テクノロジー プライバシー 非公開: フィッシング攻撃 101: ビジネスを守る方法

フィッシング攻撃 101: ビジネスを守る方法

フィッシングは、犯罪者がユーザーをだましてログイン資格情報、クレジット カードの詳細、その他の個人データを漏らすために使用する手法です。

通常、攻撃者は既知の信頼できる組織からの攻撃者であるかのように見えます。これにより、ユーザーをだまして、侵害された Web サイトのリンク、悪意のある電子メール、添付ファイル、または本物のメッセージを開かせることができます。

リンクは、被害者からログイン資格情報やその他の個人データなどの機密情報を盗むマルウェアをインストールするサーバーである可能性があります。通常、攻撃者は悪意のある通信を、電話会社や他のサービス プロバイダーなどの信頼できる組織からのものであるかのように見せかけます。

コンテンツ 表示

フィッシング攻撃はどれほど危険ですか?

フィッシング攻撃は、個人をターゲットにするか組織をターゲットにするかにかかわらず、大きなセキュリティ リスクです。ネットワークを構成すると、マルウェアをインストールしてすべてのコンピュータに感染し、これを利用して内部および外部の攻撃を開始することができます。さらに、攻撃者は企業の機密データにアクセスし、それを利用して組織を脅迫したり、競合他社に販売したりする可能性があります。

出典:cloudflare.com
フィッシング攻撃-クラウドフレア
フィッシング攻撃-クラウドフレア

成功すると、詐欺師は多くの場合、盗んだ資格情報、クレジット カードの詳細、その他の個人情報を使用して、被害者のネットワーク上の他のサービスにアクセスしたり、不正な購入を行ったりします。

一般に、フィッシング攻撃は、企業または個人の評判や経済的損失につながる可能性があります。また、攻撃者はネットワークをダウンさせ、機能停止や巨額の経済的損失を引き起こす可能性があります。もう 1 つの危険は、顧客の信頼を失い、競合他社に移ってしまう可能性があることです。

最近のフィッシング攻撃の例

最近のフィッシング攻撃のいくつかを以下に示します。

#1. GoogleとFacebookの偽の請求書支払い

2013 年から 2015 年にかけて、リトアニアの詐欺師が、アジアに拠点を置く大手メーカーを装った一連の偽の請求書を通じて、Google と Facebook から 1 億ドル以上を獲得しました。 2 年以内に、詐欺師はサプライヤーからのものに似た数百万ドルの偽の請求書を数枚送信しました。

これらには、Google と Facebook の代表者が署名したとされる偽の契約書や手紙が含まれていました。詐欺を発見した時点で、二人は1億ドル以上を支払っていた。

#2.植民地時代のパイプラインフィッシング攻撃

ランサムウェア攻撃により、米国のコロニアル パイプラインの運用全体がほぼ麻痺しました。 2021 年の攻撃により、請求システムとビジネス ネットワークが侵害され、同社はほとんどの業務の停止を余儀なくされました。

攻撃者はフィッシングを通じて従業員のパスワードを入手した後、悪意のあるランサムウェア ソフトウェアを会社のネットワークにインストールしました。これにより、システムに侵入して身代金を要求することが可能になり、同社はさらなる被害やサービスの中断を避けるために身代金を支払いました。

当初、パイプラインは復号キーに 440 万ドルを支払いました。しかし、1週間の操業停止により28億6000万ドル相当の石油が納入されなかったため、同社はさらに損失を被った。

#3. Sony Pictureのスピアフィッシング攻撃

ソニー・ピクチャーの場合、攻撃者は従業員の名前や役職などの情報をLinkedInから入手した後、スピアフィッシングメールを従業員に送信した。

次に、攻撃者は同僚を装い、何も疑っていない従業員にマルウェアを含む悪意のある電子メール メッセージを送信しました。この攻撃により、100 TB を超えるデータに影響を与える侵害が発生し、その解決に同社は 1 億ドル以上の費用がかかりました。

フィッシング攻撃の種類

悪意のある攻撃者は、さまざまなテクニックを使用してターゲット ユーザーをだまします。アプローチは目的に応じて異なりますが、一般的なフィッシングの種類を以下に示します。

スピアフィッシング

スピア フィッシングは、ランダムなユーザーではなく特定の組織または個人を標的とする攻撃です。そのため、対象となる組織またはユーザーについてのある程度の知識が必要です。攻撃者はさらに深く掘り下げて、個人の権力構造、私生活、趣味、フィッシング メッセージのカスタマイズに使用できるあらゆる情報などの内部情報を入手する必要があります。

スピアフィッシング
スピアフィッシング

次に、攻撃者はメッセージをカスタマイズし、顧客、サプライヤー、上司になりすまして被害者に送信し、請求書の詳細の変更や指定された口座への送金を要求します。ほとんどの場合、攻撃者はユーザーまたは組織に関する正確な情報を使用して被害者をだますため、スピア攻撃を認識することは困難です。

捕鯨フィッシング

ホエーリング フィッシングはスピア フィッシングに似た攻撃ですが、ターゲットは会社の幹部です。これらのフィッシングメールは、場合によっては電話が続くこともあり、多くの場合、経営陣をだまして詐欺師が管理するアカウントへの支払いを承認させます。

あるいは、捕鯨フィッシング詐欺師が経営陣をだましてログ記録の資格情報を暴露させる可能性もあります。成功すると、加害者は、侵害された役員のアカウントを使用して、自分のアカウントへの支払いを不正に承認する CEO 詐欺を実行する可能性があります。

ビッシング

ビッシングは、加害者が電話を使用して疑いを持たないユーザーを騙す手法です。攻撃者は、銀行や電話会社などの評判の良い組織の代表者になりすまします。

ビッシング
ビッシング

通話中に、ユーザーを騙して携帯電話回線の PIN などの機密情報を提供させる可能性があります。また、特定の口座に送金するよう要求される場合もあります。

犯罪者の中にはハイブリッドなアプローチを使用する場合もあります。この場合、彼らは最初に詐欺メールを送信し、その後に電話や勧誘電話をかけて、より本物に見せかけます。

電子メールフィッシング

電子メール フィッシングとは、詐欺師が何千もの一般的なメッセージをさまざまなユーザーに送信し、一部のユーザーが餌食となり、攻撃者に支払いを行うことを期待することです。ほとんどの場合、信頼できる企業からの正規の電子メールを模倣したフィッシング メッセージが設計されます。

電子メールフィッシング
電子メールフィッシング

これらのメッセージには、正当なものであるように見せるための同じテンプレート、ロゴ、署名、表現、その他の機能が含まれています。メッセージに加えて、彼らは正規の企業のドメインによく似たドメインを作成するため、精査しない限り何も疑うことは困難です。

また、詐欺師は、ユーザーがパスワードのリセットやお金の支払いなどの行動をとらない限り、アカウントの期限が切れてしまうといった緊迫感と脅威を与えます。

欺瞞的なフィッシング

欺瞞的なフィッシングには、既知のよく知られた電子メール送信者になりすます加害者が関与します。詐欺師は、悪意のある電子メールに正規のリンクや連絡先を含めることがよくあります。そのため、電子メール フィルターはメッセージをブロックしたり、スパムとしてフラグを立てたりすることができません。

電子メールは本物に見えるため、攻撃者はユーザーを誘導して、銀行情報、ログイン資格情報、または一部の機密企業データなどの機密情報を漏らす可能性があります。

犯罪者はユーザーにパスワードの変更、アカウントの確認、支払いなどを要求して騙します。

クローンフィッシング攻撃

クローン フィッシングでは、詐欺師は正規のメール アドレスに似たメール アドレスを作成します。その後、ユーザーに電子メールを送信し、注意しないと機密情報を犯罪者と共有する可能性があります。

出典: Norton.com
クローンフィッシング攻撃
クローンフィッシング攻撃

たとえば、攻撃者は、上司から送信されたかのように見せかけ、特定のアカウントのログイン資格情報を共有するよう要求するメッセージを送信する可能性があります。また、ベンダーになりすまして支払いの詳細を要求する場合もあります。

アングラーフィッシング

アングラー フィッシングは、複製された Web サイト、偽のプライベート メッセージ、またはソーシャル メディアを通じてユーザーを標的とする攻撃です。このフィッシングでは、加害者はソーシャル メディアを通じてターゲットの被害者を探します。次に、評判の良い銀行、サービスプロバイダー、またはその他の既知の組織に対して頻繁に苦情を言っている人々を特定します。

その後、詐欺師は組織のカスタマー サポート担当者になりすまして、苦情申し立て者を支援すると申し出ます。この時点で、攻撃者は被害者をだましてログイン資格情報やその他の機密データを共有させます。

フィッシングの試みを特定する方法

以下で説明するように、スピアやその他のフィッシング攻撃を識別する効果的な方法の 1 つは SPEAR です。

  • 電子メールまたはメッセージの送信者を 特定する
  • 件名を よく 読んで、自分の活動に関連していること、また、普段受け取っている内容と異なったり、奇妙に聞こえたりしないことを確認します。
  • メッセージ内の添付ファイルとリンクを 調べ ます。リンクにカーソルを合わせると、リンクが関連性があり、件名または要求されたアクションと一致するかどうかを確認できます。
  • メッセージを チェック して、メッセージが関連性があり、不慣れな口調、緊急性、矛盾、文法の間違い、スペルミスが含まれていないかを確認します。
  • 本物の電子メール アカウント所有者に確認を 要求 します。当該送信者があなたにそのメッセージを送ったかどうかを確認することを検討してください。

上記以外にも、追加のヒントがあります。

  • 電子メールに一貫性のないドメイン名、URL、リンク、電子メール アドレスが含まれています
  • 一般的または珍しい挨拶、挨拶、言葉遣い
  • クレジット カードの詳細、支払い情報、ログイン資格情報などの個人データを要求する電子メール メッセージ。
  • パスワードの変更、金銭の支払い、その他のアクションの要求など、緊急のアクションを要求する電子メール メッセージ

では、フィッシング攻撃を防ぐ方法を見てみましょう。

フィッシング攻撃の防止

組織とユーザーは、フィッシング攻撃を防ぐためにさまざまな対策を講じることができます。見てみましょう。

#1. 厳格なパスワード管理ポリシーの適用

管理者は強力なパスワード管理ポリシーを確立して適用できます。このような場合は、ユーザーが定期的に変更する必要がある強力なパスワードを要求する必要があります。さらに、ユーザーは複数のアプリケーションに単一のパスワードを使用すべきではなく、古いパスワードを再利用しないようにする必要があります。

#2. 多要素認証を使用する

多要素認証では、ユーザーが金融取引などのサービスにアクセスする前に、複数の検証レベルに合格することが保証されます。攻撃者がユーザー名やパスワードなどの資格情報を取得した場合でも、携帯電話などの本物のユーザーの登録デバイスに送信されるコードを提供するなど、別の形式の認証が必要になります。

他の多要素手法には、生体認証、バッジ、OTP、ピンなどが含まれます。攻撃者がパスワードを知っていたとしても 2 番目の認証を通過することは不可能であるため、システムにアクセスしてシステムを侵害することは不可能です。

#3. 従業員の意識の醸成

従業員と経営陣を対象とした啓発キャンペーンを実施することは、フィッシング攻撃のリスクを軽減する方法の 1 つです。その目的は、安全なオンライン活動を促進し、役員を含むスタッフが悪意のある電子メールを特定して対処できるようにすることです。

ユーザーは、リンクをクリックしたり、不審に見えるドキュメントを開いたりすること、また機密情報を見知らぬ人に漏らすことのリスクを認識する必要があります。さらに、機密性の高い個人情報や会社情報をソーシャル メディアに投稿しないようにする必要があります。

#4. 電子メールセキュリティソフトウェアとツールをインストールする

信頼性が高く効果的な電子メール セキュリティ ソフトウェアをインストールして、フィッシング詐欺やその他の脅威を検出して阻止します。一般的なソリューションには、ウイルス対策ソフトウェア、ファイアウォール、スパム フィルターなどが含まれます。さらに、組織は Web フィルターをインストールして、悪意のある Web サイトを検出し、従業員がそれらの Web サイトにアクセスできないようにすることができます。

ユーザーは、見覚えのない送信者からのリンクや添付ファイルをクリックしないようにしてください。信頼できる送信元からのものと思われるメールも含め、そのような電子メールに対処するときは予防措置を講じることが重要です。

疑わしいと思われる場合は、リンクの上にマウスを移動するか、新しいブラウザ ウィンドウにリンクをコピーして、リンクが電子メールの内容と一致するかどうかを確認してください。

#6. 電子メールが信頼できるドメインからのものであることを確認する

ユーザーは、不審なドメインからのメールを開いたり、操作したりしないようにする必要があります。たとえば、誰かが Microsoft を装った電子メールを送信した場合、その人は別のドメインの電子メール アドレスを使用していることになります。疑わしい場合は、ドメイン名をコピーし、インターネットで検索してください。

内容がメッセージと一致しない場合は、疑わしいメッセージとして扱う必要があります。ほとんどのフィッシングメールはスパムとしてマークされますが、一部のフィッシングメールはスパムフィルターを通過して本物のように見える場合があります。

#7。 安全でないサイトでの情報提供は避ける

リンクから見慣れないサイトに移動した場合は、機密情報や個人情報を提供しないでください。会社のデータや個人データを見知らぬ人に決して開示してはいけません。そうしないと、詐欺師がこの情報を盗み、不正な活動を実行する可能性があります。

最後の言葉

フィッシング攻撃は増加傾向にあり、詐欺師が新たな手口を導入し続けているため、その勢いは衰えていないようです。組織はセキュリティ体制を改善できますが、危険なユーザーの行動はフィッシング攻撃の主な原因の 1 つです。

したがって、信頼できるセキュリティ ツールを使用し、オンライン ユーザーの安全な行動を行うことは、攻撃を阻止し、機密ビジネス データのセキュリティと安全性を確保する最も効果的な方法の 1 つです。

次に、最適な URL スキャナーをチェックして、リンクが安全かどうかを確認できます。

「フィッシング攻撃 101: ビジネスを守る方法」についてわかりやすく解説!絶対に観るべきベスト2動画

フィッシング攻撃とは? | 2分で分かるサイバーセキュリティ
https://www.youtube-nocookie.com/watch?v=kG3C5jmozM8&pp=ygU_44OV44Kj44OD44K344Oz44Kw5pS75pKDIDEwMTog44OT44K444ON44K544KS5a6I44KL5pa55rOVJmhsPUpB
スマホ防犯教室 オンライン型講座 フィッシング詐欺編
https://www.youtube.com/watch?v=wf8Yg6QBUho&pp=ygU_44OV44Kj44OD44K344Oz44Kw5pS75pKDIDEwMTog44OT44K444ON44K544KS5a6I44KL5pa55rOVJmhsPUpB

フィッシングは、犯罪者がユーザーをだましてログイン資格情報、クレジット カードの詳細、その他の個人データを漏らすために使用する手法です。

通常、攻撃者は既知の信頼できる組織からの攻撃者であるかのように見えます。これにより、ユーザーをだまして、侵害された Web サイトのリンク、悪意のある電子メール、添付ファイル、または本物のメッセージを開かせることができます。

リンクは、被害者からログイン資格情報やその他の個人データなどの機密情報を盗むマルウェアをインストールするサーバーである可能性があります。通常、攻撃者は悪意のある通信を、電話会社や他のサービス プロバイダーなどの信頼できる組織からのものであるかのように見せかけます。

コンテンツ 表示

フィッシング攻撃はどれほど危険ですか?

フィッシング攻撃は、個人をターゲットにするか組織をターゲットにするかにかかわらず、大きなセキュリティ リスクです。ネットワークを構成すると、マルウェアをインストールしてすべてのコンピュータに感染し、これを利用して内部および外部の攻撃を開始することができます。さらに、攻撃者は企業の機密データにアクセスし、それを利用して組織を脅迫したり、競合他社に販売したりする可能性があります。

出典:cloudflare.com
フィッシング攻撃-クラウドフレア
フィッシング攻撃-クラウドフレア

成功すると、詐欺師は多くの場合、盗んだ資格情報、クレジット カードの詳細、その他の個人情報を使用して、被害者のネットワーク上の他のサービスにアクセスしたり、不正な購入を行ったりします。

一般に、フィッシング攻撃は、企業または個人の評判や経済的損失につながる可能性があります。また、攻撃者はネットワークをダウンさせ、機能停止や巨額の経済的損失を引き起こす可能性があります。もう 1 つの危険は、顧客の信頼を失い、競合他社に移ってしまう可能性があることです。

最近のフィッシング攻撃の例

最近のフィッシング攻撃のいくつかを以下に示します。

#1. GoogleとFacebookの偽の請求書支払い

2013 年から 2015 年にかけて、リトアニアの詐欺師が、アジアに拠点を置く大手メーカーを装った一連の偽の請求書を通じて、Google と Facebook から 1 億ドル以上を獲得しました。 2 年以内に、詐欺師はサプライヤーからのものに似た数百万ドルの偽の請求書を数枚送信しました。

これらには、Google と Facebook の代表者が署名したとされる偽の契約書や手紙が含まれていました。詐欺を発見した時点で、二人は1億ドル以上を支払っていた。

#2.植民地時代のパイプラインフィッシング攻撃

ランサムウェア攻撃により、米国のコロニアル パイプラインの運用全体がほぼ麻痺しました。 2021 年の攻撃により、請求システムとビジネス ネットワークが侵害され、同社はほとんどの業務の停止を余儀なくされました。

攻撃者はフィッシングを通じて従業員のパスワードを入手した後、悪意のあるランサムウェア ソフトウェアを会社のネットワークにインストールしました。これにより、システムに侵入して身代金を要求することが可能になり、同社はさらなる被害やサービスの中断を避けるために身代金を支払いました。

当初、パイプラインは復号キーに 440 万ドルを支払いました。しかし、1週間の操業停止により28億6000万ドル相当の石油が納入されなかったため、同社はさらに損失を被った。

#3. Sony Pictureのスピアフィッシング攻撃

ソニー・ピクチャーの場合、攻撃者は従業員の名前や役職などの情報をLinkedInから入手した後、スピアフィッシングメールを従業員に送信した。

次に、攻撃者は同僚を装い、何も疑っていない従業員にマルウェアを含む悪意のある電子メール メッセージを送信しました。この攻撃により、100 TB を超えるデータに影響を与える侵害が発生し、その解決に同社は 1 億ドル以上の費用がかかりました。

フィッシング攻撃の種類

悪意のある攻撃者は、さまざまなテクニックを使用してターゲット ユーザーをだまします。アプローチは目的に応じて異なりますが、一般的なフィッシングの種類を以下に示します。

スピアフィッシング

スピア フィッシングは、ランダムなユーザーではなく特定の組織または個人を標的とする攻撃です。そのため、対象となる組織またはユーザーについてのある程度の知識が必要です。攻撃者はさらに深く掘り下げて、個人の権力構造、私生活、趣味、フィッシング メッセージのカスタマイズに使用できるあらゆる情報などの内部情報を入手する必要があります。

スピアフィッシング
スピアフィッシング

次に、攻撃者はメッセージをカスタマイズし、顧客、サプライヤー、上司になりすまして被害者に送信し、請求書の詳細の変更や指定された口座への送金を要求します。ほとんどの場合、攻撃者はユーザーまたは組織に関する正確な情報を使用して被害者をだますため、スピア攻撃を認識することは困難です。

捕鯨フィッシング

ホエーリング フィッシングはスピア フィッシングに似た攻撃ですが、ターゲットは会社の幹部です。これらのフィッシングメールは、場合によっては電話が続くこともあり、多くの場合、経営陣をだまして詐欺師が管理するアカウントへの支払いを承認させます。

あるいは、捕鯨フィッシング詐欺師が経営陣をだましてログ記録の資格情報を暴露させる可能性もあります。成功すると、加害者は、侵害された役員のアカウントを使用して、自分のアカウントへの支払いを不正に承認する CEO 詐欺を実行する可能性があります。

ビッシング

ビッシングは、加害者が電話を使用して疑いを持たないユーザーを騙す手法です。攻撃者は、銀行や電話会社などの評判の良い組織の代表者になりすまします。

ビッシング
ビッシング

通話中に、ユーザーを騙して携帯電話回線の PIN などの機密情報を提供させる可能性があります。また、特定の口座に送金するよう要求される場合もあります。

犯罪者の中にはハイブリッドなアプローチを使用する場合もあります。この場合、彼らは最初に詐欺メールを送信し、その後に電話や勧誘電話をかけて、より本物に見せかけます。

電子メールフィッシング

電子メール フィッシングとは、詐欺師が何千もの一般的なメッセージをさまざまなユーザーに送信し、一部のユーザーが餌食となり、攻撃者に支払いを行うことを期待することです。ほとんどの場合、信頼できる企業からの正規の電子メールを模倣したフィッシング メッセージが設計されます。

電子メールフィッシング
電子メールフィッシング

これらのメッセージには、正当なものであるように見せるための同じテンプレート、ロゴ、署名、表現、その他の機能が含まれています。メッセージに加えて、彼らは正規の企業のドメインによく似たドメインを作成するため、精査しない限り何も疑うことは困難です。

また、詐欺師は、ユーザーがパスワードのリセットやお金の支払いなどの行動をとらない限り、アカウントの期限が切れてしまうといった緊迫感と脅威を与えます。

欺瞞的なフィッシング

欺瞞的なフィッシングには、既知のよく知られた電子メール送信者になりすます加害者が関与します。詐欺師は、悪意のある電子メールに正規のリンクや連絡先を含めることがよくあります。そのため、電子メール フィルターはメッセージをブロックしたり、スパムとしてフラグを立てたりすることができません。

電子メールは本物に見えるため、攻撃者はユーザーを誘導して、銀行情報、ログイン資格情報、または一部の機密企業データなどの機密情報を漏らす可能性があります。

犯罪者はユーザーにパスワードの変更、アカウントの確認、支払いなどを要求して騙します。

クローンフィッシング攻撃

クローン フィッシングでは、詐欺師は正規のメール アドレスに似たメール アドレスを作成します。その後、ユーザーに電子メールを送信し、注意しないと機密情報を犯罪者と共有する可能性があります。

出典: Norton.com
クローンフィッシング攻撃
クローンフィッシング攻撃

たとえば、攻撃者は、上司から送信されたかのように見せかけ、特定のアカウントのログイン資格情報を共有するよう要求するメッセージを送信する可能性があります。また、ベンダーになりすまして支払いの詳細を要求する場合もあります。

アングラーフィッシング

アングラー フィッシングは、複製された Web サイト、偽のプライベート メッセージ、またはソーシャル メディアを通じてユーザーを標的とする攻撃です。このフィッシングでは、加害者はソーシャル メディアを通じてターゲットの被害者を探します。次に、評判の良い銀行、サービスプロバイダー、またはその他の既知の組織に対して頻繁に苦情を言っている人々を特定します。

その後、詐欺師は組織のカスタマー サポート担当者になりすまして、苦情申し立て者を支援すると申し出ます。この時点で、攻撃者は被害者をだましてログイン資格情報やその他の機密データを共有させます。

フィッシングの試みを特定する方法

以下で説明するように、スピアやその他のフィッシング攻撃を識別する効果的な方法の 1 つは SPEAR です。

  • 電子メールまたはメッセージの送信者を 特定する
  • 件名を よく 読んで、自分の活動に関連していること、また、普段受け取っている内容と異なったり、奇妙に聞こえたりしないことを確認します。
  • メッセージ内の添付ファイルとリンクを 調べ ます。リンクにカーソルを合わせると、リンクが関連性があり、件名または要求されたアクションと一致するかどうかを確認できます。
  • メッセージを チェック して、メッセージが関連性があり、不慣れな口調、緊急性、矛盾、文法の間違い、スペルミスが含まれていないかを確認します。
  • 本物の電子メール アカウント所有者に確認を 要求 します。当該送信者があなたにそのメッセージを送ったかどうかを確認することを検討してください。

上記以外にも、追加のヒントがあります。

  • 電子メールに一貫性のないドメイン名、URL、リンク、電子メール アドレスが含まれています
  • 一般的または珍しい挨拶、挨拶、言葉遣い
  • クレジット カードの詳細、支払い情報、ログイン資格情報などの個人データを要求する電子メール メッセージ。
  • パスワードの変更、金銭の支払い、その他のアクションの要求など、緊急のアクションを要求する電子メール メッセージ

では、フィッシング攻撃を防ぐ方法を見てみましょう。

フィッシング攻撃の防止

組織とユーザーは、フィッシング攻撃を防ぐためにさまざまな対策を講じることができます。見てみましょう。

#1. 厳格なパスワード管理ポリシーの適用

管理者は強力なパスワード管理ポリシーを確立して適用できます。このような場合は、ユーザーが定期的に変更する必要がある強力なパスワードを要求する必要があります。さらに、ユーザーは複数のアプリケーションに単一のパスワードを使用すべきではなく、古いパスワードを再利用しないようにする必要があります。

#2. 多要素認証を使用する

多要素認証では、ユーザーが金融取引などのサービスにアクセスする前に、複数の検証レベルに合格することが保証されます。攻撃者がユーザー名やパスワードなどの資格情報を取得した場合でも、携帯電話などの本物のユーザーの登録デバイスに送信されるコードを提供するなど、別の形式の認証が必要になります。

他の多要素手法には、生体認証、バッジ、OTP、ピンなどが含まれます。攻撃者がパスワードを知っていたとしても 2 番目の認証を通過することは不可能であるため、システムにアクセスしてシステムを侵害することは不可能です。

#3. 従業員の意識の醸成

従業員と経営陣を対象とした啓発キャンペーンを実施することは、フィッシング攻撃のリスクを軽減する方法の 1 つです。その目的は、安全なオンライン活動を促進し、役員を含むスタッフが悪意のある電子メールを特定して対処できるようにすることです。

ユーザーは、リンクをクリックしたり、不審に見えるドキュメントを開いたりすること、また機密情報を見知らぬ人に漏らすことのリスクを認識する必要があります。さらに、機密性の高い個人情報や会社情報をソーシャル メディアに投稿しないようにする必要があります。

#4. 電子メールセキュリティソフトウェアとツールをインストールする

信頼性が高く効果的な電子メール セキュリティ ソフトウェアをインストールして、フィッシング詐欺やその他の脅威を検出して阻止します。一般的なソリューションには、ウイルス対策ソフトウェア、ファイアウォール、スパム フィルターなどが含まれます。さらに、組織は Web フィルターをインストールして、悪意のある Web サイトを検出し、従業員がそれらの Web サイトにアクセスできないようにすることができます。

ユーザーは、見覚えのない送信者からのリンクや添付ファイルをクリックしないようにしてください。信頼できる送信元からのものと思われるメールも含め、そのような電子メールに対処するときは予防措置を講じることが重要です。

疑わしいと思われる場合は、リンクの上にマウスを移動するか、新しいブラウザ ウィンドウにリンクをコピーして、リンクが電子メールの内容と一致するかどうかを確認してください。

#6. 電子メールが信頼できるドメインからのものであることを確認する

ユーザーは、不審なドメインからのメールを開いたり、操作したりしないようにする必要があります。たとえば、誰かが Microsoft を装った電子メールを送信した場合、その人は別のドメインの電子メール アドレスを使用していることになります。疑わしい場合は、ドメイン名をコピーし、インターネットで検索してください。

内容がメッセージと一致しない場合は、疑わしいメッセージとして扱う必要があります。ほとんどのフィッシングメールはスパムとしてマークされますが、一部のフィッシングメールはスパムフィルターを通過して本物のように見える場合があります。

#7。 安全でないサイトでの情報提供は避ける

リンクから見慣れないサイトに移動した場合は、機密情報や個人情報を提供しないでください。会社のデータや個人データを見知らぬ人に決して開示してはいけません。そうしないと、詐欺師がこの情報を盗み、不正な活動を実行する可能性があります。

最後の言葉

フィッシング攻撃は増加傾向にあり、詐欺師が新たな手口を導入し続けているため、その勢いは衰えていないようです。組織はセキュリティ体制を改善できますが、危険なユーザーの行動はフィッシング攻撃の主な原因の 1 つです。

したがって、信頼できるセキュリティ ツールを使用し、オンライン ユーザーの安全な行動を行うことは、攻撃を阻止し、機密ビジネス データのセキュリティと安全性を確保する最も効果的な方法の 1 つです。

次に、最適な URL スキャナーをチェックして、リンクが安全かどうかを確認できます。

「フィッシング攻撃 101: ビジネスを守る方法」についてわかりやすく解説!絶対に観るべきベスト2動画

フィッシング攻撃とは? | 2分で分かるサイバーセキュリティ
https://www.youtube-nocookie.com/watch?v=kG3C5jmozM8&pp=ygU_44OV44Kj44OD44K344Oz44Kw5pS75pKDIDEwMTog44OT44K444ON44K544KS5a6I44KL5pa55rOVJmhsPUpB
スマホ防犯教室 オンライン型講座 フィッシング詐欺編
https://www.youtube.com/watch?v=wf8Yg6QBUho&pp=ygU_44OV44Kj44OD44K344Oz44Kw5pS75pKDIDEwMTog44OT44K444ON44K544KS5a6I44KL5pa55rOVJmhsPUpB

最新記事一覧

関連記事一覧