-
ソーシャル エンジニアリングの戦術とサイバー犯罪者が人間の心理を操作する方法。
-
2024年8月12日
-
ソーシャル エンジニアリングは、技術的な弱点ではなく人間の弱点を突く攻撃方法です。サイバー犯罪者は、システムに強制的に侵入しようとするのではなく、人々を操作して、求めている情報を自発的に引き渡させます。攻撃者は心理的操作を通じて、データやシステムのセキュリティを侵害するアクションを被害者に実行させます。
Phishing
彼phishingこれは、最も一般的で効果的なソーシャル エンジニアリング戦術の 1 つです。これには、銀行やソーシャル メディア プラットフォームなどの信頼できるソースから送信されたように見える詐欺メールが送信されます。目的は、被害者をだましてパスワードやクレジット カード番号などの機密情報を引き渡すことです。これらの電子メールには通常、正当に見えるように設計された偽の Web サイトへのリンクが含まれており、被害者はそこで個人情報を入力します。
の亜種 phishing、のように spear phishingそして whaling、特定の被害者をターゲットにし、個人情報や企業情報を使用して攻撃をより説得力のあるものにします。の場合 spear phishingは個人または会社の従業員に焦点を当てていますが、 whaling上級幹部がターゲット。
Pretexting: 魅力的なストーリーを作成する
彼 pretextingこれは、攻撃者が偽のシナリオ、つまり「口実」を作成して、被害者をだまして機密情報を暴露させる戦術です。これには、同僚、サポート技術者、さらには警察官などの権威者になりすますことが含まれる場合があります。鍵となるのは pretextingそれは、被害者が疑念を抱かないように、攻撃者が提示する話は十分に信頼できるものでなければならないということです。
たとえば、サイバー犯罪者は IT 部門のふりをして従業員に電話し、技術的な問題を解決するためにその従業員のアカウントへのアクセスを要求する可能性があります。攻撃者は、威厳と緊迫感を持った態度を示すことで、被害者に警戒を解かせて協力させます。
Baiting: 魅惑的な罠で被害者を捕まえる
彼baiting攻撃者が偽の報酬やインセンティブを使って被害者をおびき寄せる戦術です。一般的な例としては、感染した USB ドライブを駐車場やコーヒー ショップなどの公共の場所に放置し、誰かが取り出してコンピュータに接続するのを待っていることが挙げられます。接続すると、悪意のあるソフトウェアが被害者のシステムに自動的にインストールされます。
別の方法 baitingこれには、ソフトウェア、音楽、映画の無料ダウンロードが含まれる場合があります。サイバー犯罪者はこれらのファイルを非公式 Web サイトで提供しますが、ダウンロードされたファイルには被害者のデバイスのセキュリティを侵害するマルウェアが含まれています。その考えは、何かを「無料」で手に入れたいという誘惑が人の判断力を鈍らせ、起こり得るリスクを無視させるというものです。
Quid pro quo:不正な交換
彼 quid pro quo「何かのための何か」を意味する、攻撃者が情報やアクセスと引き換えにサービスや利益を提供する戦術です。一般的な例としては、サイバー犯罪者がサポート技術者を装い、アクセス資格情報と引き換えに技術的な問題の解決を申し出る場合です。
このタイプの攻撃は、従業員が技術サポートを受けることに慣れている職場環境で特に効果的です。サイバー犯罪者は緊急の技術的問題を解決すると約束し、被害者は助けを求めて、その申し出の正当性を疑うことなく、要求された情報を提供します。
なりすまし:他人になりすますこと
なりすましは、攻撃者が別人 (通常は被害者が信頼している人) になりすますソーシャル エンジニアリング手法です。これには、同僚、上司、さらにはサプライヤーになりすますことが含まれる場合があります。なりすまし攻撃は、従業員が上司の命令に疑問を持たずに従うことが多い企業環境で特に効果的です。
場合によっては、攻撃者は被害者を調査して、自分たちの行動の信頼性を高める具体的な詳細を取得します。攻撃者は、ソーシャル メディア プロフィールなどの公開情報を使用して、アプローチをカスタマイズし、要求が正当であるかのように見せることができます。たとえば、企業の CEO を装って電子メールを送信し、攻撃者が管理する口座への緊急の銀行振込を要求することができます。
罠にはまらないようにする
ソーシャル エンジニアリング戦術から身を守るには、知識、注意力、懐疑心を組み合わせる必要があります。サイバー犯罪者が使用する手口について従業員や一般の人々を教育することが重要です。組織は、従業員がソーシャル エンジニアリング攻撃を認識し、適切に対応できるように、ソーシャル エンジニアリング攻撃のシミュレーションを含むセキュリティ意識向上プログラムを導入する必要があります。
さらに、機密情報やシステムへのアクセスを要求する人の身元を常に確認することが重要です。セキュリティ ポリシーには、受信したメッセージで提供された情報ではなく、公式の連絡先情報を使用して要求を行ったとされる人物に直接連絡するなど、要求を検証する手順を含める必要があります。
したがって、ソーシャル エンジニアリングは依然としてサイバーセキュリティ環境において最も潜行的な脅威の 1 つです。攻撃者が使用する戦術を理解し、事前に対策を講じることで、攻撃者の罠に陥るリスクを大幅に軽減できます。
Comentarios:
Sin comentarios