プライバシーを保護するには、 プライバシー指向のLinuxディストリビューション とを使用して パスワードマネージャ。 多くのセキュリティ専門家は、どのシステムでも最も弱いリンクはそれを操作する人間であると信じています。
この記事では、ソーシャルエンジニアリングとは何か、なぜそれがこのような脅威なのかを説明します。 次に、悪意のあるユーザーがオンラインとオフラインの両方であなたに対して使用できるソーシャルエンジニアリング攻撃のいくつかを見ていきます。 ソーシャルエンジニアリングの攻撃から身を守るためのヒントをいくつか紹介します。
ソーシャルエンジニアリングとは
メリアム·ウェブスター - ソーシャルエンジニアリングを「社会における自分の場所と機能に応じた人間の管理。」 それ自体は少し不気味に聞こえます。 しかし、近年、この句はより操作的で不吉な意味を帯びてきました。
今日、ソーシャルエンジニアリングは「機密情報を提供するために人を操作する。」 ここでソーシャルエンジニアリングについて話すとき、これは私たちが使用している感覚です。
ソーシャルエンジニアリングがこのような脅威である理由
犯罪者はソーシャルエンジニアリングを使用します。それは、コンピューターシステムにハッキングするよりも簡単だからです。 だまされてはいけないことを誰かにだましてもらうのは比較的簡単です。 ほとんどの人は他人を信頼しています。
コンピュータシステムの安全性は重要ではありません。 または、個人的な文書を隠していた場所。 または、あなたのオフィスの前に何人の警備員がいます。 ソーシャルエンジニアリング攻撃はそれを回避します。
有名な元ハッカーであるKevin Mitnickは、ソーシャルエンジニアリング攻撃を利用して、「安全な」コンピュータシステムに侵入しました。
「セキュリティ製品だけで真のセキュリティが提供されると考える人は誰でも、セキュリティの幻想に落ち着きます。」 – ケビン・D・ミトニック、詐欺の芸術:セキュリティの人間的要素の制御
犯罪者は、オンラインとオフラインの両方でソーシャルエンジニアリング攻撃を使用します。 次に、最も一般的なタイプの攻撃のいくつかと、攻撃から身を守るために何ができるかについて説明します。
ハッカーに愛されているいくつかのオンラインソーシャルエンジニアリング攻撃から始めましょう。
「ハッカーはハイテク技術を組み合わせて使用する人物です サイバーツール ソーシャルエンジニアリングを利用して、他人のデータに不正にアクセスできるようにした。」 – ジョンマカフィー
いくつかのオンラインソーシャルエンジニアリング攻撃
最も一般的なオンラインソーシャルエンジニアリング攻撃のいくつかを次に示します。
- フィッシング詐欺
- スピアフィッシング
- ベイティング
フィッシング詐欺
による 国土安全保障省のウェブサイト、フィッシング攻撃は「 信頼できる組織になりすまして個人情報を要求する電子メールまたは悪意のあるWebサイト。」
あなたはこの種の攻撃を見てきました。 私たちは皆、アカウントに問題がある、またはクレジットカード情報を確認する必要があると主張する公的機関からメールを受け取ります。
目的は、メールのリンクをクリックするようにすることです。 このリンクをクリックすると、組織の正当でありながら偽のWebサイトに移動します。 Webサイトは、クレジットカードデータ、社会保障番号、または詐欺師が盗みたいものを入力するように仕向けるように設定されます。
スピアフィッシング
スピアフィッシング 攻撃者が対象の被害者に関する個人情報を使用してフィッシングメールをカスタマイズする一種のフィッシング攻撃です。 2018年XNUMX月、 米国内国歳入庁(IRS) 公表 警告 いくつかのスピアフィッシング詐欺について。
これらの詐欺は、進行中の情報を収集するためのものでした IRSフォームW-2。 これらの詐欺の標的は中小企業でした。 悪意のあるユーザーはこの情報を使用して、クレジットカードアカウントを開いたり、不正な税務申告を行ったり、信用枠を開いたりします。
スピアフィッシング攻撃は、プリテキスト攻撃に大きく依存しています。 次のセクションでは、プリテキスト攻撃について説明します。
ベイティング
ベイティング 攻撃はフィッシング攻撃にいくぶん似ています。 違いは、おとり攻撃は、問題を解決する代わりに、彼らが望むものをターゲットに提供するということです。 これらの種類の攻撃では、無料の音楽、新しい映画のコピー、またはその他の種類の賞品が提供される可能性があります。 賞品を獲得するには、詐欺師が狙っている個人情報の種類を入力する必要があります。
餌攻撃もオフラインで発生する可能性があります。 そのような攻撃のXNUMXつは、 USBスティック 対象企業の従業員がどこかにいる可能性があります。 誰かがそれを拾って自分のコンピュータに接続し、含まれている悪意のあるソフトウェアを組織内で解き放つ可能性は十分にあります。
一部のオフラインソーシャルエンジニアリング攻撃
オフラインソーシャルエンジニアリング攻撃の一般的なタイプをいくつか次に示します。
- 前文
- 共連れ/ピギーバッキング
- Vishing(ボイスフィッシング)
前文
前文 ある種のうそを使って誰かをだまして、共有してはならない情報をあきらめています。 プリテキスト攻撃は、オンラインとオフラインの両方で実行できます。 これらは、スピアフィッシング攻撃をセットアップするために必要な個人情報を取得するためによく使用されます。
オフラインの例としては、弁護士事務所から来たふりをしてあなたに電話をかける人がいるでしょう。 あなたは遠い親戚からたくさんのお金を相続しました。 あなたがしなければならないすべてはあなたの身元を証明するために特定の情報を提供することであり、そして弁護士はあなたにお金を送金します。 の 口実 呼び出しは偽の継承です。
共連れ/ピギーバッキング
共連れ 通常、他の誰かのアクセスを使用して、ある種の電子セキュリティシステムを通過する必要があります。 あなたが電子セキュリティを通過するときにあなたのすぐ近くをフォローしている誰かは、まったく仲間の従業員ではないかもしれません。 代わりに、彼らは彼らが属していない場所に行くためにあなたのアクセスを追っかけている誰かかもしれません。
Vishing(ボイスフィッシング)
願い、または 音声フィッシングは、オフラインでのフィッシング攻撃に相当します。 この攻撃にはいくつかのバージョンがありますが、すべて電話システムを使用しています。 彼らは、公式に鳴る電話に応じて、被害者にクレジットカード番号やその他の個人情報を明かすことを目的としています。
これらの詐欺は通常使用します VoIPの (Voice over IP)実際の会社が使用する自動電話システムをシミュレートするテクノロジー。 以前は電話システムは安全で信頼できると考えられていたため、Vishing詐欺に対する脆弱性が高まっていました。
オンラインのソーシャルエンジニアリング攻撃から身を守る方法
今日使用されている、より一般的なオンラインソーシャルエンジニアリング攻撃のいくつかを見てきました。 しかし、彼らから身を守るために何ができるでしょうか?
詐欺に遭う可能性を減らすための方法をいくつか紹介します。
- 予期せず開けないでください 電子メールの添付ファイル。 予期しない添付ファイルを受け取った場合、それが悪意のある可能性が高いです。 会社のIT部門に連絡してください(勤務中の場合)。 職場にいない場合は、送信者に連絡してください(知っている場合)。 予期しない添付ファイルを開く前に受け取った理由を確認してください。
- 自分でウェブサイトを検索します。 通常、フィッシングタイプの攻撃は、偽のWebサイトに誘導します。 電子メールメッセージまたは添付ファイルのリンクをクリックするのではなく、自分でWebサイトのアドレスを検索することで、彼らの罠を回避できます。 不明なウェブサイトを見つけた場合は、 URL (アドレス)ブラウザーのアドレスボックスに表示されます。 正当なWebサイトの完全な複製を作成することは可能ですが、XNUMXつのサイトが同じURLを持つことはできません。 検索エンジンで会社を検索すると、実際のサイトにアクセスできます。
- オンラインで誰にもパスワードを明かさないでください。 正当な組織がユーザーにパスワードを要求することはありません。
- VPNを使う ウェブを閲覧する際のプライバシー保護のため。
オフラインのソーシャルエンジニアリング攻撃から身を守る方法
また、一般的なオフラインソーシャルエンジニアリング攻撃についても見てきました。 オフライン攻撃から身を守るためにできることは次のとおりです。
- 発信者に個人情報を提供しないでください。 これは何年も前に安全だったかもしれませんが、現在はそうではありません。 誰かがあなたに電話して、いくつかの個人情報を確認する必要があると言ったら、ゾッとしてください!
- 誰かがあなたを追い越して過去のセキュリティを手に入れさせないでください。 正規の犯罪者や元従業員は、この手法を使用して現場に戻り、物事や正確な復讐を盗むことが知られています。
- 情報を求めてきた人には必ずIDを要求してください。
- それがどこから来たのかわからない場合は、コンピュータに何も接続しないでください!
- 7
- アクセス
- NEW
- すべて
- 周りに
- 宝品
- 記事
- ボックス
- ブラウザ
- ビジネス
- コール
- ケンブリッジ
- チャンス
- コマンドと
- 会社
- クレジット
- クレジットカード
- 犯罪者
- データ
- 需要
- ドキュメント
- 社員
- エンジニアリング
- 専門家
- 偽
- フォーム
- 無料版
- function
- 与え
- 良い
- ハッカー
- ハッカー
- ハッキング
- こちら
- セキュリティ
- 認定条件
- HTTPS
- アイデンティティ
- 画像
- 情報
- 国税庁
- IP
- IRS
- IT
- カスペルスキー
- 主要な
- LEARN
- LINK
- linuxの
- 見
- 主要な
- 作成
- お金
- 音楽を聴く際のスピーカーとして
- 提供
- オンライン
- 開いた
- その他
- パスワード
- のワークプ
- フィッシング詐欺
- フィッシング攻撃
- プレイヤー
- プライバシー
- 製品
- 守る
- 減らします
- リソースを追加する。
- 応答
- 収益
- 収入
- ラン
- ランニング
- 安全な
- 詐欺
- を検索
- 検索エンジン
- セキュリティ
- センス
- セッションに
- シェアする
- サイト
- 小さい
- 中小企業
- So
- 社会
- ソーシャルエンジニアリング
- 社会
- ソフトウェア
- スピアフィッシング
- 規格
- start
- システム
- ターゲット
- 税金
- テクノロジー
- ヒント
- ボイス
- 脆弱な
- ウェブ
- ウェブサイト
- ウェブサイト
- 誰
- Wikipedia
- win
- ワイヤー
- 仕事
- 年