フィッシング詐欺を見分けて回避する方法

グローバル化のこの現代において、世界人口の3分の2以上がテキストメッセージ、モバイル通話、そしてメールへのアクセスを持っていることから、地球上の人口の半分以上がフィッシングの試みにさらされていると結論付けるのは容易です。この提案された露出は、フィッシング攻撃が主に上記のメディアを通じて実行されるためであり、メールが最も一般的です。フィッシング攻撃の最終目的は、被害者の個人情報を取得することであり、銀行の詳細は黄金のポットです。この記事では、このサイバー脅威についてすべて説明し、フィッシャーの犠牲にならないように認識し、避ける方法をお見せします。

フィッシング詐欺の奇妙なロードマップ

フィッシングの主な目的は、あなたの金融口座への個人アクセス情報を取得することです。詐欺師は年々、個人を騙すために使用する戦術を進化させてきましたが、それでも、フィッシングの電話、テキスト、またはメールを詐欺として暴露することが可能になるいくつかの警告信号があります。

• Phishing calls, emails, and text messages from seemingly trusted organizations. Have you everreceived an email, supposedly sent by your ‘account officer’ requesting for personal information such as your social security number and other banking details? It would interest you to find that those messages and emails are from phishers posing as the real organizations.  
• Phishing emails and texts often come with unfounded stories. The trick of such exciting stories is to arouse passion in the victim. A famous phishing attack to which several bank users fell victim requested customers to ‘please’ resend their last login details to update the bank database. This request came after a narration was made about how hackers recently attacked the bank’s data infrastructure.

より有名な話で、騙されやすいのは、あなたのアカウントに不審なログイン試行があったと主張するものです。その後、ユーザーは個人情報をいくつか入力してパスワードをリセットするように勧められますが、これは通常、偽のウェブサイトで行われるか、一時的に乗っ取られた実際のウェブサイトで行われます。

通常、フィッシング詐欺師が巧妙に被害者の個人情報を収集する方法は以下の通りです：

1. They buy data of your subscription to online services, e.g., mobile numbers or email addresses.
2. Next, they create the bait in the form of deceptive emails, text, and fake websites to convince users that the messages are from organizations you are familiar with and trust.
3. The scammers send the messages in bulk to the initially purchased contacts, sometimes to thousands of users at a go.
4. The phishers use the data they can collect from ignorant recipients of the messages to make unauthorized purchases and acts using the victims’ account.

## 一般的なフィッシングの種類とその見分け方

フィッシングは以下に挙げるものに限定されるわけではありません。詐欺師はその手法を絶えず変化させていますが、広く報告されているフィッシング攻撃の記録は、それらを以下のカテゴリーに分類するのに役立ちます：

1. SMSフィッシングは、携帯電話ユーザーにテキストメッセージを転送し、顧客エージェントに連絡するか、テキスト内に埋め込まれたリンクを介して組織を訪問するよう求めることを含みます。リンクをクリックすると、被害者はログインページやテキストダイアログボックスに移動し、完全なアクセス権を得る前に個人情報の入力が必要になります。このタイプの攻撃は、携帯電話メーカーがインターネット革命に参加し、主にスマートフォンを生産するようになったため、部分的に増加しています。

SMSフィッシング攻撃を見分ける簡単な方法は、そのメッセージが通常、奇妙な番号から送信されたり、下手な文章で書かれていることが多いという点です。

2. メールフィッシングは、何も知らない被害者にメールで送られます。これらのメールは通常、実際の組織や個人を模倣して盗まれたロゴや脚注を付けて、複数のメールアドレスにBCC（密送）で送られます。メールフィッシング攻撃は、メッセージ自体で終わることはほとんどありません。メッセージの受信者は、テキストリンクを介して人気のあるウェブサイトを訪れるか、メールに含まれているスパムの添付ファイルをダウンロードするようにしばしば指示されます。添付リンクのランディングページでは、被害者に個人情報の入力が求められます。このウェブページは、ウェブページがロードされるとすぐにコンピュータにマルウェアが自動的にインストールされることもあります。ロードされたフィッシングマルウェアは、被害者のコンピュータ、スマートフォン、またはデバイスから個人情報を多くの方法のうちの1つで収集します。

• Recording user keystrokes while filling forms
• Assessing user cache and forwarding its contents to the remote assailant

SMSフィッシングと同様に、送信元のメールアドレスをしっかりと確認することで、受信者は悪意のあるメッセージをフィッシング攻撃として特定し、報告することができます。例えば、フィッシャーがAmazonカスタマーケアを装う場合、[email protected]のようなアドレスを使用するかもしれません。正規のAmazonからのメールは、会社のドメイン名を含むアドレス、例えば[email protected]から送られてきます。さらに、適切に構成された組織は、メールを通じて個人情報や財務情報を要求することはありません。

3. スピアフィッシング は、メールの抜け穴を利用する詐欺のより戦略的な種類です。メールフィッシングが多数の個人に対して一斉に送信されるブロードキャストメッセージであるのに対し、スピアフィッシングはよりターゲットを絞ったものです。オンラインサービスプロバイダーや政府機関の従業員で、多数のユーザーの個人情報へのアクセス権を持つと見なされている人々が、スピアフィッシングの主なターゲットです。

このメールは、上司や会社のボスからのものと見せかけて、ユーザーの情報へのアクセスを要求しています。他の場合では、メールは明らかに見知らぬ送信元から送られ、受信者がメッセージを開くほど魅力的な見出しを持っています。メッセージは通常空白で、添付ファイルが付いています。好奇心が受信者を駆り立て、添付ファイルを開いてコンピュータにランサムウェアをインストールさせます。

スピアフィッシング攻撃の被害者は、比喩的なヒドラの頭に例えられます。そのような攻撃中に収集されたデータは、関連する組織のユーザーアカウントの大規模な侵害を実行するために使用されます。

クローンフィッシングは、その名が示すように、信頼できる組織から以前に送信されたものと全く同じ内容のメールを被害者が受け取ることを特徴としています。しかし、フィッシャーは、悪意のある添付ファイルや偽のウェブサイトへのリンクを含めます。唯一の違いは、送信元のメールアドレスがわずかに改ざんされ、初期の送信者のものと非常に似ているように見えることです。この戦術により、クローンフィッシングは検出が最も困難なタイプとなります。

5. ホエーリングフィッシングはスピアフィッシングと非常に似ています。その目的は、組織のサービスを利用する個人の機密または個人情報へのアクセスを得ることです。しかし、ホエーリング攻撃は組織の「クジラ」、つまりトップエグゼクティブや理事会をターゲットにします。

6. ポップアップフィッシングは、収益化されたウェブサイトを閲覧中にユーザー体験を中断する広告ポップアップと非常に似ています。しかし、ポップアップフィッシングは広告ではなく警告として現れます。このポップアップは、名前のない悪意のあるドキュメントやアプリケーションがコンピューターに感染したことをユーザーに警告します。その後、脅威を無償で排除するアンチウイルスのダウンロードが提案されます。このようなソフトウェアをインストールすると、望まないマルウェアに感染するリスクにさらされます。主張されている脅威はほとんどが偽物です。

フィッシングの被害者にならないための自己防衛方法

この電子商取引の時代において、被害者になったり、組織に関連する機密データを漏らすチャネルとして利用されたりすることを避けるために、以下の防火ガイドに従ってください。

• Backup your data. Having a copy of the vital data on your computer or smartphone backed up on external media is essential. If it does happen that you fall victim to a ransomware attack, the backup copy of your documents is safe on perhaps a cloud storage service or an external storage media that is not connected to your computer network.
• Use multi-stage user authentication. Phishers are always after account details like username and password. In situations where the second stage of authentication has been established for your sensitive accounts, having your password and username becomes inconsequential. An excellent example of multi-stage authentication is the confirmation code sent to your mobile contact when making bank transactions or log in. A biometric layer of authentication, like a fingerprint, eye, or face scans, are safe methods of safeguarding our accounts.
• Update devices with the latest security patches. The primary computer and smartphone manufacturers update their operating systems regularly to fix bugs and loopholes through which phishers have been identified to attack. Updating these devices will save technology users a lot of security headaches.
• Avoid opening suspicious messages. Note all the mentioned faults peculiar to phishing attacks. Check the content of emails carefully before clicking links, opening attachments, or filling accompanying forms. If compelled to confirm the integrity of any claim in an email, visit the company’s website directly, instead of going through a supplied link.

## 結論

いくつかの組織や個人ユーザーのオンラインプレゼンスが増加するにつれて、フィッシングが規模と影響力を増す傾向が高まります。しかし、この記事で提案されているような積極的な予防策を取ることで、インターネットユーザーはフィッシャーを出し抜くことに成功すべきです。