ソーシャル エンジニアリング攻撃の完全ガイド。

著者: Trix Cyrus

ウェイマップ侵入テストツール: ここをクリック
TrixSec Github: ここをクリック

ソーシャル エンジニアリングとは何ですか?
ソーシャル エンジニアリングは、個人をだましてパスワード、銀行情報、安全なシステムへのアクセスなどの機密情報を漏らすために使用される心理操作の一形態です。ソーシャル エンジニアは、ソフトウェアの脆弱性を悪用するのではなく、信頼、恐怖、無知などの人間の脆弱性を悪用します。

技術的なサイバー攻撃とは異なり、ソーシャル エンジニアリングには通常、ネットワークやシステムへの侵入は伴いません。代わりに、攻撃者は組織内の誰かを操作して、自発的にアクセスや機密情報を提供させます。

一般的なタイプのソーシャル エンジニアリング攻撃
ソーシャル エンジニアリング攻撃にはさまざまな形があり、デジタル攻撃と物理攻撃の両方が考えられます。最も一般的なタイプのいくつかを次に示します:

1.フィッシング

フィッシングは、ソーシャル エンジニアリングの最もよく知られた形式の 1 つです。フィッシング攻撃では、攻撃者は、銀行、同僚、または人気のある Web サイトなど、信頼できるソースから送信されたように見える詐欺的な電子メールまたはメッセージを送信します。目的は、被害者をだまして悪意のあるリンクをクリックさせたり、マルウェアをダウンロードさせたり、ログイン認証情報などの機密情報を漏らしたりさせることです。

例:
銀行からのもののように見える電子メールを受け取り、リンクをクリックしてアカウントを「確認」するよう促します。リンクをクリックすると、資格情報を盗むことを目的とした偽の Web サイトに移動します。

2.スピアフィッシング

一般的なフィッシング攻撃とは異なり、スピア フィッシングはより標的が絞られています。攻撃者は被害者を調査して、より説得力のあるパーソナライズされた電子メールやメッセージを作成します。これにより、ターゲットがメッセージが詐欺であることに気づきにくくなります。

例:
従業員は、会社の CEO を装った人物から、会社の機密文書への緊急アクセスを要求する電子メールを受け取りました。これは個人に合わせたものであり、上層部の立場からのものであるため、従業員は従う可能性が高くなります。

3.プリテキスティング

プリテキシングでは、攻撃者は被害者の信頼を得るために捏造されたシナリオ、つまり「口実」を作成します。これには、同僚、技術サポート エージェント、政府関係者など、正当な権限を持つ人物になりすますことがよくあります。信頼を構築することで、攻撃者は被害者に個人情報を共有するよう説得します。

例:
攻撃者は、IT 部門を装って従業員に電話をかけ、従業員のコンピュータの問題を「解決」するためにログイン認証情報を要求します。

4.餌

おとり行為は、何か魅力的なものを約束して被害者を罠に陥れる戦術です。これは、マルウェアを含む無料ソフトウェアのオンライン オファーである可能性もあれば、攻撃者が感染した USB ドライブを公共の場所に放置し、誰かが自分のコンピュータに差し込むことを期待する物理的な方法である可能性もあります。

例:
ユーザーが駐車場で「給与情報」というラベルが貼られた USB ドライブを見つけました。彼らは好奇心からそれを自分のコンピュータに接続し、知らず知らずのうちにマルウェアをインストールしてしまいます。

5.代償を払います

見返り攻撃では、攻撃者は情報と引き換えにサービスや好意を提供します。これは、被害者のログイン情報と引き換えに問題の解決を提案するテクニカル サポートを装うだけの簡単なものです。

例:

攻撃者は組織内のさまざまな人々に電話をかけて、そのコンピューターや資格情報へのアクセスと引き換えに無料のトラブルシューティングを提供します。

6.あおり運転/肩車

物理的な形式のソーシャル エンジニアリングでは、共連れ攻撃では、攻撃者が誰かの後を追って、適切なアクセスなしに安全な建物に侵入します。これは、誰かが資格情報を確認せずに、一見正当な人物にドアを開けたままにした場合に発生する可能性があります。

例:
襲撃者は物資の入った箱を持って、安全なオフィスビルの外で待機し、従業員がキーカードを使用した後、キーカードを忘れたふりをして屋内に侵入します。

ソーシャル エンジニアリングが効果的な理由

ソーシャル エンジニアリング攻撃は、次のような人間の基本的な特性を悪用するため、効果的です。

信頼: 人は権威ある人物や馴染みのあるブランドを信頼する傾向があります。
恐怖: 緊急のシナリオ (アカウントがロックされるなど) はパニックを引き起こし、人々は何も考えずに行動してしまいます。
好奇心: フリー ソフトウェアや見つかった USB ドライブなどの魅力的なオファーは、好奇心を引き起こします。
役に立つ性質: 人は、他の人、特に正当な支援を必要としていると思われる人を助けたいと思うことがよくあります。

ソーシャル エンジニアリングから身を守る方法

良いニュースは、ソーシャル エンジニアリング攻撃から自分自身と組織を守るための措置を講じることができるということです。その方法は次のとおりです:

1.懐疑的になってください

個人情報やログイン資格情報を要求する迷惑メール、電話、メッセージには常に注意してください。メッセージが正当であるように見えても、応答する前に送信元を確認してください。

2.あなた自身とあなたのチームを教育しましょう

トレーニングと認識が鍵となります。従業員は、一般的なソーシャル エンジニアリング戦術とそれを認識する方法を認識する必要があります。新しい詐欺やフィッシング手法について定期的に更新してください。

3.機密情報のリクエストを確認

機密情報に関する不審なリクエストを受け取った場合は、公式チャネルを通じて送信者に連絡してリクエストを確認してください。未承諾のメールや電話に機密情報を決して提供しないでください。

4. 2 要素認証 (2FA) を実装する

2FA を使用すると、セキュリティ層がさらに追加されます。誰かがソーシャル エンジニアリング攻撃に遭ってパスワードが公開された場合でも、2FA により不正アクセスを防ぐことができます。

5.ソーシャル エンジニアリングの定期テスト

多くの組織は、従業員がソーシャル エンジニアリング攻撃に対してどの程度影響を受けやすいかをテストするために、内部フィッシング シミュレーションを実施しています。これらのテストは、弱点を特定し、従業員がフィッシング攻撃を発見できるように訓練するのに役立ちます。

1. 個人情報の保護 ソーシャル メディアや公開フォーラムで共有する個人情報の量を制限します。ソーシャル エンジニアは、攻撃を開始する前にオンラインでターゲットを調査することがよくあります。

~Trixsec

以上がソーシャル エンジニアリング攻撃の完全ガイド。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。