Investor's wiki

ソーシャルエンジニアリング

ソーシャルエンジニアリング

##ソーシャルエンジニアリングとは何ですか?

ソーシャルエンジニアリングは、人間の弱点を悪用して個人情報や保護されたシステムにアクセスする行為です。ソーシャルエンジニアリングは、標的のアカウントに侵入するためにコンピュータシステムをハッキングするのではなく、個人を操作することに依存しています。

##ソーシャルエンジニアリングを理解する

ソーシャルエンジニアリングとは、ターゲットが重要な情報を放棄するようにターゲットを操作することを指します。個人の身元を盗んだり、クレジットカードや銀行口座を危険にさらしたりすることに加えて、ソーシャルエンジニアリングを適用して、企業の企業秘密を取得したり、国家のセキュリティを悪用したりすることができます。

たとえば、女性が男性の被害者の銀行に電話をかけ、妻のふりをして緊急事態を請求し、自分の口座へのアクセスを要求する場合があります。女性が銀行の顧客サービス担当者の共感的な傾向に訴えることで社会的にうまく設計できれば、女性は男性の口座へのアクセスを取得して彼のお金を盗むことに成功する可能性があります。

同様に、攻撃者は電子メールプロバイダーのカスタマーサービス部門に連絡してパスワードのリセットを取得し、攻撃者がターゲットの電子メールアカウントをハッキングするのではなく、そのアカウントを制御できるようにする可能性があります。

##ソーシャルエンジニアリングの防止

ソーシャルエンジニアリングは、潜在的なターゲットが防ぐには複雑です。強力なパスワードやアカウントの2要素認証などの予防策を講じることはできますが、銀行員などのアカウントにアクセスできるサードパーティによってアカウントが侵害される可能性があります。

ただし、個人はさまざまな方法でリスクを減らすことができます。これには、機密情報の提供の回避、ソーシャルメディアで情報を共有する際の注意、アカウントへのパスワードの繰り返しの禁止などが含まれます。ハッキングを減らすための追加の方法は、2要素認証を使用すること、アカウントのセキュリティの質問に偽のまたは推測が難しい回答を使用すること、およびアカウント、特に金融の質問に注意を払うことです。

迷惑メールを防ぐためにスパムフィルターを高く設定し、添付ファイルの内容を慎重に検討せずに添付ファイルを開かないでください。また、あなたが知っている誰かや企業から送信されたように見える場合でも、疑わしい、または通常とは異なると思われる電子メールには細心の注意を払うことが常に賢明な決定です。

##ソーシャルエンジニアリングの戦術

攻撃者は、人々に助けを求めるなど、ソーシャルエンジニアリングスキームで驚くほど単純な戦術を使用することがよくあります。もう1つの戦術は、被災者の名前、住所、生年月日、行方不明または亡くなった愛する人の社会保障番号などの個人を特定できる情報を提供するように依頼することで、被災者を悪用することです。なんで?これらの情報は後で個人情報の盗難に使用される可能性があるためです。

テクニカルサポートの専門家または配達員になりすますことは、悪意のある添付ファイルが付いた一見正当な電子メールを送信するのと同様に、アカウントへの不正アクセスを簡単に取得できます。このような電子メールは、多くの場合、人々が未知の送信者を疑う可能性が低い職場の電子メールアドレスに送信されます。

電子メールは、ハッカーによって送信されたときに、既知の送信者から発信されたように見せかけることができます。特定の人々を対象としたより複雑な戦術には、彼らの興味について学び、その興味に関連するリンクをターゲットに送信することが含まれる場合があります。リンクには、コンピューターから個人情報を盗む可能性のある悪意のあるコードが含まれている可能性があります。人気のソーシャルエンジニアリング手法には、フィッシングキャットフィッシングテールゲーティング、ベイティングなどがあります。

友人や同僚からのリンクや添付ファイルを期待していない場合は、詐欺師を除外するために送信したかどうかを確認するために、電話やテキストで連絡する価値があるかもしれません。

##ソーシャルエンジニアリング攻撃の種類

ハッカーがソーシャルエンジニアリング攻撃を作成する方法はたくさんあります。コンピュータのバグを「修正」するためのテクニカルサポートの専門家を装うことから、ソーシャルメディアアカウントに「友達」リクエストを送信することまでです。ここに3つの人気のあるソーシャルエンジニアリング攻撃があります。

###オンラインベイティング

オンラインベイトは、ハッカーが仕事を見つけたり、副収入を得たり、有用な情報を提供しているように見えるリンクを含む広告を送信したときに発生します。疑いを持たない人が餌をクリックすると、マルウェアが自分のコンピューターに感染します。

###フィッシング

これらの詐欺は、銀行や他の金融機関、さらには政府機関になりすまして、ポリシーに違反したと主張したり、税金を支払うのを忘れたり、パスワードの変更を求めたりするテキストやメールの形で行われます。これらの詐欺は、受信者から恐怖や懸念を引き出し、機密情報を提供するように設計されています。

この種の攻撃は、疑いを持たない個人を誘惑して、銀行口座番号、社会保障番号、その他の機密情報などの個人情報を提供し、ハッカーがあなたの金融口座を侵害することを目的としています。

###物理的相互作用

ソーシャルエンジニアリング攻撃は、オンラインで発生するだけではありません。個人がオフィスで働いているふりをして、「ドアのコードやカードの鍵を忘れた」ために助けを必要としているために彼らを入れるように頼むなど、物理的な相互作用が発生する可能性があります。

##ソーシャルエンジニアリングに関するFAQ

###ソーシャルエンジニアリングの最も一般的な形式は何ですか?

社会保障番号、住所、およびその他の形式の個人情報を取得するために使用されるフィッシングは、ソーシャルエンジニアリングの最も一般的な形式です。

###ソーシャルエンジニアリングはどのくらい一般的ですか?

ソーシャルエンジニアリングは非常に一般的であり、ハッカーや詐欺師はその方法がより洗練されてきています。

###ソーシャルエンジニアリングは違法ですか?

はい。ソーシャルエンジニアリング攻撃は違法であり、個人情報の盗難や政府施設への侵入など、一部の形態は重大な犯罪と見なされます。

##ハイライト

-アカウントに2段階認証システムを作成することから、アカウントごとに異なるパスワードを使用することまで、多くの予防策を講じることができます。

-ソーシャルエンジニアリングは違法です。

-ソーシャルエンジニアリング攻撃は、オンラインまたは直接の個人に発生する可能性があります。

-ソーシャルエンジニアリング攻撃にはさまざまな形態がありますが、最も一般的なのはフィッシングです。

-個人情報の盗難はソーシャルエンジニアリング攻撃です。