。

Webrootの脅威データベースには、6億を超えるドメインと270億のURLがあります。 Webベースの脅威からユーザーを保護するために分類されています。すべての製品を支援する脅威インテリジェンスは、Webを安全に使用するのに役立ち、モバイルセキュリティソリューションは、フィッシング攻撃の成功を防ぐための安全なWebブラウジングを提供します。