クレジット:
数週間前、英国政府機関「Action Fraud」は、サイバー犯罪者がロイヤル・バンク・オブ・スコットランドのナットウェストに詐欺的なフィッシングメールを送信していると警告した。銀行の顧客。フィッシングメールには、「セキュリティアップグレード」を完了するには、ユーザーがリンクをクリックして個人情報を更新する必要があると記載されていた。同国の最高のデリバティブ規制当局である米国商品先物取引委員会(CFTC)は、明らかにしたまた、スピアフィッシング詐欺師によってほぼ同じ方法で攻撃を受けていました。このケースでは、大規模なデータ侵害により、従業員の社会保障番号やその他の個人情報が流出しました。
関連項目:
こうした一連の不幸な事件は、依然としてフィッシングが非常に有効であるため、頻繁に発生しています。実際、システムに感染して個人データや企業データを盗もうとする者からの正規の電子メールを見分けることはますます困難になってきています。
サイバー犯罪者は実際に、電子メールコンテンツのパーソナライズやブランドのなりすましなどの「ベストプラクティス」を採用しています。これは、メールに非常に説得力のある公開情報を含めて、ほぼ誰でも添付ファイルを開いたり、リンクをクリックしたりできるようにすることを意味します。一部の犯罪者はこれに非常に優れており、ブランドのなりすましが芸術形式になっています。犯罪者は、銀行の警告、購入の遅れに関するオンライン小売業者の最新情報、または「緊急」の注意が必要な配送会社の配達通知を正確に模倣することができます。
では、人は家庭や職場で、そのような電子メールから受信トレイをどのように保護しているのでしょうか?ここでは、スピア フィッシングの被害者から身を守るための 5 つのヒントを紹介します。
1. 自分がターゲットであることを認識する
ほとんどのユーザーは現在、ナイジェリア王子の電子メール詐欺に返信しないこと、不明な送信者からの URL をクリックしないことを知っています。その結果、サイバー犯罪者は電子メールのパーソナライズにさらに多くの時間を費やすようになりました。今日の大規模なデータ侵害の多くは、内部関係者が自宅の感染したコンピューターから組織のネットワークにアクセスすることから始まりました。要点は次のとおりです。インターネットを使用して電子メールを読む場合、詐欺的な電子メールを受信したり、マルウェアに感染したりするリスクがあります。
2. 敵のトリックを知る
成功したサイバー犯罪者は、これらの電子メールを送信する前に、あなたについて調査を行います。彼らは、Web サイト、ブログ、その他のソーシャル ネットワーキング サイトをくまなく調べて、どのような種類の情報が迅速な反応を引き出す可能性があるかを把握します。たとえば、サイバー犯罪者は、ユーザーを誘惑して彼らとのやり取りをさせるために、「クレジット カードが停止されました」などの脅迫的な件名や電子メールの内容を使用します。彼らのゲームをしないでください。
一般に、銀行、代理店、同窓会の Web サイトが電子メールによる個人情報の返送を要求することはありません。また、個人情報を要求する Web フォームに記入する必要がある場合は、ブラウザに Web サイトを手動で入力して銀行のホームページにアクセスし、その方法で情報を更新することを検討してください。それ以外の場合は、オンラインで個人情報を変更する前に、組織に電話して誰かに相談することを検討してください。
3. オンラインでのプレゼンスを管理する
自分の名前をオンラインで検索して、どのような情報がすでに入手可能であるかを確認してください。たとえば、自分の誕生日をオンラインに投稿したことがない場合でも、誕生日のお祝いのメッセージやパーティーの写真によってその情報が公開される可能性があります。検索エンジンからこれらの投稿を削除または非表示にしたり、同様に画像の削除または非表示をリクエストしたりすることもできます。また、できる限り、クレジット カードなどの個人情報をサードパーティのサイトに保存しないでください。
4. クリックしないでください
HTML メール内の URL には細心の注意を払ってください。電子メールのテキストは銀行の URL リンクのように見せることができますが、実際の HTML コードには悪意のある URL リンクが埋め込まれています。その悪意のあるリンクは、あなたが期待する実際のサイトとほぼ同じに見える Web サイトにあなたを誘導する可能性があります。
したがって、クリックする代わりに、ブラウザを開いて、サイトの実際の Web アドレスをアドレス バーに入力します。サイトの URL を直接入力して Web サイトにアクセスすることが常にベスト プラクティスです。または、不明な場合は電話してください。
5. より強力なセキュリティを求める
私たちの仕事や私生活はますますオンラインで行われます。自分の個人のデジタル ID について細心の注意を払っている場合でも、あなたのデータを保管している他のすべての組織を考慮してください。企業の IT スタッフやベンダーに、企業ネットワークとサーバーに存在するデータをどのように保護しているか尋ねてください。今日の防御策 (ウイルス対策、ips、url フィルター、次世代ファイアウォール) は、大部分の企業ネットワークに重大なセキュリティ ホールを残しています。
また、ホーム ネットワークを保護するための支援も求めてください。今日の職場ネットワークと家庭ネットワークは、自宅から会社の Web メール システムにログインするか、VPN 接続を使用して企業ネットワークにトンネルすることによって接続されることがよくあります。
しかし、悪意のある URL、感染した添付ファイル、ソーシャル エンジニアリングを組み合わせたスピア フィッシング攻撃により、従来のセキュリティではマルウェアのインストールやデータの漏洩に使用されることを阻止できないことが証明されています。したがって、インバウンド攻撃を阻止するだけでなく、アウトバウンドのデータ盗難の試みもブロックすることを目的とした 360 度のセキュリティ戦略について必ず尋ねてください。