フィッシング攻撃を防ぐ方法

サイバー犯罪者が目標を達成するために使用する最も単純で最も効果的な手法のいくつかは、 フィッシング攻撃として知られているものです。 多くの場合、誰かを騙してメール内のリンクをクリックさせたり、悪意のある添付ファイルを開かせたりする方が、組織のファイアウォールやその他の防御をハッキングするよりもはるかに簡単です。 フィッシング攻撃には、マルウェアの配信、金銭の窃取、認証情報の窃取など、さまざまな目的があります。 しかし、個人情報を盗むことを目的としたフィッシング詐欺、詐欺、不正行為のほとんどは、十分な注意を払えば検出できます。

ここでは、フィッシング防止のヒントをいくつかご紹介します。

デモをリクエストする eBookを読む

1.パスワードリセットのメールを常に疑ってください

パスワードリセットの電子メールは、アカウントのパスワードを思い出せないときに役立つように設計されています。 リンクをクリックすると、そのアカウントのパスワードを新しいものにリセットできます。 もちろん、パスワードを知らないことは、サイバー犯罪者がオンラインアカウントにアクセスしようとする際に直面する問題でもあります。 偽のパスワードリセットメールを送信して、似たようなフィッシングサイトに誘導することで、アカウント認証情報を入力して送信するように説得できます。 迷惑なパスワードリセットメールを受け取った場合は、常にウェブサイトに直接アクセスし(埋め込みリンクをクリックしないでください)、そのサイト(および同じパスワードを持つ他のサイト)でパスワードを別のものに変更してください。

2.メールの言語を常にメモします

ソーシャルエンジニアリングの手法は、人間の本性を利用するように設計されています。 これには、人は急いでいるときに間違いを犯す可能性が高く、権威ある立場にある人の命令に従う傾向があるという事実が含まれます。

フィッシング攻撃は、通常、これらの手法を使用して、メールに関する潜在的な疑念を無視してリンクをクリックするか、添付ファイルを開くようにターゲットを説得します。 一般的なフィッシング手法には、次のようなものがあります。

  • 偽の注文/配送: フィッシングメールは、信頼できるブランド(Amazon、FedExなど)になりすまし、注文した、または配達が届いたことを知らせます。 クリックして不正な注文や配送をキャンセルすると、Webサイト(サイバー犯罪者のもの)は認証を必要とし、攻撃者はログイン資格情報を盗むことができます。
  • ビジネスメール詐欺(BEC): BEC不正、詐欺、不正行為は、企業内のヒエラルキーと権限を利用します。 攻撃者は、CEOやその他の上級管理職になりすまし、電子メールの受信者に、特定の銀行口座(詐欺師のもの)に送金するなどのアクションを実行するように命じます。
  • 偽の請求書: フィッシング詐欺師は、正規のベンダーになりすまし、未払いの請求書の支払いを要求します。 この不正、詐欺、不正行為の最終目的は、攻撃者の口座に金銭を送金したり、悪意のある文書を介してマルウェアを配信したりすることです。

 

言い換えれば、メールが迅速または異常なアクションを実行するように促している場合は、それを信頼する前に、速度を落とし、それが正当であることを確認してください。 さらに、フィッシングメールのトーンが、送信者と思われる人にとって「ブランドに合っている」かどうかを検討することが重要です。 フィッシングメールには、スペルミス、文法上の誤り、または異常な言い回しが含まれていることがよくありますが、常にではありません。 メールが「正しく聞こえない」場合は、それを信頼しないでください。

3. 認証情報は絶対に共有しない

認証情報の窃取はサイバー攻撃の共通の目標です。 多くの人がさまざまなアカウントで同じユーザ名とパスワードを再利用しているので、1つのアカウントの認証情報を盗むと、攻撃者が多数のオンラインアカウントにアクセスできる可能性があります。

 

その結果、フィッシング攻撃は、次のようなさまざまな方法でログイン認証情報を盗み出すように設計されています。

  • フィッシングサイト: 攻撃者は、ユーザー認証を必要とする類似サイトを作成し、フィッシングメールでこれらのサイトを指し示します。 期待した場所に行かないリンクには注意してください。
  • 認証情報を窃取するマルウェア: 資格情報に対するすべての攻撃が直接的であるとは限りません。 フィッシングメールの中には、キーロガーやトロイの木馬など、コンピュータにパスワードを入力するときに盗聴するように設計されたマルウェアが含まれているものがあります。
  • 不正、詐欺、不正行為のサポート: サイバー犯罪者は、Microsoft、Apple、および同様の企業のカスタマーサポートスペシャリストを装い、コンピューターを「支援」しながらログイン資格情報を要求する可能性があります。

 

サイバー犯罪者は、さまざまな口実や不正、詐欺、不正行為を使用して、アカウントの資格情報を盗もうとします。 パスワードは誰にも教えず、メールがログインページを指している場合は、サイトに直接アクセスして認証し、類似のフィッシングサイトから保護します。

Protecting Against Phishing Attacks

フィッシング攻撃のリスクと最も一般的な口実のいくつかを理解することは、フィッシング攻撃から身を守るための重要な第一歩です。 しかし、現代のフィッシングキャンペーンは洗練されており、最終的には誰かがフィッシング詐欺に引っかかる可能性があります。

 

このような場合、 エンドポイントとメールのセキュリティソリューション を導入しているかどうかが、重大なセキュリティインシデントと非インシデントの違いを生む可能性があります。 フィッシングから組織を保護する方法の詳細については、 お問い合わせ いただくか、高度な アンチフィッシングソリューションをご覧ください。

スタート

アンチランサムウェア

SandBlast Mobile

CloudGuard SaaS

関連トピック

ランサムウェア

フィッシングとは?

モバイル脅威防御(MTD)

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK