ソーシャル エンジニアリング攻撃の種類

2022 年 2 月 7 日 By ナンシー・ウィリアム コメントはありません 14 minutes

最近のサイバー攻撃は計り知れないほど急増しています。そうは言っても、さまざまな種類のソーシャル エンジニアリング攻撃について聞いたことがあるでしょう。 心理的な搾取と操作によって引き起こされたさまざまな種類の悪意のある攻撃の集まりと言えます。

それは、 最悪の種類のサイバーセキュリティ攻撃 そしてそれがどのように起こったのかさえ知りません。 ソーシャル エンジニアリング攻撃は複雑に行われ、時間をかけて特定の人々を標的にし、特定の戦略を策定し、侵入の弱点を見つけ、被害者に攻撃者を信頼してもらうなどを行います。

このガイドでは、最悪のタイプのソーシャル エンジニアリング攻撃と、それらに対する保護戦略を構築する方法について説明します。

目次

• ソーシャルエンジニアリングとは？
• ソーシャル エンジニアリング攻撃のサイクル
• 17 種類のソーシャル エンジニアリング攻撃
• ソーシャル エンジニアリング攻撃を防ぐための保護戦略
• まとめ

ソーシャルエンジニアリングとは？

前述のように、ソーシャル エンジニアリングは、人間と心理的な相互作用を通じて発生するさまざまな種類のサイバー攻撃の集まりです。 加害者が目標を設定し、結果を達成するために可能な限りの手段を使用する場所です。 これらの結果は、機密情報の損失、銀行口座の詳細、ID 詐欺、盗まれた資金、デバイスの乗っ取り、またはインストールです。 マルウェア フィッシングの試みを通じて人々のデバイス上で。

たとえば、何千もの Facebook アカウントが FlyTrap トロイの木馬マルウェアによってハッキングされた. これは、ユーザーがアプリ ストアから偽のアプリをダウンロードすることで発生しました。

ソーシャル エンジニアリング攻撃のサイクル

各攻撃者がソーシャル エンジニアリング攻撃を完了するために実行する特定の手順があります。 手順は次のとおりです。

• 被害者をターゲットにする
• それらの調査と情報収集
• 弱点や弱点に応じた攻撃方法を考え出す。
• 被害者との関わり
• 被害者を紡ぎ納得させるストーリーの企画
• ターゲットにゆっくりと情報を求めることで攻撃を拡大する
• マルウェアやその他のソーシャル エンジニアリング プロットを攻撃のために配置する
• 攻撃が行われた後にすべてのトラックをカバーする

ソーシャル エンジニアリング攻撃がどのように機能するかがわかったので、以下を見て、さまざまな種類のソーシャル エンジニアリング攻撃を確認してください。

17 種類のソーシャル エンジニアリング攻撃

以下は、現在、より高度なソーシャル エンジニアリング攻撃の一部です。 彼らです：

• フィッシング詐欺

で始まる フィッシング詐欺、これは通常、テキストや電子メールを介して行われる一種のソーシャル エンジニアリング攻撃です。 個人アカウントの詳細を入力してサインインするように求めるメールや、申し込んだことのないメンバーシップを継続するには一定の金額を支払う必要があるというメールに気付いたことがあるかもしれません。 これらの戦術を使用してインストールすることさえできます Zeusマルウェア またはあなたのデバイス上の他の種類。

私はあなたが何を考えているか知っています。 そのような電子メールやテキストにやみくもに返信する人がいるでしょうか? それほど単純ではありません。 これらのフィッシング詐欺の中には、見分けるのが非常に難しいものもあります。 これには、Instagram で誰かとチャットしたり、だまされて関係を築いたりすることも含まれますが、銀行口座が空になっていることがわかります。 これは インスタグラムのフィッシング 他のほぼすべてのソーシャル メディア サービスで発生する可能性があります。

• バイシング

別の種類のフィッシング攻撃は、 バイシング. これには、詐欺師が被害者をだまして電話で要求に応じさせることが含まれます。 彼らは、銀行員、大学、病院、オフィスなどになりすまして番号を偽装します。

場合によっては、通話が高度すぎて、声が聞き覚えがあるように見えることもあります。 これらの詐欺師は、住所、社会保障番号などの機密情報を要求します。 そのため、銀行の担当者は、電話やテキストで機密データを要求する担当者は決していないと顧客に何度も伝えています。

•  スミッシング

メールと電話について説明しましたが、次は smishing テキストメッセージを介して行われる攻撃。 この種のソーシャル エンジニアリング攻撃は、ほとんどの人があなたの番号と名前を知っている人は誰でも本物のソースであるに違いないと思い込んでいるため、非常に成功していることが証明されています。

それは、小包の配達確認を含むリンクをクリックするように求めるテキスト メッセージの形で届く場合や、ソーシャル メディア アカウントを保護するためにテキストにコードを入力する場合などがあります。 ほとんど違いがわからないでしょう。

• ベイティング

エサと聞いて何を思い浮かべますか？ これは、致命的なフックの最後に取り付けられた刺激的なものであり、犠牲者が誘惑されるのを辛抱強く待っています。

攻撃者は、広告、告知、無料の賞品などを通じて情報を盗むか、フラッシュ ドライブを使用してシステムにマルウェアを感染させます。 被害者は何も考えずに、これらの悪意のあるフラッシュ ドライブをデバイスに接続し、システム障害や情報の損失を引き起こします。

さまざまなアプリ ストアからの偽または悪意のあるアプリのインストールについても同じことが言えます。 彼らは、違いがわからないほど説得力のある方法で宣伝します。 を探すようなものです。 最高の Firestick アプリ 本物とはかけ離れたものに到達する可能性があります。マルウェアやその他の種類の感染でデバイスがいっぱいになる可能性があります。

• スピアフィッシング

スピアフィッシング は、今日最も標的を絞った種類のソーシャル エンジニアリング攻撃の XNUMX つです。 正確な種類のフィッシング詐欺と呼ばれる主な理由は、非常に詳細な計画を立てて被害者を標的にするためです。成功するには数週間から数か月かかります。 この種の攻撃は、大企業や著名な個人などのより大きな魚を対象としています。

それがどのように機能するかを特定するために、ターゲットは電子メールまたは多くの内容が職場またはプライベート コンサルタント内のグループになりすましたものを受け取ります。

電子メールは、パスワードまたは電子メールを入力または入力するように変更するように求めることができます。 login 特定のページ、ポータル、またはアカウントに。 フォーム ページへのリンクは、ハッカーが入力されたすべての情報に簡単にアクセスできる、攻撃が行われる場所になる可能性があります。

• アングラーフィッシング

最近オンラインまたはソーシャル メディアで製品を購入し、苦情を申し立てた場合、攻撃を待っている詐欺師がいます。 彼らはなりすましまたは偽の顧客サービス アカウントを使用して、顧客を詐欺し、フォームに個人情報を入力させます。

たとえば、Facebook にユーザーが XYZ 社に関する苦情を申し立てるページがあるとします。 これらの攻撃者は、すべての苦情を監視し、失うものが多い特定のユーザーを標的にします。

• キャットフィッシング

被害に遭われた方は何人いますか オンラインデート詐欺? 誰かと話し、彼らのために真っ逆さまに倒れたことがありますか? あなたが話している相手は 22 歳の少年であると主張していますが、実際には 78 歳の男性であることが判明しました。

詐欺である偽のプロファイルは、最速のソーシャル エンジニアリング攻撃の XNUMX つとしてよく使用されます。 これは キャットフィッシング 被害者は、正直で本物の誰かと話していると信じ込ませます。それは正反対です。

この種のナマズ詐欺は、誰かをあなたに感情的に結びつけ、悲しいすすり泣きの話を使って、あなたにお金を寄付するように頼むところまで行くことができます。 攻撃者は個人情報を要求することさえできます。 あらゆる方法で使用できます。

• 転用盗難

ソーシャル エンジニアリング攻撃の種類には、転用窃盗があります。 名前だけ見れば、この種の攻撃がより明確に理解できます。 気晴らしとは、実際に起こっていることから誰かをそらすことを意味します。

これにより、攻撃者は簡単にユーザーをだまして、アカウントの詳細、アドレス、パスワードなどの機密情報を提供させることができます。 財務諸表など。

• 前文

前文 ソーシャル エンジニアリング攻撃の別の種類として定義できます。加害者は、行や情報を慎重にキュレートし、合法的に見せかけ、標的に送信します。 法執行機関、税務当局、病院スタッフなどのなりすましである可能性があります。

このような攻撃には多くの課題があり、攻撃者は時間をかけてターゲットに関するあらゆる種類の情報を収集します。 これにより、彼らは偽の通知、フォーム、電子メールなどを作成し、その人に対応と遵守を強いることができます。

• 共連れ

最適な駐車スペースを確保するため、または何かを達成するために、車や車両の尾を引く時間を知っていますか? これは、共連れとして知られています。 これは単純ですが、戦略的な種類のソーシャル エンジニアリング攻撃です。

攻撃者は、あらゆる手段を使用して、個人または対象を尾行することで近づきます。 侵入者が人目を引く建物に誰かを追跡できる状況で使用できます。

人がゲートに入ると、侵入者は自動的にドアに駆け寄り、不法侵入します。 同じことをオンラインで行うことができます。 バンキング アプリやその他の機密性の高いプラットフォームを使用している人物に追随し、そのような至近距離で情報を収集する場合。

• ピギーバッキング

ピギーバックはテールゲートによく似ていると言えます。 ただし、この種の社会的攻撃では、個人は侵入者を銀行の詳細やその他の機密情報に誘導します。

たとえば、自分が間違っていなくても誰かのせいにするのとよく似ています。 有罪者が悲しくて説得力のある話を思いついたので、あなたは礼儀からそれをしただけです。

私たちがプロの設定に行くと、侵入者は不注意な警備員を簡単に罪悪感を感じて予備のアクセスキーを渡してしまう可能性があります。 彼らは会社で働いており、アクセスカードを別の場所に置いてきたと主張しています。

しかし、警備員はどうすれば簡単にアクセスできるのでしょうか? 侵入者は少し掘り下げて、できるだけ多くの情報を収集し、それを最大限に活用しました。

• Scareware

スケアウェアは、最も広く使用されているソーシャル エンジニアリング詐欺の XNUMX つです。 デバイスがマルウェアに感染しているという通知を受け取ったり見たりしたことがあると思います。 特定のリンクをクリックするように促し、実際のマルウェアやその他の種類の脅威をインストールします。 スケアウェアの別のバリエーションは、ローグ スキャナー、詐欺ウェア、または欺瞞ソフトウェアとして知られています。

特定の Web サイトにアクセスすると、デバイスが感染しているため、クリーナーをダウンロードするか、セキュリティ ソフトウェアをインストールする必要があることを知らせるポップアップ バナーなどが表示されることがあります。

それ以外にも、スケアウェアの痕跡を含む電子メールやテキスト メッセージがあります。 あるオフィスで、新入社員に一定の金額を支払うか、雇用主に暴露するように指示するメールが送信されたという事件がありました。 恐怖から、従業員は二度と考えずに要求に応じました。なぜなら、誰が仕事を失いたいのでしょうか? それはほんの一例でした ransomware攻撃、スケアウェアの別の対応物でもあります。

• 捕鯨

別の種類のフィッシング攻撃は、ホエーリングと呼ばれます。 でも、 捕鯨 は、XNUMX 枚の網で大物を捕まえるために使用されるソーシャル エンジニアリング攻撃の一種です。 これらの攻撃者は、有名なペルソナ、大企業、または CEO などの上位の人物を標的にしています。

どのように機能するのか疑問に思っている方のために説明すると、攻撃者はまず、職場の最優先の個人、または代理店や会社などの電子メール アドレスを偽装します。

送信された電子メールの中で、彼らはそれをドまたはダイの状況のように表現し、非常に時間に敏感に聞こえます. 攻撃が成功した場合、被害者は機密データの大部分を失い、深刻な事態に陥る可能性があります。

• コンタクトスパム

Facebookまたは最新の名前のスイッチを使用する場合 メタバースの場合、このタイプのソーシャル エンジニアリング攻撃について認識している可能性があります。 友人から「このビデオを見てください。あなたが出演していると思います」というメッセージを受け取ったことがありますか? これは、実際の友人からではなく、すべての連絡先に送信される一種のウイルスでもあります。

リンクまたはビデオをクリックすると、マルウェアまたはその他の種類の脅威が拡散し、デバイスに感染します。

• クイズプロ

見返りの実際の意味は、特定の要求を満たす見返りに誰かに何かを与えることです. 同様に、ソーシャル エンジニアリング攻撃のメカニズムの XNUMX つとして見返りが使用されます。

たとえば、あなたのデバイスを修理したいとしましょう。インターネットで知り合ったばかりの IT スペシャリストに連絡してください。サービスの方が安いからです。 次に、攻撃者はデバイスを「修正」しますが、実際には悪意のあるソフトウェアをその人のデバイスにインストールして、デバイスを乗っ取ったり、情報を取得したりします。

同様に、無料の健康診断に当選したことを誰からも告げられる可能性があり、それを利用するには、アカウント情報、住所、パスワードなどの詳細を提供する必要があります。見返りはありますか? 盗まれた情報しか得られません。

• ハニートラップ

ハニートラップは通常、人や昆虫がハチミツに誘惑されるのを防ぐための粘着性のあるポットです。 ただし、この状況では、このソーシャルエンジニアリング攻撃は、攻撃者がオンラインで他の人と感情的または性的に関与しているふりをするものです.

この状況では、攻撃者は自分の「パートナー」に、露骨な画像またはビデオを送信して攻撃することを期待しています。 そうでない場合、攻撃者は、後でお金と交換できる機密情報を送信するようにその人に要求します。

• 水飲み場

ソーシャル エンジニアリング攻撃の種類のリストの最後に、Watering Hole があります。 この種の攻撃は、多数のユーザーを集める Web サイトまたはサービスを対象としています。 ユーザーが自分のアカウントにサインインすると、入力したすべての情報が感染した Web サイトに記録または保存される可能性があります。

ソーシャル エンジニアリング攻撃を防ぐための保護戦略

これで、ソーシャル エンジニアリング攻撃とその種類を完全に把握できました。 ただし、すべての人がオンラインで安全であるとは限らないため、XNUMX つまたは XNUMX つの問題に遭遇する日が来るでしょう。

ただし、このため、これらの攻撃を防ぐのに役立ついくつかの保護手段も考案しました。 これらの攻撃に対してできることは次のとおりです。

• 疑問がなくても質問し続ける

質問をするのは決して恥ずべきことではありません。銀行口座の詳細やその他の種類の個人情報を尋ねられた場合は特にそうです。 特定のデータを提供する必要があるものとその理由について質問したら、その答えに耳を傾けるようにしてください。

• 話している相手の身元を再確認する

誰かがあなたの情報を求める電子メール、テキスト メッセージ、または電話を送信した場合。 銀行やあなたの会社など、あなたの知っている人であると主張している場合は、その人の詳細を尋ねてください. 引き込まれるのではなく、その人が実際に存在するかどうかを確認します。 オンライン詐欺.

• 間違い探し

すべての攻撃者が実際に英語やその他の言語に熟練しているわけではありません。 つづりや文法の間違いを探します。 句読点などを確認してください。何かがおかしい、または専門的でないと思われる場合は、遵守をスキップしてください。 重要な場合は、再度ご連絡いたします。

• VPNサービスを使用する

この措置は、最良の措置の XNUMX つです。 まず、Virtual Private Network の略である VPN は、オンラインのユーザーとそのデータを保護し、プライバシーを維持するように設計されています。

アクセスなどの追加の特典があります 米国ネットフリックス または他のストリーミング サービスですが、セキュリティが最大のメリットです。 FastestVPN 一流のセキュリティ機能を提供します。 さまざまな悪意のあるポップアップ広告からのランダムなリンクをクリックするのを防ぐのにも役立ちます.

• デバイスとソフトウェアを保護する

VPN は、デバイスやブラウジングを保護するのに役立ちます。 そのための拡張機能、しかしあなたが興味を持つべきことはそれだけではありません。 強力なパスワード、 ウイルス対策ソフト、 2FA、およびその他の必要な予防措置。 任意のブラウザーだけで Web サイトにアクセスするのではなく、 最も安全なブラウザ 人気があります。

結論する

そして、それはラップです。 これで、現在世界中のユーザーを攻撃しているソーシャル エンジニアリング攻撃のいくつかのタイプがわかりました。 同時に、保護を維持する方法に関するガイドを使用して、これらのいくつかに対処する方法に関する内部知識も得られます. いずれにせよ、警戒を怠らず、VPN サービスに接続してオンライン保護を強化してください.

ニュースレターを購読する

今週のトレンド投稿と最新のお知らせを受け取る FastestVPN 私たちの電子メールニュースレターを介して。

Eメールアドレス