フィッシング攻撃は増大するマルチベクタの攻撃

2019.12.16

トピック: セキュリティ意識トレーニング

2019年11月20日、Stephanie Cavigliano

毎年、攻撃者はメールによるフィッシング攻撃によって数十億ドルの利益を得ています。しかし、セキュリティ意識トレーニングが企業で一般化するにつれて、ユーザは、だまされないように、標的型スピアフィッシング攻撃を検出するスキルを向上しています。当然、多くのユーザは通常とは異なる送信者アドレスと緊急の依頼を疑っているため、攻撃者はユーザに貴重なデータを提供させる機会を最大限に悪用するために、攻撃方法を高度化しています。

最近、マカフィーはメールと音声の両方のテクノロジを悪用するフィッシング攻撃が増大していることに関する詳細なレポートを発表しました。新しいボイスメールを通知する正規のメールを偽装したマイクロソフトのメールが中間管理職と役員に送信されました。中間管理職と役員は正規のサイトを偽装したフィッシングサイトにログインしてボイスメールを聞くように指示されました。ボイスメールが読み込まれると、短いオーディオクリップが再生されました。つまり、攻撃者は、オーディオクリップによって、緊急性をあおり、フィッシング攻撃を正規のメールに見せかけたということです。

このインシデントはソーシャルエンジニアリング攻撃の増大する傾向を証明するものです。攻撃者は、複数のモダリティと配信方法を組み合わせて、ユーザをあわてさせ、情報を提供させます。

#サイバー犯罪者がユーザーをだます新しい方法を模索しており、#スミッシングおよび #ビッシング攻撃が増加しています。マルチベクトルフィッシングシミュレーションは、特に一緒に使用する場合に役立ちます。#spearphishing #emailsecurity

攻撃者がユーザをだます新しい方法を開発しているため、スミッシング（SMSフィッシング）攻撃とビッシング（ボイスフィッシング）攻撃は増加しています。スミッシングは、SMS（ショートメッセージサービス）テキストによるフィッシング攻撃であり、デュアルベクタの攻撃（パスワードのリセットをユーザに依頼するメッセージの後に、リンクが添付されているなど）として実行されます。ユーザが探すようにトレーニングを受けている重要な手がかりはSMSテキストには見つかりません。SMSテキストは、送信者アドレスも署名も含んでおらず、マウスオーバーできないリンクを含んでいるため、正規のメッセージかどうかを判断することがメールより困難です。

ビッシングは音声によるフィッシング攻撃であり、攻撃者は自動的な音声によってユーザに機密データを提供させます。ビッシング攻撃は脅迫メッセージを含んでいる場合が多いです。「息子さんが刑務所にいます」、「SSN（米国社会保障番号）が漏洩しました」、「IRS（米国内国歳入庁）があなたを調査しています」などは、いずれも、ユーザがあわてて依頼された情報を提供するように、攻撃者がよく悪用するメッセージです。

ユーザがこのような攻撃を受けないようにするには、セキュリティ意識トレーニングが不可欠です。マルチベクタのフィッシングシミュレーションは、組み合わせて行うと、特に有効です。企業はメール、SMSテキスト、および音声のシミュレーションをすべてのメールプラットフォームで実行するBarracuda PhishLineなどのセキュリティ意識トレーニングソリューションを活用する必要があります。マルチベクタのフィッシングシミュレーションは、高度で技術的な制御と組み合わせると、高度なフィッシング攻撃を防止するための効果的なソリューションになります。

ユーザがメール、SMSテキスト、および音声による攻撃を検出するためのトレーニングに役立つ方法の詳細については、Barracuda PhishLineをご参照ください。