ヴィッシングとは何ですか?
ヴィッシングとは、被害者をだまして電話で個人的な機密情報を与えようとする攻撃の一種である。 たとえば、自動音声シミュレーション技術を使ったり、以前のサイバー攻撃から得た被害者の個人情報を使って安心させたりします。
どんな技術が使われていても、攻撃の設定はおなじみのソーシャル・エンジニアリングのスクリプトに従います。 攻撃者は、人間の感情(一般的には欲や恐怖)を食い物にするシナリオを作成し、クレジットカード番号やパスワードなどの機密情報を開示するよう被害者を説得します。 その意味で、ヴィッシングのテクニックは、1990年代から存在するフィッシング詐欺を模倣しています。
Vishing statistics
The notable numbers offer of the state of vishing and why it can be a lucrative business for attackers.これらの顕著な数字は、ビッシングの現状と攻撃者にとって有利なビジネスである理由を教えてくれる。
- ヴィッシング攻撃はここ数年、増加傾向にあります。 2018年には、詐欺電話が携帯電話の着信の約30%を占めました。
- ですから、この奇妙な言葉がより広く認識され始めていることは驚くことではありません。 Proofpointの2020 State of the Phishレポートによると、世界的な調査で25%の労働者がこの用語を正しく定義できたことがわかりました。
- 詐欺の被害者の75%が、ビザーがすでに自分に関する個人情報を持っており、それを使ってターゲットを絞り、さらに多くの情報を手に入れたと報告しています。
- 政府の偽者によるヴィッシング詐欺をFTCに報告した人のうち、実際にお金を失った人はわずか6%でしたが、報告した人の損失額はかなり大きく、中央値で960ドルでした。
フィッシングはその中でも最も古いもので、CSOに詳細な説明がありますが、要するに、受信者を騙すために標的型の電子メールメッセージを送るというものです。 「フィッシュ」はスペルどおり、つまり「魚」のように発音され、釣り人が餌をつけた針(フィッシング・メール)を投げて、食いついてくるのを期待するという例えがあります。 この言葉は、1990年代半ば、AOLのユーザーを騙してログイン情報を与えようとしたハッカーの間で生まれた。 ph」は気まぐれなハッカーの綴りの伝統の一部であり、おそらく「phreaking」という用語に影響されたもので、「phone phreaking」の略で、電話の受話器に音のトーンを流して無料の電話を得るという初期のハッキングの一形態でした。 フィッシングがスパムの一部と考えられているように、ヴィッシングはVoIPスパムの発展形であり、SPIT(spam over telephony)とも呼ばれる。
「スミッシング」はEメールや音声通話の代わりにテキスト・メッセージを使う類似のタイプの攻撃で、この言葉は「SMS」と「フィッシング」の合体語である。
ビッシングのテクニック
ほとんどすべてのビッシング攻撃には、いくつかの共通点があります。 電話はまずvoice over IP (VoIP)サービスを介してかけられ、ビッシャーにとってはプロセスの一部または全部を自動化しやすく、被害者や警察による追跡が難しくなっています。 攻撃者の最終的な目標は、銀行口座情報または銀行口座へのアクセスに使用できるその他の個人情報を取得すること、またはユーザーを騙して直接支払いをさせることで、何らかの形でユーザーから利益を得ることです。
しかし、Vishing詐欺の世界には、幅広いテクニックと戦略が存在します。 おそらく最も広く普及しているビッシングの形態は、いわゆる「wardialing」、つまり何百、何千もの番号に何百、何千もの自動化されたコールで始まります。 潜在的な被害者(またはそのボイスメール)は、スキャマーに電話をかけるよう、怖がらせたり、騙したりするための録音を受け取ります。 多くの場合、詐欺師はIRSやその他の政府機関、銀行や信用組合などを名乗ります。
この手法のバリエーションには、コンピュータ上のポップアップウィンドウを使用するものがあり、多くの場合マルウェアによって仕込まれ、OSから何らかの技術的な問題についての警告をシミュレートするものです。 被害者は、「Microsoft Support」または同様のものに電話する必要があると言われ、電話番号が与えられます。 このため、被害者は「Microsoft Support」などに電話する必要があると言われ、電話番号を渡されます。これにより、被害者はヴィッシャーと通話することになり、会話中に本物の音声と自動音声を組み合わせて応答することになるかもしれません。 しかし、もっと厄介なのは、あなたに特別に接触してくるヴィッシャーです。 スピアフィッシングと同様、攻撃者はターゲットに関する何らかのデータをすでに持っていることが必要です。 例えば、スピアビッシャーは、電話をかける前に、あなたの自宅の住所や取引銀行をすでに知っていて、あなたを騙して暗証番号を教えやすくしているのです。 ジェネラリ・グローバル・アシスタンス(GGA)のグローバル・アイデンティティ&サイバー・プロテクション・サービスのCEOであるペイジ・シャファーは、「このデータの多くは、データ侵害に端を発するダークウェブからもたらされます」と述べています。 と、Generali Global Assistance (GGA)のGlobal Identity and Cyber Protection ServicesのCEOであるPaige Schaffer氏は述べています。 すでに個人情報を持っている攻撃者が、さらに情報を得ようとするのは奇妙に思えるかもしれませんが、シャファーが指摘するように、「詐欺師は情報を持てば持つほど、被害を拡大させることができる」のです。 SSNの下4桁で満足するのではなく、残りの5桁を引き渡させる可能性があるのです。 完全なSSNは、クレジットカードやローンなどの不正使用を可能にします」
このすべてが、誰かに電話をかけてIRSから来たと伝えるよりもずっと大変に思えるなら、それは正しいことです。 しかし、ほとんどの人、特に価値の高いターゲットは、より教養があり、サイバーに精通していることが多いので、こうした単純な詐欺はすぐに見破られるでしょう。 もし報酬が十分に大きいのであれば、時間をかけてでも説得力のある身元を作り上げ、被害者から情報を引き出す価値があるかもしれない。 「ハッカーは、フィッシングメールやマルウェアを通じて、被害者から時間をかけて根気よく情報を聞き出しているかもしれません」とSchaffer氏は言います。 スピアビザーがCEOのような大物を狙うことを “ホワイリング “と呼んでいます」。 そして、音声シミュレーションの技術が向上するにつれ、被害者を騙すために特定の人物を模倣することができるようになり、捕鯨船の武器はさらに増えている。
Vishing examples
これまで、お金や個人情報を得るために捕鯨船が行う特定の詐欺については曖昧にされてきました。 HashedOut では、これらを 4 つの大きなカテゴリに分類しています:
Telemarketing fraud(テレマーケティング詐欺)。 このタイプの詐欺は、正直なところVishingの時代より前ですが、そのテクニックの多くが採用されています。 ヴィッシング詐欺師は、あなたが誰であるかという背景を全く知らずに電話をかけ、「応募したこともない宝くじが当たった」「マリオットの無料バケーションが提供された」「クレジットカードの利息を減らすことができる」など、あまりにもうますぎる申し出をします。 通常、「無料」のお金を手に入れるには前払いの費用がかかり、もちろん約束した餌は届きません。
政府のなりすまし。 よくある詐欺は、メディケアや社会保障費など、被害者が受け取るべき給付金が問題でブロックされているとほのめかし、その問題を「解決」すると言って、社会保障や銀行口座番号などの個人情報を渡すよう、被害者をなだめるというものです。 この手口は、偽の国税庁の「調査官」が行うもので、被害者に裏金を支払うよう要求し、罰金や刑務所に入るよう脅すケースが多く見られます。
この種の詐欺師は、Amazonギフトカードを購入した被害者に支払いを要求し、カードの購入履歴が追跡できないので、裏面の番号を読み上げることも珍しくありません。 これは、あなたが政府機関と取引していないことを示す良いヒントになります!
テックサポート詐欺。 詐欺師は、技術的に素朴な人々やハッキングされる心配を利用し、ポップアップ広告やOSからの警告を装ったマルウェアを使って、被害者を騙してビシャールに電話させることがあります。 Kapersky は、基本的にランサムウェアの一種であるこの詐欺の亜種について警告しています。マルウェアは PC をロックしますが、「技術サポート」番号を提供し、親切な「技術者」(実際には最初にマルウェアをインストールした一団の一員)が、代金を支払ってコンピュータを修復し、実際に助けてくれたかのように思わせるというものです
銀行口座に対する Vishing 攻撃。 銀行情報へのアクセスは、もちろん、ヴィッシャーの聖杯です。 先に述べたように、攻撃者がすでに他の情報源から個人情報にアクセスしている場合、彼らは金融機関からかかってくるであろう正当な電話を簡単に模倣し、最も経験豊富な人間でさえも騙すことができるのです。 Panic Inc.の創設者であるCaleb Sasserは、Krebs on Securityに、成功寸前まで行ったビッシング攻撃の悲惨な話を語っています。 攻撃者は、Sasser氏の取引銀行であるWells Fargoの電話番号になりすますことに成功し、不正な請求の可能性があるので追跡調査すると主張しました。 銀行」は新しいATMカードを送ることを提案していたため、Sasserは携帯電話に新しいPINを入力するところまで行きかけましたが、最後の最後で引き下がりました。そうしていれば、詐欺師は彼のカードを複製して自由に使うことができたでしょう。 その一種が「フライデー・アフタヌーン詐欺」として知られるようになり、この詐欺師は、投資会社やその他の裕福なターゲットに週の終わりのぎりぎりの時間に電話をかけ、電話に出た人が疲れて気を失い、警戒を解くことを当てにします。
ヴィッシングを防ぐには
ヴィッシングを見分けて避けようと思っているなら、これまでに取り上げた材料で、何を見るべきかわかるとよいでしょう。
- 政府機関を名乗り、金銭や情報を要求する電話を疑ってください。 政府機関が突然、金銭を要求したり、提供したりするような電話をかけてくることはありません。
- ギフトカードや電信送金での支払いは絶対にやめましょう。
- 発信者番号通知は信用しないこと。
Kapersky はもうひとつ、経験則を紹介しています。すべてのビッシング詐欺に共通しているのは、偽の危機感を煽り、トラブルに巻き込まれた、あるいは機会を逃そうとしている、今すぐ行動しなければならないと思わせようとする点です。 一旦立ち止まって、自分からは何も言わず、発信者に関する情報を書き留め、調査してからかけ直すと、決して損はありません。
組織を守るために積極的に行動したい場合は、セキュリティ啓発トレーニングの一環として、ビッシングを取り入れるとよいかもしれません。 いくつかのベンダーは、スタッフの態度の脆弱性を発見し、脅威の本質を従業員に示すのに役立つシミュレーションビッシングプラットフォームを提供しています。