ソーシャル エンジニアリングとは何ですか? なぜ懸念する必要があるのですか?

「ほんの一時的な安全を得るために本質的な自由を放棄できる者には、自由にも安全にも値しない。」 – ベンジャミンフランクリン

ソーシャル エンジニアリングは、しばらくの間セキュリティ問題の最前線にありました。それは業界の専門家によって広範に議論されてきました。しかし、それがもたらす潜在的な危険性と、それがどれほど危険であるかを完全に理解している人は多くありません。

ハッカーにとって、ソーシャル エンジニアリングはおそらく、セキュリティ プロトコルをクラッキングするための最も簡単で効率的な方法です。インターネットの台頭により、距離の壁なしでデバイスを相互接続することにより、非常に強力な機能が提供されました。しかし、これにより通信と相互接続が進歩しましたが、個人情報やプライバシーの侵害につながる抜け穴が生じました。

テクノロジー以前の最も初期の時代から、人間は情報を暗号化して保護してきました。古くからよく知られている方法としては、アルファベットのリストの位置をずらすことでメッセージを暗号化する シーザー暗号が あります。たとえば、「hello world」を 1 桁ずらして「ifmmp xpsmf」と書くと、「ifmmp xpsmf」というメッセージを読み取るデコーダは、メッセージを理解するためにアルファベット リスト内で文字を 1 桁後方にシフトする必要があります。

このエンコード技術はシンプルでしたが、2,000 年近くにわたって使用されてきました。

現在、より高度で堅牢なセキュリティ システムが開発されていますが、セキュリティは課題です。

重要な情報を入手するためにハッカーによって導入されている手法が膨大にあることに注意することが重要です。ソーシャル エンジニアリングがなぜそれほど重要なのかを理解するために、これらのテクニックのいくつかを簡単に見ていきます。

ブルートフォース攻撃と辞書攻撃

ブルート フォース ハッキングには、考えられるすべての文字の組み合わせを取得し、計算されたパスワードを使用してセキュリティ システムに侵入するように構築された高度なツール セットを備えたハッカーが関与します。辞書攻撃では、攻撃者が (辞書から) 単語のリストを実行し、ユーザーのパスワードと一致するものを見つけようとします。

現在のブルート フォース攻撃は、非常に強力ですが、現在のセキュリティ アルゴリズムの性質により、発生する可能性は低いと思われます。大局的に考えると、私のアカウントのパスワードが「qwertyuiop1202@990!!!」の場合、文字の合計は 22 です。したがって、コンピューターが考えられるすべての組み合わせを計算するには、22 の階乗が必要になります。それは多いです。

さらに、そのパスワードを取得してハッシュに変換し、ブルートフォース システムによる推測をさらに困難にするハッシュ アルゴリズムもあります。たとえば、以前に書き込まれたパスワードは d734516b1518646398c1e2eefa2dfe99 にハッシュ化できます。 これにより、パスワードにさらに深刻なセキュリティ層が追加されます。セキュリティ技術については後ほど詳しく見ていきます。

あなたが WordPress サイト所有者で、ブルート フォース保護を探している場合は、このガイドを確認してください。

DDoS攻撃

分散型サービス拒否攻撃は、ユーザーが正規のインターネット リソースへのアクセスをブロックされた場合に発生します。これはユーザー側、またはユーザーがアクセスしようとしているサービスにある可能性があります。

DDoS は通常、収益またはユーザー ベースの損失をもたらします。このような攻撃が可能になるためには、ハッカーがインターネット上の複数のコンピュータを制御し、それを「ボットネット」の一部として使用してネットワークを不安定にしたり、場合によってはネットワーク トラフィックを役に立たないパケットで溢れさせたりすることができます。情報の過剰使用を引き起こし、ネットワーク リソースとノードが故障する可能性があります。

フィッシング

これはハッキングの一種で、攻撃者がログイン ページの偽の代替物を作成してユーザーの資格情報を盗もうとします。通常、攻撃者は、銀行やソーシャル メディア Web サイトなど、信頼できるソースとして機能するユーザーに、ユーザーが資格情報を入力するためのリンクを含む悪意のある電子メールを送信します。通常、リンクは正規の Web サイトのように見せかけられていますが、よく見るとそれが間違っていることがわかります。

たとえば、かつてはフィッシング リンクが paypai.com を使用して Paypal ユーザーを騙し、ログイン情報を提供させていました。

典型的なフィッシングメールの形式。

“ユーザーの皆様、

あなたのアカウントで不審なアクティビティが確認されました。アカウントがブロックされないようにするには、ここをクリックして今すぐパスワードを変更してください。」

一度にフィッシングに遭った可能性は 50% です。いいえ？ Web サイトにログインし、「サインイン」/「ログイン」をクリックした後もログイン ページに戻ってしまったことがありますか?フィッシングに成功しました。

ソーシャルエンジニアリングはどのように行われるのでしょうか?

暗号化アルゴリズムがさらに解読されにくくなり、安全性が高まっているにもかかわらず、ソーシャル エンジニアリングのハッキングは依然として強力です。

ソーシャル エンジニアは通常、オンライン アカウントやその他の保護されたリソースにアクセスできるようにするために、あなたに関する情報を収集します。通常、攻撃者は心理操作によって被害者に個人情報を漏らさせます。このことの恐ろしい点は、この情報は必ずしもあなたから提供される必要はなく、知っている誰かから提供されればよいということです。

通常、ターゲットはソーシャル エンジニアリングを受ける人ではありません。

たとえば、カナダの人気通信会社は今年初め、顧客に対するソーシャル エンジニアリング ハッキングでニュースになりました。カスタマー サービス担当者がソーシャル エンジニアリングを受けて、大規模な SIM スワップ ハッキングでターゲットの詳細を明らかにし、 3 万ドルの損失を もたらしました。 お金 。

ソーシャル エンジニアは、人々の不安、怠慢、無知を利用して、重要な情報を漏らさせます。リモート サポートが広く使用されている時代において、組織は人的ミスが避けられないために、このようなハッキングの事例がさらに多く発生しています。

誰でもソーシャル エンジニアリングの被害者になる可能性があります。さらに恐ろしいのは、知らないうちにハッキングされている可能性があることです。

ソーシャルエンジニアリングから身を守るには?

• ログインパスワードに生年月日、ペットの名前、お子様の名前などの個人情報を使用しないでください。
• 弱いパスワードは使用しないでください。複雑なパスワードを思い出せない場合は、パスワード マネージャーを使用してください。
• 明らかな嘘を探してください。ソーシャル エンジニアは、あなたをすぐにハッキングできるほどの知識を持っているわけではありません。彼らは、あなたが正しい情報を提供してくれることを期待して、間違った情報を提供し、さらに追加の情報を要求します。騙されないでください！
• 電子メール メッセージからアクションを実行する前に、送信者とドメインの信頼性を確認してください。
• 口座上で不審な行為に気付いた場合は、すぐに銀行に相談してください。
• 携帯電話の信号が突然受信できなくなった場合は、すぐにネットワークプロバイダーに連絡してください。 SIM交換ハックかもしれません。
• 2 要素認証 (2-FA) をサポートするサービス で 2 要素認証を有効にします。

結論

これらの手順はソーシャル エンジニアリング ハッキングに対する直接的な救済策ではありませんが、ハッカーによる侵入を困難にするのに役立ちます。