Investor's wiki

なりすまし

なりすまし

##スプーフィングとは何ですか?

なりすましは、犯罪者が電子メールアドレス、表示名、電話番号、テキストメッセージ、またはWebサイトのURLを偽装して、既知の信頼できるソースとやり取りしていることをターゲットに納得させる詐欺の一種です。なりすましには、一目で有効に見えるように、通信の1つの文字、数字、または記号を変更することが含まれることがよくあります。たとえば、偽のドメイン名「netffix.com」を使用してNetflixから送信されたように見える電子メールを受信する可能性があります。

##なりすましの仕組み

なりすまし犯罪者はあなたの信頼を得ようとします、そして彼らはあなたになりすましの通信が合法であるとあなたに信じさせることを頼りにします。多くの場合、AmazonやPayPalなどの信頼できる大企業の名前を使用するだけで、ターゲットに何らかのアクションを実行したり、情報を公開したりするのに十分です。

たとえば、Amazonからの偽の電子メールは、最近の購入に問題があることを示している可能性があります。これにより、リンクをクリックして詳細を確認するように動機付けられる可能性があります(ヒント:リンクをクリックしないでください)。そのリンクから、マルウェアをダウンロードしたり、偽のログインページに誘導されたりする可能性があります。このページでは、ユーザー名とパスワードを無意識のうちに入力します。

なりすましは、個人情報や財務情報の開示、送金、マルウェアのダウンロードにつながる可能性があり、感染したコンピューター、金融詐欺、身元情報の盗難につながる可能性があります。なりすましは、リンクや添付ファイルを介してマルウェアを拡散し、ネットワークアクセス制御をバイパスし、サービス拒否(DoS)攻撃によるアクセスを制限するために使用できます。企業レベルでは、なりすましは、感染したコンピューターシステムとネットワーク、データ侵害、および収入の損失を引き起こす可能性があります。

なりすましには、電子メールのなりすまし、テキストメッセージのなりすまし、発信者IDのなりすまし、URLとGPSのなりすましなど、いくつかの種類があります。基本的に、オンラインコミュニケーションの形式がある場合、スプーファーはその形式に、そしてあなたのアイデンティティと資産に侵入しようとしています。

##特別な考慮事項

なりすまし詐欺師から身を守る方法はいくつかあります。

-メールのスパムフィルタをオンにします。これにより、多くのなりすましメールが受信トレイに届くのを防ぐことができます。

-不明な送信者からのメールのリンクをクリックしたり、添付ファイルを開いたりしないでください。電子メールが正当である可能性がある場合は、送信者に直接連絡して、それが本物であることを確認してください。

-何らかの理由でアカウントへのログインを求める不審なメールやテキストを受け取った場合は、表示されたリンクをクリックしないでください。代わりに、新しいタブまたはウィンドウ(または電話の専用アプリ)を開いて、アカウントに直接ログインします。

-Windowsでファイル拡張子を表示します。 Windowsはデフォルトではファイル拡張子を表示しませんが、設定を変更できます。これを行うには、ファイルエクスプローラーの[表示]タブをクリックし、チェックボックスをオンにしてファイル拡張子を表示します。これにより、詐欺師がファイル拡張子をスプーフィングするのを防ぐことはできませんが、スプーフィングされた拡張子を表示して、悪意のあるファイルを開かないようにすることができます。

-評判の良いサイバーセキュリティソフトウェアに投資します。優れたソフトウェアは、潜在的な脅威について警告し、ダウンロードを停止し、マルウェアによる乗っ取りを防ぎます。ソフトウェアは、最新の状態に保ち、定期的に使用する場合にのみ機能することに注意してください。

-個人情報を求める問い合わせがあった場合は、提供しないでください。電話を切る(またはログオフする)と、個人情報について連絡しているとされるエンティティからの電話番号またはカスタマーサービスの電子メールアドレスを検索します。

なりすましをしていると思われる場合は、連邦通信委員会(FCC)の消費者苦情センターに苦情を申し立てることができます。 FCCは個々の苦情には対応しませんが、その情報をデータベースに追加します。なりすましのためにお金を失った場合、FCCは地元の警察に連絡することをお勧めします。

##なりすましの種類

###メールスプーフィング

、データを盗んだり、お金を要求したり、コンピューターをマルウェアに感染させたりすることを目的としたフィッシング攻撃の一部として、偽の送信者アドレスで電子メールを送信する行為です。この戦術は、不正な広告主と完全な泥棒の両方によって使用されます。スプーファは、偽造された「From:」行を含む電子メールを送信して、被害者をだまして、メッセージが友人、銀行、またはその他の正当なソースからのものであると信じ込ませます。パスワード、ソーシャルセキュリティ番号、またはその他の個人情報を要求する電子メールは、トリックになる可能性があります。

これらの電子メールには通常、次のような欺瞞的な機能の組み合わせが含まれています。

-あなたが知っていて信頼している人のように見える偽の送信者アドレス

-送信者アドレスが欠落しているか、平均的なユーザーが見つけにくいアドレスが少なくとも1つあります

-ロゴ、色、行動を促すボタンなど、おなじみのコーポレートブランディング

-タイプミス、文法の誤り、異常な構文(例:「こんにちは、このデータが適切であることを確認してください」)。

###テキストメッセージのなりすまし

スミッシングと呼ばれることもあるテキストメッセージ(SMS)のなりすましは、電子メールのなりすましに似ています。テキストメッセージは、銀行や診療所などの正当な情報源から送信されたように見えます。特定の電話番号に電話するか、メッセージ内のリンクをクリックして個人情報を公開するように要求される場合があります。

###発信者IDスプーフィング

ここで、スプーファーは、あなたに電話をかけてもらうことを期待して、電話をかけている電話番号を偽造します。発信者IDには、内国歳入庁(IRS)などの合法的な企業または政府機関からの電話であるように見える場合があります。 IRSは、最初に請求書を郵送せずに納税者に税金を支払う義務があることを伝えるために納税者に電話をかけないと言っていることに注意してください。

なりすましにはさまざまな形態がありますが、目標は通常、犯罪者が使用できる個人情報を漏らすように人々を騙すことです。

###隣人のなりすまし

これは、発信者IDのなりすましの一種であり、あなたが知っている人またはあなたの近くに住んでいる人からの通話のように見えます。 FCCによると、Truth in Caller ID Actは、「詐欺、危害を加えたり、価値のあるものを誤って取得したりする目的で、誤解を招くまたは不正確な発信者ID情報を送信することを禁止しています」。それらが捕らえられた場合(そしてそれは大きな「if」です)、スプーファーは違反ごとに最大10,000ドルのペナルティに直面する可能性があります。

###URLまたはWebサイトのなりすまし

URLスプーフィングは、詐欺師が被害者から情報を入手したり、コンピューターにマルウェアをインストールしたりするために不正なWebサイトをセットアップしたときに発生します。たとえば、被害者は自分の銀行やクレジットカード会社に属しているように見えるサイトに誘導され、ユーザーIDとパスワードを使用してログインするように求められる場合があります。その人がそれに落ちてログインすると、詐欺師は被害者が入力した情報を使用して実際のサイトにログインし、自分のアカウントにアクセスする可能性があります。

###GPSスプーフィング

GPSスプーフィングの目的は多少異なります。 GPS受信機をだまして、偽のGPS信号やその他の手段をブロードキャストすることにより、GPS受信機が別の場所にある、または別の方向に向かっていると信じ込ませようとします。この時点で、GPSスプーフィングは、個人の消費者をターゲットにするよりも、戦争やゲーマー(PokémonGOプレーヤーなど)によって使用される可能性が高くなりますが、このテクノロジーは誰もが脆弱になるように存在します。

Man-in-the-middle(MitM)攻撃

これらのなりすまし攻撃には、被害者、被害者が通信しようとしているエンティティ、および通信を傍受する「真ん中の男」の3人のプレーヤーが関与します。なりすましは、取引所を盗聴するか、当事者の1人になりすますことを試みます。目標は、有用、機密、または潜在的に有益な情報(たとえば、ログイン資格情報やクレジットカード情報)を傍受することです。盗まれた情報は、金融取引の承認や身元の盗難に使用されたり、第三者に販売されたりする可能性があります。

###IPスプーフィング

このタイプの詐欺は、誰かがデータを送信または要求している場所を偽装または非表示にしたい場合に発生するため、ソースインターネットプロトコル(IP)アドレスを偽のアドレスに置き換えます。スプーフィングされたIPアドレスは、信頼できるソース(元のIPアドレス)からのもののように見えますが、その真のID(不明なサードパーティ)をマスクしています。

###フェイシャルスプーフィング

これは、なりすましの最新の形式です。顔のなりすましでは、犯罪者は人の顔を使用し、写真やビデオを使用して身元を置き換えることにより、顔のバイオメトリクスをシミュレートします。顔のなりすましは、銀行のなりすまし詐欺を犯すために最も一般的に使用されます。ただし、マネーロンダリングにも使用されます。

##なりすましを検出する方法

なりすましは洗練されている可能性があるため、細部に細心の注意を払い、本能を信頼することが重要です。ロック記号や緑色のバーがないWebサイト、またはHTTPの暗号化バージョンであるHTTPSではなくHTTPで始まるURLに注意してください。偽のWebサイトを識別する別の方法は、パスワードマネージャーがログインを自動入力しない場合、つまりWebサイトを認識しないことを示す場合です。

電子メールでは、送信者のアドレスをよく調べてください。詐欺師は、正当なドメインと非常によく似た偽のドメインを使用することに注意してください。もちろん、タイプミス、文法の誤り、メールの異常な構文も危険信号です。それでもわからない場合は、メールの内容をコピーしてGoogleに貼り付けてください。ここですばやく検索すると、既知の詐欺が蔓延しているかどうかを確認できます。最後に、クリックする前に、必ず埋め込みリンクにカーソルを合わせてURLを表示します。 URLが疑わしいと思われる場合は、詐欺である可能性があります。

スマートフォンにあるリンクにカーソルを合わせるには、リンクを数秒間指で押し続けます。リンクの完全なURLを示すウィンドウがポップアップ表示されます。これは、リンクが信頼できるか疑わしいかを判断するのに役立ちます。

電話では、発信者IDは簡単に偽装されます。詐欺師はしばしば隣人のなりすましを使用するため、電話は市内番号から発信されているようです。彼らはまた、あなたが知っていて信頼している政府機関や企業からの数を偽装するかもしれません。 FCCは、不明な番号からの電話に応答しないように、そしてそのような電話に応答した場合はすぐに電話を切るように人々にアドバイスしています。

##ハイライト

-個人情報の要求には懐疑的であり、信頼できるソースからのみファイルをダウンロードし、信頼できるアンチウイルスおよびアンチマルウェアソフトウェアをインストールします。

-なりすましをしていると思われる場合は、連邦通信委員会(FCC)の消費者苦情センターに苦情を申し立ててください。お金を失った場合は、地元の警察に連絡してください。

-個人情報を漏らすように仕向けるなりすましは、電子メール、テキストメッセージ、発信者ID、さらにはGPS受信機を介して行うことができます。

## よくある質問

###なりすましの例は何ですか?

一般的ななりすましのシナリオは、電子メールが偽の送信者アドレスから送信され、受信者に機密データの提供を求める場合に発生します。通常、受信者は、リンクをクリックしてアカウントにログインし、個人情報と財務情報を更新するように求められます。なりすましメールのリンクも、受信者のコンピューターをマルウェアに感染させます。

###なりすましの種類にはどのようなものがありますか?

なりすましには、電子メールのなりすまし、テキストメッセージ(SMS)のなりすまし、発信者IDのなりすまし、Webサイトのなりすまし、GPSのなりすまし、IPのなりすまし、顔のなりすましなど、さまざまな形式があります。

###なりすましとフィッシングの違いは何ですか?

「なりすまし」と「フィッシング」という用語は同じ意味で使用されることがよくありますが、意味は異なります。なりすましは、偽の電子メールアドレス、表示名、電話番号、またはWebアドレスを使用して、人々をだまして、既知の信頼できるソースと対話していると信じ込ませます。フィッシングは、身元の盗難に使用できる個人データを提供するようにあなたを騙します。多くのフィッシャーは、なりすましの戦術を使用して、被害者をだまして、正当で信頼できる情報源に個人情報を提供していると信じ込ませます。