htgは説明します:ソーシャルエンジニアリングとは何ですか?あなたはどのようにそれを避けられますか?

マルウェアだけが心配する唯一のオンライン脅威ではありません。ソーシャルエンジニアリングは大きな脅威であり、どのオペレーティングシステムでもヒットすることができます。実際、ソーシャルエンジニアリングは、電話や対面した状況でも発生する可能性があります。

ソーシャルエンジニアリングに気づいて、視野に入れておくことが重要です。セキュリティプログラムは、ほとんどの社会工学的脅威からあなたを守るものではないため、あなた自身を守らなければなりません。

伝統的なコンピュータベースの攻撃は、しばしばコンピュータのコードの脆弱性を発見することに依存します。たとえば、シスコによると、2013年の攻撃の91%を占めていた旧式のAdobe FlashやJavaを禁止している場合、悪意のあるWebサイトやそのWebサイトにアクセスする可能性がありますソフトウェアの脆弱性を悪用してコンピュータにアクセスします。攻撃者はソフトウェアのバグを操作して、彼らがインストールしたキーロガーを使ってアクセスして個人情報を収集している可能性があります。

ソーシャルエンジニアリングの技法は、心理学的操作を必要とするため、異なるものです。言い換えれば、彼らはソフトウェアではなく人を搾取する。

あなたはおそらく既に社会的工学の一種であるフィッシングについて聞いたことがあります。銀行、クレジットカード会社、または他の信頼できる企業からのものであると主張するメールを受け取ることがあります。彼らはあなたを本当の人のように見せかける偽のウェブサイトに誘導したり、悪質なプログラムをダウンロードしてインストールしたりするように頼んでいるかもしれません。しかし、このようなソーシャルエンジニアリングの手口は、偽のウェブサイトやマルウェアを含む必要はありません。フィッシング詐欺メールは、あなたに個人情報が記載された電子メールの返信を求めることがあります。ソフトウェアのバグを悪用しようとするのではなく、人間の通常のやりとりを悪用しようとします。スピアフィッシングは、特定の個人を対象とするフィッシングの一種であるため、さらに危険です。

チャットサービスやオンラインゲームの一般的なトリックは、「管理者」のような名前のアカウントを登録し、「警告:ユーザーがあなたのアカウントをハッキングしている可能性があり、パスワードで応答して自分自身を認証する」などの恐ろしいメッセージを送信することでした。ターゲットがパスワードで応答すると、彼らはそのトリックに陥ってしまい、攻撃者はアカウントパスワードを持つようになります。

誰かがあなたの個人情報を持っている場合、あなたのアカウントにアクセスするためにそれを使うことができます。たとえば、あなたの生年月日、社会保障番号、クレジットカード番号などの情報は、あなたを識別するためによく使用されます。誰かがこの情報を持っていれば、ビジネスに連絡してあなたのふりをすることができます。このトリックは、攻撃者が2008年にSarah PalinのYahoo!Mailアカウントにアクセスし、Yahoo!のパスワード回復フォームを通じてアカウントにアクセスするのに十分な個人情報を提出するために有名でした。ビジネスであなたを認証するために必要な個人情報がある場合は、電話で同じ方法を使用することができます。ターゲットに関するいくつかの情報を持つ攻撃者は、それらの存在をふりかえり、より多くのものにアクセスすることができます。

ソーシャルエンジニアリングは、個人でも使用できます。攻撃者はビジネスに参入し、修理担当者、新社員、火災検査官であることを幹事に知らせ、権威ある説得力のあるトーンでホールを移動し、潜在的に秘密のデータを盗み、企業スパイを実行する可能性があります。このトリックは、攻撃者が自分ではない相手として自分自身を提示するかどうかによって異なります。秘書、ドアマン、または他の人が担当している場合、あまりにも多くの質問をしたり、あまりにも遠すぎたりしないと、そのトリックは成功します。

ソーシャルエンジニアリング攻撃は、偽のウェブサイト、不正な電子メール、悪意のあるチャットメッセージのすべてを、電話または人で偽装するまで徹底的に犯します。これらの攻撃は多種多様な形で起こりますが、それらはすべて共通点が1つあります。心理的なトリッキーに依存しています。ソーシャルエンジニアリングは、心理的操作の芸術と呼ばれてきました。これは、実際に “オンラインでアカウントをハックする”ハッカーの主な方法の1つです。

ソーシャルエンジニアリングが存在することが分かっていると、それを戦うのに役立ちます。非公開の電子メール、チャットメッセージ、個人情報を要求する電話を疑ってください。財務情報や重要な個人情報を電子メールで公開しないでください。電子メールが重要であると主張したとしても、潜在的に危険な電子メール添付ファイルをダウンロードして実行しないでください。

また、敏感なウェブサイトへの電子メールのリンクをたどってはいけません。たとえば、銀行からのものであると思われる電子メールのリンクをクリックしてログインしないでください。偽のフィッシングサイト(銀行のサイトと見なされていますが、URLが微妙に異なります)に移動することがあります。代わりにウェブサイトに直接アクセスしてください。

銀行からの電話から個人情報を尋ねるなど、不審なリクエストを受け取った場合は、リクエスト元に直接連絡して確認を求めます。この例では、あなたの銀行に電話をかけ、自分の銀行であると主張する人に情報を漏らすのではなく、自分が望むものを尋ねます。

電子メールプログラム、Webブラウザ、およびセキュリティスイートには、一般に、既知のフィッシングサイトにアクセスしたときに警告するフィッシングフィルタがあります。彼らができるのは、既知のフィッシングサイトにアクセスしたとき、または知られているフィッシング詐欺メールを受け取ったときに警告を発するだけで、そこにあるすべてのフィッシングサイトや電子メールについては知らないことです。ほとんどの場合、自分自身を守るのはあなた次第です。セキュリティプログラムはほんの少ししか助けません。

私的なデータや社会工学的な攻撃の可能性のあるものに対する要求を扱う際には、健康な疑いを払うことは良い考えです。疑念と注意は、オンラインとオフラインの両方であなたを守るのに役立ちます。

イメージクレジット:FlickrのJeff Turnet

人気の高い1980年代のアクションTVシリーズで使用されていた象徴的なバンAチームは1983年のGMC Vanduraでした。