スミッシングとフィッシングは、被害者をだまして機密情報を暴露させるソーシャル エンジニアリング攻撃です。
フィッシングには、悪意のあるリンクや添付ファイルを含む電子メールの送信が含まれます。一方、SMS とフィッシングを組み合わせたスミッシングでは、悪意のあるリンクや電話番号を含むテキスト メッセージが送信され、被害者はそれをクリックするか電話をかけるよう促されます。
スミッシング攻撃とフィッシング攻撃の両方で、犯罪者は潜在的な被害者に対して、すぐに対応しなければ重大な結果をもたらすと脅迫します。この脅威に応じた被害者は、パスワードや銀行口座の詳細などの機密情報を漏らすことになる可能性があります。
スミッシング攻撃とフィッシング攻撃の類似点と相違点を確認する前に、それぞれの用語の意味を学びましょう。
スミッシングとは
スミッシングは、犯罪者が潜在的な携帯電話ユーザーに悪意のあるリンクや偽の電話番号を含むテキスト メッセージを送信する攻撃です。これには、電話ユーザーをだまして応答させるために、説得力のある言葉で操作的なテキスト メッセージを使用することが含まれます。
攻撃者は、輸送中の荷物の代金をすぐに支払う必要がある場合や金融取引を確認する必要がある場合、保留中の請求書を緊急に支払う必要がある場合など、緊急性を利用する可能性があります。
フィッシングとは
フィッシングとは、ユーザーを攻撃者が管理するサーバーに誘導したり、機密情報を盗む可能性のあるマルウェアをインストールしたりする、悪意のあるリンクや添付ファイルを含む詐欺メールを送信することです。
フィッシングでは、攻撃者のサイトは正規の Web サイトに似ていますが、ドメイン名のスペルが間違っている場合があります。ただし、被害者が安全な Web サイトにアクセスしていると信じてユーザー名とパスワードを入力すると、そのユーザー名とパスワードを盗むことができるログイン フィールドが含まれている可能性があります。
スミッシング攻撃とフィッシング攻撃: 類似点
スミッシング攻撃とフィッシング攻撃は、ソーシャル エンジニアリング戦術を使用して、疑いを持たないユーザーをだまして機密情報や機密情報を暴露させます。 2 つの攻撃方法には次のような類似点があります。
- それぞれが説得力のある言葉を使って、被害者がすぐに反応しない場合の潜在的な危険について警告します。たとえば、被害者が提供されたリンクをクリックするなど、要求された行動をとらない限り、銀行口座やクレジット カードが停止される、電気や電話のサービスが停止される、その他の脅迫が行われると警告しています。
- 攻撃者によって制御され、ログイン認証情報やその他の機密情報を盗んだり、マルウェアやウイルスをインストールしたり、ユーザーのデバイスを侵害したりする可能性のある悪意のあるリンクが含まれています。
- 緊急性: それぞれの攻撃は緊迫感を生み出し、潜在的な被害者がすぐに行動または対応しない場合に悪影響をもたらす可能性のある被害者に脅迫を行ったり、警告したりする場合があります。
- 欺瞞: どちらの攻撃もソーシャル エンジニアリング手法を使用して、被害者をだまして操作します。スミッシングおよびフィッシング攻撃者は、Microsoft、Amazon、Google、その他の既知のブランドなどの既知の正規企業になりすますことがよくあります。これにより、潜在的な被害者は、その組織や当局と取引していると信じて、信頼を獲得し、要求された情報に応答したり、提供したりするようになります。
- 同じ目的:スミッシング攻撃やフィッシング攻撃を開始する主な目的は、被害者を騙して、ログイン資格情報、クレジット カードや銀行口座の詳細などの機密の企業情報や個人情報を漏洩させることです。
スミッシング攻撃とフィッシング攻撃: 違い
以下の表は、スミッシング攻撃とフィッシング攻撃の主な違いを示しています。
| 特徴 | スミッシング | フィッシング |
| 攻撃ベクトル | 短縮された悪意のある URL または偽の電話番号を含む SMS テキスト メッセージを使用します。 | 悪意のあるリンクまたは添付ファイルを含む電子メールを使用します。 |
| 中くらい | 電話またはモバイルデバイス | 電子メールにアクセスするコンピューターまたはモバイル デバイス。 |
| リーチとインパクト | 2022 年 4 月には、週あたり平均 2650 億件のスパム テキスト メッセージが送受信されました。テキスト メッセージ内のリンクのクリック率は、電子メール内のリンクのクリック率よりも高くなります。フィッシングに比べてスミッシングを使用すると、より多くのユーザーが侵害される可能性が高くなります。 | 毎日約 34 億件のフィッシングメールが送信されています。ただし、クリック率はスミッシングに比べて低くなります。 |
| 配信メカニズム | 携帯電話へのテキストメッセージ | コンピューティング デバイスへの電子メール メッセージ |
| ユーザーの意識 | 2022 年 4 月には、1 週間あたり平均2650 億件のスパム テキスト メッセージが送受信されました。テキスト メッセージ内のリンクのクリック率は、電子メール内のリンクのクリック率よりも高くなります。フィッシングに比べてスミッシングを使用すると、より多くのユーザーが侵害される可能性が高くなります。 | ほとんどの電子メール ユーザーはフィッシング攻撃を認識しています |
| リンク | 悪意のあるリンクと偽の番号の短縮 | 悪意のあるリンクと添付ファイル |
| デバイスの悪用 | 携帯電話ユーザーの約 60% はスミッシング攻撃に気づいておらず、被害に遭う可能性があります。 | コンピュータから機密情報を盗む可能性があります。攻撃者は、侵害されたデバイスを使用して、同じネットワーク上のコンピュータにマルウェアやウイルスを配布する可能性もあります。 |
| 緊急 | 即時応答を要求する、より緊急で説得力のあるメッセージを使用します。 | 緊急メールですが、スミッシング未満です。 |
自分自身を守るにはどうすればよいでしょうか?
以下に、スミッシングやフィッシングから保護するための実践方法をいくつか示します。
- 強力な電子メール セキュリティ ソリューションの使用: ウイルス対策ソフトウェア、強力なファイアウォール、スパム フィルター、リンク分析ユーティリティ、フィッシング対策ソフトウェア、その他のツールなどの効果的なセキュリティ ソリューションをインストールします。これらは、フィッシング電子メール メッセージのユーザーへの配信を検出し、防止するのに役立ちます。
- 多要素認証 (MFA) を使用する: MFA を展開すると、ユーザーにパスワード以外の別の認証を要求することで、追加の保護層が追加されます。一般的な MFA ソリューションでは、ユーザーはユーザー名とパスワードに加えて、携帯電話などのデバイスに送信されるコードなどの別の形式の認証を提供する必要があります。
- オペレーティング システムとソフトウェア アプリケーションを定期的に更新し、パッチを適用する : オペレーティング システム、アプリケーション、セキュリティ ソリューションを更新すると、それらが最新の状態になり、犯罪者が悪用する可能性のある脆弱性や欠陥のほとんどに対処する最新のパッチが実行されます。
- 安全なセキュリティ慣行を遵守する: コンピューターまたはモバイル デバイスにウイルス対策やその他のセキュリティ ソリューションをインストールすると、潜在的な攻撃を検出して保護することができますが、安全なオンライン アクティビティを実践する必要があります。攻撃者が使用する既存および新しい手口について学ぶことは、安全を保つのに役立ちます。また、スペルミス、緊急性、間違ったドメイン名、不明な送信者などのソーシャル エンジニアリングの危険信号をチェックする方法も学びます。
- セキュリティ意識を高める: 組織は、フィッシング、スミッシング、その他のサイバー攻撃に関する適切かつ定期的な意識向上トレーニングをスタッフに提供する必要があります。さらに、フィッシング シミュレーション ツールを使用して認識度をテストし、ギャップを特定して対処する必要があります。また、個々のユーザーは家族や友人にスパム メッセージと、安全を確保するための行動方法について教育する必要があります。
- 攻撃の試みを報告する: 口座を保護できるように、銀行やその他の機関などの機関にケースを報告します。さらに、あなたの国の詐欺防止機関に通知して、さらに調査してもらうこともできます。
- シミュレートされたフィッシング試行を使用した認識テスト:シミュレートされたテストにより、管理者は従業員の認識と実際のフィッシング試行に対する従業員の対応を判断できます。シミュレーション ソフトウェアは通常、攻撃者が送信するものと同様のフィッシングメールを送信しますが、有害なリンクや添付ファイルは含まれていません。これにより、組織は意識向上トレーニングが機能しているかどうか、対処する必要があるギャップがあるかどうかを確認できます。
- 機密情報を保護する: ウイルス対策と暗号化を使用して機密データを保護することに加えて、データにアクセスできるユーザーとそのデータに対して実行できる内容を制限することをお勧めします。理想的には、タスクの実行に必要なデータとリソースのみにアクセスできる最小限の権限をユーザーに付与します。たとえ攻撃者が不正アクセスを取得したとしても、大きな損害を与えることはできません。
- 疑わしいテキストやメールは無視するか削除してください。不審なメッセージ、添付ファイル、またはリンクをクリックしないでください。また、クレジット カードや銀行口座の詳細などの個人情報の送信を要求するメッセージには返信しないでください。
攻撃後に何をすべきか?
スミッシング メッセージやフィッシング メッセージを検出して、意図した被害者に届くのをブロックする取り組みにもかかわらず、依然として毎日何百万もの偽メッセージがスパムやその他のセキュリティ フィルターを回避しています。
残念ながら、ほとんどのユーザーは、詐欺に気づいているユーザーであっても、騙されて悪意のあるリンクをクリックしてしまう可能性があります。偽の SMS や電子メール メッセージを無視して返信しないことが最善の戦略ですが、攻撃が発生した場合の対処法を知っておくことも重要です。
#1.攻撃がどのように起こったかを明らかにする
攻撃が発生した理由と、今後同様の攻撃を防ぐためにセキュリティ ソリューションの改善が必要かどうかを確認します。
#2.攻撃の効果を確認する
フィッシングメールを調査して、その意図、攻撃者がターゲットとしていたデータ、目的を調べます。ファイアウォールまたは同様のログを使用して、不審な IP アドレスと URL を探すこともできます。侵害された可能性のあるアカウントとデータを確認します。さらに、通常とは異なる場所からのログイン試行、資金の送金など、不審なアクティビティがないか、オンライン アカウントや銀行口座、取引を注意深く監視してください。
#3.関与した組織に通報する
関与している正規の会社に連絡し、攻撃者がユーザーを騙すためにその会社の名前を使用していることを知らせるのがベスト プラクティスです。この情報により、組織は顧客に詐欺について警告することができます。
#4.デバイスをネットワークから隔離する
携帯電話やコンピュータが感染している場合は、マルウェアやその他のインストールされているソフトウェアが機密データをアップロードしないように、ネットワークから切断してください。また、ネットワーク上の他のマシンを保護するのにも役立ちます。
切断すると、マルウェアがネットワーク上の他のマシンに拡散するのを防ぐだけでなく、デバイスが機密データを盗んでインターネットや攻撃者のマシンにアップロードすることがなくなります。
#5.デバイスを掃除する
信頼できるツールを使用して感染したデバイスを駆除し、損傷を引き起こす可能性がない場合にのみ再接続するようにしてください。システムを以前の良好な状態 (攻撃の 1 週間前など) に復元することを検討できます。また、侵害されたアカウントのパスワードと PIN を変更します。
結論
モバイル デバイスやコンピューターを使用するすべての個人および組織は、スミッシング攻撃やフィッシング攻撃に対して脆弱です。スミッシング攻撃は携帯電話ユーザーをターゲットとすることが多いのに対し、フィッシング攻撃は電子メール ユーザーをターゲットとしています。
いずれにせよ、スパマーはソーシャル エンジニアリング技術を使用してユーザーを騙し、パスワード、銀行口座の詳細、その他の機密情報を明らかにさせます。ほとんどのフィッシングメールやスミッシングメール、SMS テキストは、スパム フィルターやその他のセキュリティ ソリューションをバイパスできます。その結果、これらのメッセージはユーザーに正当でクリーンなものであると思わせる可能性があります。
常に警戒し、サイバーセキュリティのベスト プラクティスを知っておくと、データや個人情報の盗難を防ぐことができます。攻撃を防ぐ最善の方法は、緊急性、不明な送信者、機密情報の開示要求など、スミッシング攻撃とフィッシング攻撃の兆候を見つける方法をユーザーが学ぶことです。攻撃の疑いがある場合は、メッセージを無視し、言及された組織がメッセージを送信したかどうかを確認してください。
次に、スプーリング攻撃とは何ですか?また、それらから身を守るにはどうすればよいでしょうか?