This Blog Will Tell You How Hackers Hack Bank Accounts, Social Media Accounts And Systems. このチュートリアルは教育目的のみです。
ハッカーはソーシャルエンジニアリングと呼ばれるテクニックを使用するので、まずソーシャルエンジニアリングとは何かを知る必要があります。 この社会的操作は、金銭的な利益を得るためだけではありません。 ソーシャル・エンジニアリングは、他の目的、例えば、人々から情報を収集するためにも行われることがあります。 ソーシャルエンジニアリング攻撃は、一人の人間だけに起こるのではなく、組織で行われることもあります。 ソーシャルエンジニアはどこにでもいます。
ソーシャルエンジニア攻撃の種類:
ソーシャルエンジニアリングの戦術は、それを実行するために使用するメディアに応じて多数存在します。 媒体は、電子メール、Web、電話、USBメモリなど、さまざまです。
フィッシングは、ソーシャルエンジニアリング攻撃の最も一般的なタイプです。 攻撃者は、有名企業のWebサイトやサポートポータルを再現し、そのリンクをメールやソーシャルメディアプラットフォームでターゲットに送ります。
メールアカウントのスパムフィルターを使用することで、フィッシングメールを防ぐことができます。 最近では、ほとんどのメールプロバイダーが、デフォルトでこの機能を備えています。 また、信頼できない送信元からのメールや、怪しいと思ったメールは開かないようにしましょう。
Spear Phishing
Spear Phishingとして知られるソーシャルエンジニアリングの手法は、フィッシングのサブセットとして仮定することができます。 類似の攻撃ではあるが、攻撃者側の特別な努力が必要である。 限られたユーザーを対象に、どの程度ユニークであるかということに注意を払う必要がある。 その努力は報われ、スピアフィッシングの場合、偽のメールに引っかかる確率がかなり高くなります。
Vishing
詐欺師やソーシャルエンジニアは、インターネット上のどこにでもいることができます。 しかし、多くの場合、昔ながらの方法、つまり、電話を使うことを好みます。 この種のソーシャル・エンジニアリング攻撃は、ビッシングとして知られています。 彼らは企業のIVR(双方向音声応答)システムを再現します。 このシステムをフリーダイヤルに接続し、人々を騙してその電話番号に電話をかけさせ、自分の情報を入力させるのです。 あなたはこれに同意しますか?
Pretexting
Pretexting もソーシャルエンジニアリングの一例です。 これは、ターゲットの前で提示されるスクリプト化されたシナリオに基づき、個人情報またはその他の情報を引き出すために使用されます。
テレビ番組や映画で、刑事がこの手法を使って、個人的に許可されていない場所に入り込んだり、人々を騙して情報を引き出したりするのを見たことがあるかもしれません。 また、遠方の友人から届く、お金に困ったときの偽のメールも、口実の一例です。 おそらく、誰かが彼らのアカウントをハッキングしたか、偽のアカウントを作成したのでしょう。
ベイティング
映画「トロイ」をご覧になったことがある方は、トロイの木馬のシーンを思い出すことができるかもしれませんね。 この手法のデジタル版として知られているのがBaitingであり、ソーシャルエンジニアリング手法の1つとして利用されています。 攻撃者は、誰かが好奇心でそれを拾い、自分のデバイスで使用することを期待して、公共の場所でUSBドライブや光学ディスクを感染させました。 より現代的なおとり捜査の例は、ウェブ上で見つけることができます。 7856>
Tailgating
本日の最後のソーシャル・エンジニアリング攻撃のタイプは、「tailgating」または「piggybacking」として知られているものです。 このタイプの攻撃では、適切な認証を受けていない人が、認証された従業員の後を追って制限区域に入ります。 攻撃者は、配送業者になりすまし、建物の外で待機し、作業を開始させるかもしれません。 従業員がセキュリティの承認を得てドアを開けると、攻撃者は従業員にドアを保持するよう求め、それによって建物へのアクセスを獲得します。
Tailgating は、入口がキーカードの使用を必要とする大企業などすべての企業環境では機能しません。 しかし、中規模企業では、攻撃者は従業員と会話を交わし、親しみを示すことでフロントを通過することができます。
実際、Siemens Enterprise Communications のセキュリティ コンサルタントである Colin Greenless は、これらの戦術を用いて、FTSE 上場金融会社の複数のフロアとデータ ルームにアクセスすることに成功しました。
ソーシャルエンジニアから身を守るには?
ユーザーがソーシャルエンジニアリングのスキームを回避するために、組織がセキュリティ意識のトレーニングプログラムに組み込むことができるヒントをいくつか紹介します:
- 信頼できないソースからの電子メールは開かないこと。
- 友人や家族から不審な電子メールを受け取った場合は、直接、または電話で連絡する。
- ワークステーションから離れるときは、必ずラップトップをロックしてください。
- アンチウィルスソフトウェアを購入する。
- 会社のプライバシーポリシーを読み、どのような状況で見知らぬ人を建物の中に入れることができるか、あるいは入れるべきであるかを理解する。 また、どのような Web ページを閲覧するか、どのようなファイルをダウンロードするかにも注意を払う必要があります。
感情的な知能を向上させる
ソーシャル エンジニアは、人々の脳の感情的な部分を攻撃しようとすることもあります。 罪悪感を煽ったり、ノスタルジックにさせたり、あるいはネガティブな影響を与えようとするかもしれません。
2 Factor Authentication
企業が提供するセキュリティ機能の一種である2FAを使用して、この種の攻撃から保護する必要があります。
Examples Of Social Engineering Attacks
Imagine if you simply transfer $10 to an investor and see this grow to $10,000 without any effort on behalf? サイバー犯罪者は、人間の基本的な感情である信頼と欲を利用して、本当に何もせずに何かを得ることができると被害者に信じ込ませます。
例2 -URGENCY
頻繁に購入するオンラインショッピングサイトのカスタマーサポートから、アカウントを保護するためにクレジットカード情報を確認する必要があると伝えるメールを受け取ります。 メールの文面では、あなたのクレジットカード情報が犯罪者に盗まれないように、迅速に対応するよう促しています。 そして、そのオンラインショップを信頼し、何も考えずにクレジットカード情報だけでなく、住所や電話番号も送信してしまいます。 数日後、クレジットカード会社から電話がかかってきて、あなたのクレジットカードが盗まれ、数千ドルの不正購入に使われたことを知らされます。
例3-偽の通知
多くの人がAirtel、Jio、Vodafone、AT&T、業界団体などのオペレータのシムを使用しています。オペレーターからのインターネットの50%または100%を使用すると、メッセージが私たちの携帯電話に来て、その下にオペレータのアプリのリンクとメッセージがあり、我々はデータ使用量とアドオンオファーリチャージを行うために追跡することができます。ハッカーはメッセージを偽装し、アプリにペイロードを注入し、アプリをダウンロードしたときにあなたのシステムがハッキングされます。