ある日、電子メールをチェックして、銀行からのメッセージを見つけたとします。あなたは以前に彼らから電子メールを受け取ったことがありますが、これは疑わしいようです。特に、すぐに返信しないとアカウントが閉鎖される恐れがあるためです。職業はなんですか?
このメッセージやその他のメッセージは、オンラインID盗難の方法であるフィッシングの例です。フィッシング詐欺師は、個人データや財務データを盗むだけでなく、コンピューターをウイルスに感染させ、無意識のうちにマネーロンダリングに参加するように人々を説得する可能性があります。
ほとんどの人は、フィッシングを、銀行、クレジットカード会社、またはAmazonやeBayなどの他のビジネスを偽装または模倣する電子メールメッセージと関連付けます。これらのメッセージは本物のように見え、被害者に個人情報を開示させようとします。しかし、電子メールメッセージは、フィッシング詐欺のほんの一部にすぎません。
最初から最後まで、プロセスには以下が含まれます。
- 計画。フィッシング詐欺師は、ターゲットとするビジネスを決定し、そのビジネスの顧客の電子メールアドレスを取得する方法を決定します。彼らはしばしばスパマーと同じ大量メール送信とアドレス収集技術を使用します。
- セットアップ。なりすましの対象となるビジネスと被害者がわかったら、フィッシング詐欺師はメッセージを配信してデータを収集する方法を作成します。ほとんどの場合、これには電子メールアドレスとWebページが含まれます。
- 攻撃。これは、人々が最もよく知っている手順です。フィッシング詐欺師は、信頼できるソースからのように見える偽のメッセージを送信します。
- コレクション。フィッシング詐欺師は、被害者がWebページまたはポップアップウィンドウに入力した情報を記録します。
- 個人情報の盗難と詐欺。フィッシング詐欺師は、収集した情報を使用して、違法な購入を行ったり、その他の方法で詐欺を行ったりします。犠牲者の4分の1が完全に回復することはありません[出典: InformationWeek ]。
フィッシング詐欺師が別の攻撃を調整したい場合、彼は完了した詐欺の成功と失敗を評価し、サイクルを再開します。
フィッシング詐欺は、クライアント側とサーバー側の両方でソフトウェアとセキュリティの弱点を利用します。しかし、最もハイテクなフィッシング詐欺でさえ、昔ながらの詐欺の仕事のように機能し、ハスラーは彼のマークに彼が信頼できて信頼できると確信させます。
フィッシングの起源
「フィッシング」という単語の最初の文書化された使用は1996年に行われました。ほとんどの人は、「情報を得るために釣りをする」のように、「釣り」の代替スペルとして始まったと信じています[出典:次世代セキュリティソフトウェア]。
- フィッシング詐欺
- アドレススプーフィング
- 対詐欺
フィッシング詐欺
ほとんどの人は自分の銀行口座、クレジットカード番号、またはパスワードを誰にも開示しないため、フィッシング詐欺師は被害者をだましてこの情報をあきらめるために追加の手順を実行する必要があります。情報を取得するこの種の欺瞞的な試みは、ソーシャルエンジニアリングと呼ばれます。
フィッシング詐欺師は、実際の会社のロゴを使用し、正当な電子メールメッセージをコピーして、被害者を不正なページに誘導するリンクに置き換えることがよくあります。それらは、使用詐称、または偽の、電子メールのアドレスの「From:」とメッセージのフィールド「に-返信」、およびそれらの難読化リンクは彼らが正当に見えるように。しかし、公式メッセージの外観を再現することは、プロセスの一部にすぎません。
ほとんどのフィッシングメッセージは、被害者に即座に行動を起こす理由を与え、最初に行動し、後で考えるように促します。メッセージは、被害者がすぐに返信しないと、アカウントのキャンセルで被害者を脅かすことがよくあります。被害者が一度も購入したことがないことを感謝する人もいます。被害者は実際に使っていないお金を失いたくないので、メッセージのリンクをたどり、フィッシング詐欺師にそもそも恐れていた種類の情報を提供することになります。
さらに、多くの人が自動プロセスを信頼しており、人的エラーがないと信じています。そのため、多くのメッセージは、コンピューター化された監査またはその他の自動化されたプロセスにより、被害者のアカウントに何か問題があることが明らかになったと主張しています。被害者は、監査を行っているコンピューターが間違いを犯したと信じるよりも、誰かが自分のアカウントに侵入しようとしていると信じる可能性が高くなります。
フィッシング:電子メールだけではありません
電子メールはフィッシングルアーを配布する最も一般的な方法ですが、一部の詐欺師は次の方法で被害者を探します。
- インスタントメッセージ
- 携帯電話のテキスト(SMS)メッセージ
- チャットルーム
- 偽のバナー広告
- 掲示板とメーリングリスト
- 偽の求人検索サイトと求人
- 偽のブラウザツールバー
アドレススプーフィング
Webブラウザまたは電子メールクライアントが複雑になるほど、フィッシング詐欺師は抜け穴や弱点を見つけることができます。これは、プログラムがより洗練されるにつれて、フィッシング詐欺師がトリックの袋に追加することを意味します。たとえば、スパムとフィッシングフィルタがより効果的になるにつれて、フィッシング詐欺師はそれらをすり抜けるのが上手になります。
最も一般的なトリックは、アドレススプーフィングです。多くの電子メールプログラムでは、ユーザーは「差出人」および「返信先」フィールドに必要な情報を入力できます。複数の電子メールアドレスを使用する人にとっては便利ですが、これにより、フィッシング詐欺師は正当なソースから送信されたように見えるメッセージを簡単に作成できます。一部の電子メールサーバーでは、コンピューターがパスワードを使用せずにSMTP(Simple Mail Transfer Protocol)ポートに接続することもできます。これにより、フィッシング詐欺師は電子メールサーバーに直接接続し、被害者にメッセージを送信するように指示できます。
その他のトリックは次のとおりです。
難読化されたリンク。これらのURLは本物のように見えますが、被害者をフィッシング詐欺師のWebサイトに誘導します。難読化の手法には次のものがあります。
- なりすましの会社のURLのスペルミスバージョンを使用するか、国際ドメイン名(IDN)登録を使用して、他のアルファベットの文字を使用してターゲットURLを再作成します。別のドメイン名を使用するURL内にターゲット企業の名前を含める。
- URLを表すために、16進数などの代替形式を使用します。
- それ以外の場合は正当なURLにリダイレクトするための指示を組み込む。
- HTMLを使用してリンクを欺くように提示します。たとえば、以下のリンクは、ゾンビマシンについて説明している「スパムのしくみ」のセクションに移動しているように見えますが、実際には、ゾンビに関するまったく異なる記事にブラウザを誘導しています。https://computer.howstuffworks.com/spam4.htm
グラフィック。フィッシング詐欺師は、被害者が使用している電子メールクライアントとブラウザを特定することで、アドレスバーとセキュリティ南京錠の画像を実際のステータスバーとアドレスバーの上に配置できます。
ポップアップウィンドウとフレーム。悪意のあるポップアップウィンドウがサイト上に表示されたり、その周囲の非表示のフレームに悪意のあるコードが含まれている可能性があります。
HTML。一部のフィッシングメールはプレーンテキストのように見えますが、実際には、メッセージがスパム対策ソフトウェアをバイパスするのに役立つ非表示の単語と指示を含むHTMLマークアップが含まれています。
DNSキャッシュポイズニング。ファーミングとも呼ばれます。これは、フィッシング詐欺師(多くの場合カスタマーサービス担当者と話すことによる)がDNSサーバー情報を変更する場合です。これにより、なりすましの会社のWebサイトにアクセスしようとするすべての人が、別のサイトに誘導されます。ファーミングは検出が難しく、一度に複数の犠牲者を罠にかける可能性があります。
フィッシング詐欺師は、被害者とサイトの間にあるプロキシコンピュータを使用して、被害者の取引を記録できます。また、企業のWebページのセキュリティが不十分であることを利用して、悪意のあるコードを特定のページに挿入することもできます。これらの方法を使用するフィッシング詐欺師は、情報の盗難が発生したときに被害者が正当なWebサイトにアクセスしているため、リンクを偽装する必要はありません。
フィッシング詐欺師は、詐欺で悪意のあるプログラムも使用しています。
- キーロガーとスクリーンキャプチャトロイの木馬は、情報を記録してフィッシング詐欺師に報告します。
- リモートアクセス型トロイの木馬は、被害者のコンピューターをゾンビに変えます。フィッシング詐欺師がフィッシングメールを配信したり、フィッシングWebページをホストしたりするために使用できるマシンです。
- ボットは、チャットルームで被害者との偽造された会話を維持したり、ゾンビネットワークを調整したりします。
- スパイウェアは、ユーザーのオンライン行動を追跡および記録します。これは、フィッシング詐欺師が他の攻撃を計画するのに役立ちます。
あなたはどのくらいフィッシングに精通していますか?MailFrontierのフィッシングIQテストを受けて、偽の電子メールをどれだけうまく見つけることができるかを確認してください。
フィッシングに使用されるその他の手法の詳細については、次世代セキュリティソフトウェアのフィッシングガイドをご覧ください。Antiphishing.orgには、1人のフィッシング詐欺師が犠牲者をだまそうとする正確な方法の実況もあります。
これらのフィッシング詐欺はすべて注意が必要なように思われるかもしれませんが、いくつかの簡単な手順で保護できます。
対詐欺
ファイアウォールやウイルス対策ソフトウェアを使用するなど、コンピュータを保護するために通常実行する手順は、フィッシングからの保護に役立ちます。安全性をさらに高めるために、WebサイトのSSL証明書と、銀行およびクレジットカードの明細書を確認できます。
さらに、フィッシング詐欺師は、電子メールメッセージやWebページに明らかな兆候を残す傾向があります。電子メールを読むときは、次のことに注意する必要があります。
- 「DearCustomer」などの一般的な挨拶。あなたの銀行があなたに公式の通信を送るならば、それはそれにあなたのフルネームを持っているべきです。(一部のフィッシング詐欺師は、個人情報を含めることができるスピアフィッシングに移行しました。)
- アカウントへの脅威と、「5営業日以内に返信してください。そうしないと、アカウントがキャンセルされます」などの即時対応のリクエスト。ほとんどの企業はあなたを顧客として望んでおり、あなたのビジネスをすぐに失うことはないでしょう。
- 個人情報の要求。ほとんどの企業は、フィッシングが普及する前から、電話や電子メールで個人情報を要求していませんでした。
- 疑わしいリンク。通常より長いリンク、@記号が含まれているリンク、またはスペルが間違っているリンクは、フィッシングの兆候である可能性があります。電子メールで送信されたリンクをクリックするよりも、ブラウザにビジネスのURLを入力する方が安全です。
- スペルミスと文法の誤り。
幸いなことに、企業や政府はフィッシングと戦っています。米国政府は、2006年末までに、オンライン取引にパスワードとトークンや生体認証スキャナーなどの物理オブジェクトの両方を含む2つのセキュリティ方法の使用を開始するよう銀行に指示しました[出典:有線]。多くのインターネットサービスプロバイダー(ISP)およびソフトウェア開発者は、セキュリティ証明書を検証し、アクセスしたサイトが登録されている場所を通知し、リンクを分析するフィッシングツールバーを提供しています。また、フィッシングの試みを報告するためのツールも提供します。他のプログラムは、視覚的な手がかりを使用して、正当なサイトに到達したことを確認します。
フィッシングへの対応
フィッシングの試みであると思われる電子メールを受け取った場合は、返信したり、リンクをクリックしたり、個人情報を提供したりしないでください。代わりに、なりすましのビジネスにその試みを報告する必要があります。疑わしい電子メールのリンクをたどるのではなく、Webサイトまたは電話番号を使用してください。また、National Fraud InformationCenterおよびAnti-PhishingWorkingGroupに通知することもできます。
フィッシング詐欺師に個人情報を提供した可能性があると思われる場合は、次の宛先にインシデントを報告する必要があります。
- なりすましの会社。
- 個人情報を開示した銀行、貸付機関、または信用機関。
- 3つの主要な信用報告会社(Equifax、Experian、TransUnion)の少なくとも1つ。
- あなたの地元の警察署。
- 連邦取引委員会。
- 連邦取引委員会インターネット犯罪苦情センターを介した連邦捜査局(FBI)
また、なりすましと思われるサイトのパスワードも変更する必要があります。他のサイトでも同じパスワードを使用している場合は、そこでもパスワードを変更する必要があります。
フィッシングの事実
- 2005年8月には、5,259のWebサイトにリンクされた13,776のフィッシング攻撃が発生しました。
- 彼らは84の異なる企業を標的にしましたが、3つの企業が攻撃の80%を受け取りました。
- 攻撃の85%は、銀行やその他の金融機関を標的にしました。
- フィッシング詐欺師は、意図した被害者の最大5%から個人情報を入手することに成功しています。
- 5700万人の米国のインターネットユーザーが少なくとも1通のフィッシングメールを受信し、170万人もの人が攻撃者に個人情報を提供しています。出典:NGS Software and AntiPhishing.org
多くの詳細情報
関連記事
- 電子メールのしくみ
- スパムのしくみ
- スパイウェアのしくみ
- コンピュータウイルスのしくみ
- 史上最悪の10のウイルス
- Webページのしくみ
- 長距離詐欺のしくみ
- 個人情報の盗難のしくみ
- コンピュータセキュリティクイズ
その他のすばらしいリンク
- 連邦取引委員会の個人情報の盗難
- 反フィッシングワーキンググループ
- Phishinginfo.org
- 金融サービス技術コンソーシアム
ソース
- アバド、クリストファー。「フィッシングの経済」。最初の月曜日。http://www.firstmonday.org/issues/issue10_9/abad/
- 「「ファーミング」攻撃に対する警告。」ZD NetUK。http://reviews.zdnet.co.uk/software/internet/ 0,39024165,39188617,00.htm
- BBBオンライン:フィッシングhttp://www.bbbonline.org/idtheft/phishing.asp
- フィッシング攻撃の進化。http://www.antiphishing.org/Evolution%20of%20Phishing%20Attacks.pdf
- FTC:フィッシング詐欺に夢中にならないようにする方法http://www.ftc.gov/bcp/conline/pubs/alerts/phishingalrt.htm
- 成長する、ブライアン。「スピアフィッシング詐欺師が忍び込んでいます。」IBM。http://www-03.ibm.com/industries/financialservices/doc/ content / news / magazine / 1348544103.html
- フィッシング詐欺による個人情報の盗難を防ぐのに役立ちます。マイクロソフト。http://www.microsoft.com/athome/security/e-mail/phishing.mspx
- IBMレポート:2005年上半期のセキュリティ攻撃のターゲットとして政府、金融サービス、製造部門がトップhttp://www-03.ibm.com/industries/financialservices/doc/content/news/pressrelease/1368585103.html
- ケイ、ラッセル。「フィッシング」Computerworld。http://www.computerworld.com/securitytopics/security/story/ 0,10801,89096,00.html
- カースタイン、ポール。"トークバック。" CSオンライン。http://www.csoonline.com/talkback/071905.html
- 「敵を知る:フィッシング」ハニーネットプロジェクト。http://www.honeynet.org/papers/phishing/
- Microsoft Anti-Phishing Technologies http://www.microsoft.com/mscorp/safety/technologies/antiphishing/ default.mspx
- ネットワークワールド:視覚的な手がかりがフィッシング詐欺師を妨害する可能性があるhttp://www.networkworld.com/columnists/2005/062705edit.html
- 次世代セキュリティソフトウェア:フィッシングガイドhttp://www.ngssoftware.com/papers/NISR-WP-Phishing.pdf
- 「個人情報盗難の被害者の4人に1人は決して回復しません。」インフォメーションウィーク。http://www.informationweek.com/showArticle.jhtml?articleID=166402700
- 「ファーミングアウト詐欺フィッシング」有線。http://www.wired.com/news/infostructure/0,1377,66853,00.html
- Pharming.org http://www.pharming.org/index.jsp
- 「フィッシング活動の傾向レポート」。AntiPhishing、2005年8月。http://antiphishing.org/apwg_phishing_activity_report_august_05.pdf
- シュナイダー、ブルース。「フィッシング詐欺師のための本当の救済策。」有線。http://www.wired.com/news/politics/0,1283,69076,00.html
- フィッシングに関する特別レポート。米国司法省。http://www.usdoj.gov/criminal/fraud/Phishing.pdf
- 「Webセキュリティを強化する、銀行は語った。」有線。http://www.wired.com/news/business/0,1367,69243,00.html
- Windows IT Pro:セキュリティアップデート:フィッシングとファーミングhttp://www.windowsitpro.com/Article/ArticleID/46789/46789.html?Ad=1
