暗号資産スペースにおけるソーシャルエンジニアリングとは何ですか
さらに洗練された高度な社会工学手法が増加しており、一握りのWeb3ユーザーから詐欺や略奪を行うために使用されているため、これらの犯罪者に被害を受けないためには、必要な対策を講じてGate.ioの損失を軽減することが非常に重要です。紹介
CertiKによると、ブロックチェーンおよびスマートコントラクト検証プラットフォームによると、2022年第2四半期にフィッシング攻撃が170%増加したことが示されています。四半期レポートまた、シスコシステム内の脅威インテリジェンスおよび研究機関であるシスコタロスは、特にフィッシングを含む社会工学攻撃が主要な脅威として浮上すると予測していますWeb3にそして、今後数年間におけるメタバース
ドットコムバブルが徐々に支配的になり、歴史上最も広く検索された出来事の1つとなった一方で、暗号空間でのソーシャルエンジニアリングは徐々に名声を高めており、詐欺やフィッシングの被害者の懸念は日々増加しており、多くの人々を混乱させています。 暗号通貨、NFT、Web3テクノロジーの普及に伴い、これらの領域での詐欺の発生も増加しています。
面白いことに、革新は徐々にいくつかのプロセスの洗練の壁を超えてきました。新しいスキームが常に見直され、多くの人々を騙すために考案されているのも見られます。興味深いことに、Web3のユーザーの中には、詐欺がやってくるときにいつ発生するかを見抜くのが常に難しいため、まだ犠牲になってしまう人がいます。統計によると、多くの人々が詐欺行為について無知であり、首まで陥るまで気づかなかったことが示されています。
社会工学における革新と予測不可能なトレンド
悪意のある行為者は、フィッシングが社会工学攻撃の一般的な形態である中、ユーザーをだまして、彼らの暗号資産、NFT、または機密のログイン資格情報を明かさせるための新しい方法を絶えず考案しています。
ソーシャルエンジニアリングは、ほとんどすべてのサイバーセキュリティ攻撃に浸透しており、クラシックなメールやソーシャルなニュアンスが加わったウイルス詐欺など、さまざまな形で展開されています。その影響はデスクトップデバイスを超えてデジタル領域に及び、モバイル攻撃を通じて脅威をもたらします。特に、ソーシャルエンジニアリングの影響はデジタル領域に限定されることはなく、実際には人に表れ、多様な脅威の景観を提示します。
ソーシャルエンジニアリングの被害の範囲は広範囲に及ぶため、完全にカバーおよび計算することはできません。サイバーセキュリティの分野の研究者たちは、サイバー攻撃が個人、企業、さらには国全体に悪影響を及ぼす57種類もの異なる方法を明らかにしています。これらの影響は幅広いスペクトルにわたり、生命への脅威、うつ病などの精神的健康への影響、規制上の罰金の課徴、日常の活動の妨げなどを含んでいます。
基本的に、これは人間のミスを利用して、個人情報、不正アクセス、または貴重な資産を取得するための操作的戦略です。これらの詐欺は人間の思考プロセスや行動の理解を中心に精巧に設計されており、それによりユーザーを特に効果的に操作することができます。ユーザーの行動を導く動機を理解することで、攻撃者は巧みに彼らを欺いたり影響を与えたりすることができます。
社会工学攻撃の種類
ソース: オフィス1.com
フィッシング攻撃
ソーシャルエンジニアリング犯罪者のお気に入りの手口の1つは、常にフィッシング攻撃でした。これらの攻撃者は、あなたの銀行や仮想通貨取引所、さらには友人を装って、パスワードや個人情報を明かさせようとします。
- スパムフィッシング: これは広く投げかけられた漁網のようで、誰でも捕まえようとしています。個人を狙っているわけではなく、誰かがエサにかかることを願っているだけです。
- スピアフィッシングとホエーリング:これらはよりターゲットを絞ったものです。あなたの名前など、あなたについての具体的な情報を使用して、あなたをだまそうとします。ホエーリングは、有名人や要人など、大物を狙うようなものです。
今、彼らはこれらのトリックをどのように配信するのか?
- ボイスフィッシング(Vishing):彼らは、録音メッセージまたは実際の人物であなたに電話をかけ、あなたを信頼させて素早く行動させるかもしれません
- SMSフィッシング(スミッシング):リンク付きのテキストまたは返信を急いで欲しいというメッセージが届きます。偽のウェブサイトや詐欺メール、電話番号に誘導される可能性があります
- メールフィッシング:これは古典的な手法です。リンクをクリックさせたり、悪意のあるものを開かせるメールが届きます
- Angler Phishing:ソーシャルメディアでは、カスタマーサービスのふりをして、会話をプライベートメッセージに乗っ取る可能性があります
- 検索エンジンフィッシング:彼らは検索結果を操作して、本物のウェブサイトの代わりに偽のウェブサイトにアクセスさせます
- URLフィッシングリンク:これらの巧妙なリンクは、電子メール、テキスト、またはソーシャルメディアに表示され、あなたを偽のウェブサイトに誘導しようとします
- セッション中のフィッシング:これは、インターネットを閲覧しているときに発生し、偽のポップアップがあなたのログイン詳細を求める際に起こります
他の種類のソーシャルエンジニアリングには、
ベイティング攻撃
ベイトは、あなたの自然な好奇心を利用して、あなたを攻撃者にさらすよう誘導します。彼らはしばしば何か無料や独占的なものを約束してあなたを利用し、通常はマルウェアをデバイスに感染させることに関わります。一般的な方法には、公共の場にUSBドライブを置いたり、無料の特典や偽のソフトウェアを提供する電子メール添付ファイルを送信したりすることが含まれます。
物理的侵入攻撃
これらは、攻撃者が直接現れ、制限されたエリアや情報にアクセスするために正当な者を装うことを含みます。大規模組織ではより一般的です。攻撃者は信頼できるベンダーであるかのように振る舞ったり、過去の従業員であるかのように振る舞うかもしれません。危険ですが、成功すれば報酬は高いです。
口実攻撃
プリテクスティングは、ベンダーや従業員をなりすまして信頼を築くために偽の身元を使用します。攻撃者は積極的にあなたとやり取りし、彼らが正当であると納得させると、あなたのウォレットを悪用することができます。
アクセステイルゲーティング攻撃
テイルゲーティングまたはピギーバックは、誰かが許可された人について制限されたエリアに入るときのことを指します。彼らは、あなたがドアを開けてくれることを当たり前として頼るか、彼らが中に入ることが許可されているとあなたを説得しようとするかもしれません。ここでプリテクスティングも役割を果たすかもしれません。
応報攻撃
これは、報酬や補償と引き換えに情報を提供することを含みます。彼らはプレゼントやリサーチの勧誘を行い、あなたのデータを得るために何か価値のあるものを約束します。しかし、実際には何も提供せず、あなたのデータだけを取得します。
スケアウェア攻撃
スケアウェア攻撃では、マルウェアが偽のマルウェア感染やアカウントの侵害の警告を表示することで、あなたを行動を起こさせることで怖がらせます。あなたに偽のサイバーセキュリティソフトウェアを購入させ、あなたの個人情報を明らかにする可能性があります。
ソーシャルエンジニアリング攻撃の例
これらの例を強調することは、読者がこのような状況に直面したときにより慎重な対応を取るためのヒントとなることもあります。
以下はソーシャルエンジニアリング攻撃の例です:
ワーム攻撃
サイバー犯罪者は、感染したリンクやファイルをクリックするようユーザーを誘惑して注意を引きます。2000年のLoveLetterワーム、2004年のMydoomメールワーム、偽のセキュリティパッチを提供するMicrosoftメッセージを装ったSwenワームなどが例です。
マルウェアリンク配信チャンネル
マルウェアに関連して、感染したリンクは電子メール、インスタントメッセージ、またはインターネットチャットルームを通じて送信されることがあります。モバイルウイルスはSMSメッセージ経由で配信される可能性があります。これらのメッセージは通常、ユーザーをクリックさせるために興味を引く言葉を使用しており、メールのウイルス対策フィルタをバイパスします。
ピア・ツー・ピア(P2P)ネットワーク攻撃
P2Pネットワークでは、誘惑的な名前のマルウェアを配布するために悪用されています。「AIM&AOLパスワードハッカー.exe」や「プレイステーションエミュレータクラック.exe」などのファイルは、ユーザーを引きつけてダウンロードおよび実行させます。
感染したユーザーを恥ずかしがらせる
マルウェア作成者は、無料のインターネットアクセスやクレジットカード番号ジェネレーターなどの違法な利益を約束する偽のユーティリティやガイドを提供して被害者を操作します。違法行為を明らかにしたくない被害者は、感染を報告するのを避けることがよくあります。
ソーシャルエンジニアリングはどのように機能しますか?
ソース:Imperva, Inc.
ソーシャルエンジニアリング攻撃は、主に加害者と標的との間の本物のコミュニケーションに依存しています。データを侵害するための強制的な方法に頼るのではなく、攻撃者は通常、ユーザーを操作して自らのセキュリティを危険にさらすようにします。
ソーシャルエンジニアリング攻撃サイクルは、これらの犯罪者が個人を効果的に欺くために採用する体系的なプロセスに従います。このサイクルの主要なステップは次のとおりです:
- ソーシャルエンジニアリング攻撃は通常、複数のステップで展開されます。悪意のある行為者は、潜在的な被害者のバックグラウンドに入り込み、セキュリティの脆弱な実践や脆弱な侵入ポイントなどの重要な情報を収集することを目指してプロセスを開始します。
- 十分な詳細を持って武装した後、加害者は被害者と信頼関係を築き、さまざまな戦術を用いる。ソーシャルエンジニアリングには、偽の緊急性を作り出す、権威の姿を装う、魅力的な報酬をぶら下げるなどの方法が含まれています。
- その後、彼らは解除し、つまりユーザーが必要なアクションを取った後に撤退します。
この操作はしばしば説得術に依存しており、攻撃者は心理的手法を使って人間の行動を悪用します。これらの手法を理解することで、個人はソーシャルエンジニアリングの試みをよりよく認識し、抵抗することができ、より安全なデジタル環境に貢献することができます。ですので、情報を得て警戒し、オンラインセキュリティを優先しましょう!
Web 3.0におけるソーシャルエンジニアリング
Source: Systango
最近、Web 3.0空間は多くの悪質な社会工学活動の重要なキャンプ場となっています。暗号資産の世界では、ハッカーはしばしば社会工学の手法を用いて、不正なアクセスを得ようとします。機密性の高い秘密鍵を持つウォレットに保管されている暗号資産は、その敏感な性質から社会工学の詐欺の主要な標的となります。
セキュリティを侵害し、暗号資産を盗むために、加害者は様々な手法を利用して人間の弱点を悪用します。例えば、攻撃者はフィッシングメールなどの見かけ上無害な手法を使ってユーザーを欺き、秘密鍵を開示させるように仕向ける策略を展開することがあります。たとえば、ウォレットサービスやサポートチームからのメールに見えるメールを受け取ったと想像してくださいが、実際には、重要な情報を明かすようにあなたをだますフィッシングの試みである可能性があります。
例えば、X(旧称Twitter)での社会工学攻撃の試みの画像が以下にあります。言うまでもなく、Xは強固なファイアウォールと保護を備えたグローバルな製品として言及されることがありますが、残念ながら、社会工学攻撃はどんな厳重な壁やアクセスを望む人/組織でも突破しようとする犯罪者たちが革新的でさらに高度な手法を考案し続けています。
ソース:X サポート
2020年7月15日、ユーザー「@lopp彼は、ソーシャルエンジニアリングの仕事についてかなり詳しいようで、彼のツイートからその経験がうかがえます。
暗号資産を保護するためには、このような欺瞞的な手法に警戒することが重要です。予期せぬメールやメッセージに注意し、コミュニケーションの正当性を確認し、知らないソースとプライベートキーを共有しないようにしてください。2022年2月13日の別のツイートでは、類似した活動とはかけ離れた別の状況が示されています。
ソース: Thomasg.eth on X
さらに、2023年9月、イーサリアムブロックチェーン上で動作する分散型プロトコルBalancerは、ソーシャルエンジニアリング攻撃を含むセキュリティインシデントを報告しました。プラットフォームはドメインの制御を取り戻しましたが、未承認のウェブサイトからの潜在的な脅威に関してユーザーに警告しました。Balancerはユーザーに慎重であり、インシデントに関連するリスクを認識しているよう求めています。
ソース: X上のBalancer
社会工学攻撃の特徴
ソーシャルエンジニアリング攻撃は、加害者が説得力と自信を巧みに使い、個人が通常考慮しない行動を取らせることを中心に展開しています。
これらの戦術に直面すると、個人はしばしば次のような欺瞞的な行動に陥ることがあります。
- 感情の高揚:感情操作は強力なツールであり、高揚した感情状態の個人を悪用します。感情が高揚していると、人々は非合理的またはリスクの高い決定をしやすくなります。戦術には恐怖、興奮、好奇心、怒り、罪悪感、悲しみを煽ることが含まれます。
- 緊急性:時間の経過に敏感な訴えや要求は、攻撃者にとって信頼できる戦略を表す。緊急性を作り出すことで、攻撃者は、直ちに注意を要するとされる緊急の問題を提示したり、期限付きの賞品や報酬を提供したりする場合がある。これらの戦術は、批判的思考能力を無効にするために設計されている。
- 信頼:信頼性を確立することは、ソーシャルエンジニアリング攻撃において極めて重要です。攻撃者は、ターゲットについての十分な調査に裏打ちされた物語を作り上げ、それを容易に信じられるものにし、疑念を抱かれにくくしています。
ソーシャルエンジニアリング攻撃の識別方法
ソース:Xiph Cyber
ソーシャルエンジニアリングに対抗するには、まず自己認識から始めることが重要です。対処や行動をとる前に考える時間を取ることが攻撃者が素早い反応に頼るため、重要です。ソーシャルエンジニアリング攻撃を疑った場合に考慮すべきいくつかの質問が以下にあります:
- 感情をチェックしてください:感情が高まっていますか?普段と違って好奇心、恐れ、興奮を感じると、感受性が高くなる可能性があります。高揚した感情は判断力を曇らせることがあるため、これらの危険信号を認識することが重要です。
- 送信者を確認します: メッセージは正規の送信者から来たものですか?メールアドレスやソーシャルメディアのプロファイルを、名前のスペルミスなどの微妙な違いを見て検討します。可能であれば、偽のプロファイルが一般的なため、他の手段で送信者を確認してください。
- 送信者の確認: 友達が実際にメッセージを送ったかどうかを確認しますか?メッセージが関係する場合、特に機密情報が含まれる場合は、その人に確認してください。ハッキングやなりすましに気づいていないかもしれません。
- ウェブサイトの詳細をチェックしてください: ウェブサイトに奇妙な詳細がありますか?URL、画像品質、古いロゴ、またはウェブページの誤字に不規則性に注意してください。何かおかしいと感じたら、すぐにウェブサイトを離れてください。
- オファーの信憑性を評価します:オファーがあまりにも良すぎるように見えますか?誘惑的なオファーには注意が必要です。なぜ誰かが自分にとってほとんど利益がない貴重なアイテムを提供しているのか疑問に思い、データ収集に対して警戒心を持ち続けてください。
- 添付ファイルやリンクを検討する:怪しいと思われる添付ファイルやリンクがありますか?リンクやファイル名が不明瞭で文脈から外れているような場合は、コミュニケーション全体の正当性を再考してください。赤信号には奇妙なタイミング、異常な文脈、その他の不審な要素が含まれる可能性があります。
- 需要のある身元確認:その人が自分の身元を証明できますか? 特に直接アクセスを要求された場合は、身元確認を要求してください。 オンラインまたは対面で主張された組織との所属を証明できることを確認し、物理的な侵害に被害を受けないようにしてください。
結論
ソーシャルエンジニアリング攻撃の絶え間なく進化する風景は、Web3ユーザーにとって常に警戒が必要です。革新が私たちの生活を革命化させる一方で、進歩と悪意ある行為の両方を可能にする両刃の剣となっています。デジタル資産を保護する責任が私たちの肩にかかる中、積極的な対策を取ることが重要です。
この記事は、あなたに貴重な知識を身につけ、ソーシャルエンジニアリングの試みを識別し、対抗するための鍵となる、行動を起こす前にゆっくりと考えることを覚えておくことを装備しました。コミュニケーションチャネルを精査し、多要素認証を実装し、パスワードを強化し、進化するフィッシングテクニックについて情報を得るなど、リストされた予防措置を実施してください。
私たちは、注意深く積極的であることによって、より安全で責任あるWeb3環境を共同で構築することができます。覚えておいてください、責任は個々の人にあり、自分自身とデジタル資産を保護することが求められます。ですので、警戒心を持ち、情報を入手し続け、安全を確保しましょう!
Articles connexes
ステーブルコインとは何ですか?
Cotiとは? COTIについて知っておくべきことすべて
暗号資産スペースにおけるソーシャルエンジニアリングとは何ですか
ソーシャルエンジニアリングにおける革新と予測不可能なトレンド
ソーシャルエンジニアリング攻撃の種類
社会工学攻撃の例
社会工学はどのように機能しますか?
Web 3.0におけるソーシャルエンジニアリング
社会工学攻撃の特徴
ソーシャルエンジニアリング攻撃を識別する方法
結論
紹介
CertiKによると、ブロックチェーンおよびスマートコントラクト検証プラットフォームによると、2022年第2四半期にフィッシング攻撃が170%増加したことが示されています。四半期レポートまた、シスコシステム内の脅威インテリジェンスおよび研究機関であるシスコタロスは、特にフィッシングを含む社会工学攻撃が主要な脅威として浮上すると予測していますWeb3にそして、今後数年間におけるメタバース
ドットコムバブルが徐々に支配的になり、歴史上最も広く検索された出来事の1つとなった一方で、暗号空間でのソーシャルエンジニアリングは徐々に名声を高めており、詐欺やフィッシングの被害者の懸念は日々増加しており、多くの人々を混乱させています。 暗号通貨、NFT、Web3テクノロジーの普及に伴い、これらの領域での詐欺の発生も増加しています。
面白いことに、革新は徐々にいくつかのプロセスの洗練の壁を超えてきました。新しいスキームが常に見直され、多くの人々を騙すために考案されているのも見られます。興味深いことに、Web3のユーザーの中には、詐欺がやってくるときにいつ発生するかを見抜くのが常に難しいため、まだ犠牲になってしまう人がいます。統計によると、多くの人々が詐欺行為について無知であり、首まで陥るまで気づかなかったことが示されています。
社会工学における革新と予測不可能なトレンド
悪意のある行為者は、フィッシングが社会工学攻撃の一般的な形態である中、ユーザーをだまして、彼らの暗号資産、NFT、または機密のログイン資格情報を明かさせるための新しい方法を絶えず考案しています。
ソーシャルエンジニアリングは、ほとんどすべてのサイバーセキュリティ攻撃に浸透しており、クラシックなメールやソーシャルなニュアンスが加わったウイルス詐欺など、さまざまな形で展開されています。その影響はデスクトップデバイスを超えてデジタル領域に及び、モバイル攻撃を通じて脅威をもたらします。特に、ソーシャルエンジニアリングの影響はデジタル領域に限定されることはなく、実際には人に表れ、多様な脅威の景観を提示します。
ソーシャルエンジニアリングの被害の範囲は広範囲に及ぶため、完全にカバーおよび計算することはできません。サイバーセキュリティの分野の研究者たちは、サイバー攻撃が個人、企業、さらには国全体に悪影響を及ぼす57種類もの異なる方法を明らかにしています。これらの影響は幅広いスペクトルにわたり、生命への脅威、うつ病などの精神的健康への影響、規制上の罰金の課徴、日常の活動の妨げなどを含んでいます。
基本的に、これは人間のミスを利用して、個人情報、不正アクセス、または貴重な資産を取得するための操作的戦略です。これらの詐欺は人間の思考プロセスや行動の理解を中心に精巧に設計されており、それによりユーザーを特に効果的に操作することができます。ユーザーの行動を導く動機を理解することで、攻撃者は巧みに彼らを欺いたり影響を与えたりすることができます。
社会工学攻撃の種類
ソース: オフィス1.com
フィッシング攻撃
ソーシャルエンジニアリング犯罪者のお気に入りの手口の1つは、常にフィッシング攻撃でした。これらの攻撃者は、あなたの銀行や仮想通貨取引所、さらには友人を装って、パスワードや個人情報を明かさせようとします。
- スパムフィッシング: これは広く投げかけられた漁網のようで、誰でも捕まえようとしています。個人を狙っているわけではなく、誰かがエサにかかることを願っているだけです。
- スピアフィッシングとホエーリング:これらはよりターゲットを絞ったものです。あなたの名前など、あなたについての具体的な情報を使用して、あなたをだまそうとします。ホエーリングは、有名人や要人など、大物を狙うようなものです。
今、彼らはこれらのトリックをどのように配信するのか?
- ボイスフィッシング(Vishing):彼らは、録音メッセージまたは実際の人物であなたに電話をかけ、あなたを信頼させて素早く行動させるかもしれません
- SMSフィッシング(スミッシング):リンク付きのテキストまたは返信を急いで欲しいというメッセージが届きます。偽のウェブサイトや詐欺メール、電話番号に誘導される可能性があります
- メールフィッシング:これは古典的な手法です。リンクをクリックさせたり、悪意のあるものを開かせるメールが届きます
- Angler Phishing:ソーシャルメディアでは、カスタマーサービスのふりをして、会話をプライベートメッセージに乗っ取る可能性があります
- 検索エンジンフィッシング:彼らは検索結果を操作して、本物のウェブサイトの代わりに偽のウェブサイトにアクセスさせます
- URLフィッシングリンク:これらの巧妙なリンクは、電子メール、テキスト、またはソーシャルメディアに表示され、あなたを偽のウェブサイトに誘導しようとします
- セッション中のフィッシング:これは、インターネットを閲覧しているときに発生し、偽のポップアップがあなたのログイン詳細を求める際に起こります
他の種類のソーシャルエンジニアリングには、
ベイティング攻撃
ベイトは、あなたの自然な好奇心を利用して、あなたを攻撃者にさらすよう誘導します。彼らはしばしば何か無料や独占的なものを約束してあなたを利用し、通常はマルウェアをデバイスに感染させることに関わります。一般的な方法には、公共の場にUSBドライブを置いたり、無料の特典や偽のソフトウェアを提供する電子メール添付ファイルを送信したりすることが含まれます。
物理的侵入攻撃
これらは、攻撃者が直接現れ、制限されたエリアや情報にアクセスするために正当な者を装うことを含みます。大規模組織ではより一般的です。攻撃者は信頼できるベンダーであるかのように振る舞ったり、過去の従業員であるかのように振る舞うかもしれません。危険ですが、成功すれば報酬は高いです。
口実攻撃
プリテクスティングは、ベンダーや従業員をなりすまして信頼を築くために偽の身元を使用します。攻撃者は積極的にあなたとやり取りし、彼らが正当であると納得させると、あなたのウォレットを悪用することができます。
アクセステイルゲーティング攻撃
テイルゲーティングまたはピギーバックは、誰かが許可された人について制限されたエリアに入るときのことを指します。彼らは、あなたがドアを開けてくれることを当たり前として頼るか、彼らが中に入ることが許可されているとあなたを説得しようとするかもしれません。ここでプリテクスティングも役割を果たすかもしれません。
応報攻撃
これは、報酬や補償と引き換えに情報を提供することを含みます。彼らはプレゼントやリサーチの勧誘を行い、あなたのデータを得るために何か価値のあるものを約束します。しかし、実際には何も提供せず、あなたのデータだけを取得します。
スケアウェア攻撃
スケアウェア攻撃では、マルウェアが偽のマルウェア感染やアカウントの侵害の警告を表示することで、あなたを行動を起こさせることで怖がらせます。あなたに偽のサイバーセキュリティソフトウェアを購入させ、あなたの個人情報を明らかにする可能性があります。
ソーシャルエンジニアリング攻撃の例
これらの例を強調することは、読者がこのような状況に直面したときにより慎重な対応を取るためのヒントとなることもあります。
以下はソーシャルエンジニアリング攻撃の例です:
ワーム攻撃
サイバー犯罪者は、感染したリンクやファイルをクリックするようユーザーを誘惑して注意を引きます。2000年のLoveLetterワーム、2004年のMydoomメールワーム、偽のセキュリティパッチを提供するMicrosoftメッセージを装ったSwenワームなどが例です。
マルウェアリンク配信チャンネル
マルウェアに関連して、感染したリンクは電子メール、インスタントメッセージ、またはインターネットチャットルームを通じて送信されることがあります。モバイルウイルスはSMSメッセージ経由で配信される可能性があります。これらのメッセージは通常、ユーザーをクリックさせるために興味を引く言葉を使用しており、メールのウイルス対策フィルタをバイパスします。
ピア・ツー・ピア(P2P)ネットワーク攻撃
P2Pネットワークでは、誘惑的な名前のマルウェアを配布するために悪用されています。「AIM&AOLパスワードハッカー.exe」や「プレイステーションエミュレータクラック.exe」などのファイルは、ユーザーを引きつけてダウンロードおよび実行させます。
感染したユーザーを恥ずかしがらせる
マルウェア作成者は、無料のインターネットアクセスやクレジットカード番号ジェネレーターなどの違法な利益を約束する偽のユーティリティやガイドを提供して被害者を操作します。違法行為を明らかにしたくない被害者は、感染を報告するのを避けることがよくあります。
ソーシャルエンジニアリングはどのように機能しますか?
ソース:Imperva, Inc.
ソーシャルエンジニアリング攻撃は、主に加害者と標的との間の本物のコミュニケーションに依存しています。データを侵害するための強制的な方法に頼るのではなく、攻撃者は通常、ユーザーを操作して自らのセキュリティを危険にさらすようにします。
ソーシャルエンジニアリング攻撃サイクルは、これらの犯罪者が個人を効果的に欺くために採用する体系的なプロセスに従います。このサイクルの主要なステップは次のとおりです:
- ソーシャルエンジニアリング攻撃は通常、複数のステップで展開されます。悪意のある行為者は、潜在的な被害者のバックグラウンドに入り込み、セキュリティの脆弱な実践や脆弱な侵入ポイントなどの重要な情報を収集することを目指してプロセスを開始します。
- 十分な詳細を持って武装した後、加害者は被害者と信頼関係を築き、さまざまな戦術を用いる。ソーシャルエンジニアリングには、偽の緊急性を作り出す、権威の姿を装う、魅力的な報酬をぶら下げるなどの方法が含まれています。
- その後、彼らは解除し、つまりユーザーが必要なアクションを取った後に撤退します。
この操作はしばしば説得術に依存しており、攻撃者は心理的手法を使って人間の行動を悪用します。これらの手法を理解することで、個人はソーシャルエンジニアリングの試みをよりよく認識し、抵抗することができ、より安全なデジタル環境に貢献することができます。ですので、情報を得て警戒し、オンラインセキュリティを優先しましょう!
Web 3.0におけるソーシャルエンジニアリング
Source: Systango
最近、Web 3.0空間は多くの悪質な社会工学活動の重要なキャンプ場となっています。暗号資産の世界では、ハッカーはしばしば社会工学の手法を用いて、不正なアクセスを得ようとします。機密性の高い秘密鍵を持つウォレットに保管されている暗号資産は、その敏感な性質から社会工学の詐欺の主要な標的となります。
セキュリティを侵害し、暗号資産を盗むために、加害者は様々な手法を利用して人間の弱点を悪用します。例えば、攻撃者はフィッシングメールなどの見かけ上無害な手法を使ってユーザーを欺き、秘密鍵を開示させるように仕向ける策略を展開することがあります。たとえば、ウォレットサービスやサポートチームからのメールに見えるメールを受け取ったと想像してくださいが、実際には、重要な情報を明かすようにあなたをだますフィッシングの試みである可能性があります。
例えば、X(旧称Twitter)での社会工学攻撃の試みの画像が以下にあります。言うまでもなく、Xは強固なファイアウォールと保護を備えたグローバルな製品として言及されることがありますが、残念ながら、社会工学攻撃はどんな厳重な壁やアクセスを望む人/組織でも突破しようとする犯罪者たちが革新的でさらに高度な手法を考案し続けています。
ソース:X サポート
2020年7月15日、ユーザー「@lopp彼は、ソーシャルエンジニアリングの仕事についてかなり詳しいようで、彼のツイートからその経験がうかがえます。
暗号資産を保護するためには、このような欺瞞的な手法に警戒することが重要です。予期せぬメールやメッセージに注意し、コミュニケーションの正当性を確認し、知らないソースとプライベートキーを共有しないようにしてください。2022年2月13日の別のツイートでは、類似した活動とはかけ離れた別の状況が示されています。
ソース: Thomasg.eth on X
さらに、2023年9月、イーサリアムブロックチェーン上で動作する分散型プロトコルBalancerは、ソーシャルエンジニアリング攻撃を含むセキュリティインシデントを報告しました。プラットフォームはドメインの制御を取り戻しましたが、未承認のウェブサイトからの潜在的な脅威に関してユーザーに警告しました。Balancerはユーザーに慎重であり、インシデントに関連するリスクを認識しているよう求めています。
ソース: X上のBalancer
社会工学攻撃の特徴
ソーシャルエンジニアリング攻撃は、加害者が説得力と自信を巧みに使い、個人が通常考慮しない行動を取らせることを中心に展開しています。
これらの戦術に直面すると、個人はしばしば次のような欺瞞的な行動に陥ることがあります。
- 感情の高揚:感情操作は強力なツールであり、高揚した感情状態の個人を悪用します。感情が高揚していると、人々は非合理的またはリスクの高い決定をしやすくなります。戦術には恐怖、興奮、好奇心、怒り、罪悪感、悲しみを煽ることが含まれます。
- 緊急性:時間の経過に敏感な訴えや要求は、攻撃者にとって信頼できる戦略を表す。緊急性を作り出すことで、攻撃者は、直ちに注意を要するとされる緊急の問題を提示したり、期限付きの賞品や報酬を提供したりする場合がある。これらの戦術は、批判的思考能力を無効にするために設計されている。
- 信頼:信頼性を確立することは、ソーシャルエンジニアリング攻撃において極めて重要です。攻撃者は、ターゲットについての十分な調査に裏打ちされた物語を作り上げ、それを容易に信じられるものにし、疑念を抱かれにくくしています。
ソーシャルエンジニアリング攻撃の識別方法
ソース:Xiph Cyber
ソーシャルエンジニアリングに対抗するには、まず自己認識から始めることが重要です。対処や行動をとる前に考える時間を取ることが攻撃者が素早い反応に頼るため、重要です。ソーシャルエンジニアリング攻撃を疑った場合に考慮すべきいくつかの質問が以下にあります:
- 感情をチェックしてください:感情が高まっていますか?普段と違って好奇心、恐れ、興奮を感じると、感受性が高くなる可能性があります。高揚した感情は判断力を曇らせることがあるため、これらの危険信号を認識することが重要です。
- 送信者を確認します: メッセージは正規の送信者から来たものですか?メールアドレスやソーシャルメディアのプロファイルを、名前のスペルミスなどの微妙な違いを見て検討します。可能であれば、偽のプロファイルが一般的なため、他の手段で送信者を確認してください。
- 送信者の確認: 友達が実際にメッセージを送ったかどうかを確認しますか?メッセージが関係する場合、特に機密情報が含まれる場合は、その人に確認してください。ハッキングやなりすましに気づいていないかもしれません。
- ウェブサイトの詳細をチェックしてください: ウェブサイトに奇妙な詳細がありますか?URL、画像品質、古いロゴ、またはウェブページの誤字に不規則性に注意してください。何かおかしいと感じたら、すぐにウェブサイトを離れてください。
- オファーの信憑性を評価します:オファーがあまりにも良すぎるように見えますか?誘惑的なオファーには注意が必要です。なぜ誰かが自分にとってほとんど利益がない貴重なアイテムを提供しているのか疑問に思い、データ収集に対して警戒心を持ち続けてください。
- 添付ファイルやリンクを検討する:怪しいと思われる添付ファイルやリンクがありますか?リンクやファイル名が不明瞭で文脈から外れているような場合は、コミュニケーション全体の正当性を再考してください。赤信号には奇妙なタイミング、異常な文脈、その他の不審な要素が含まれる可能性があります。
- 需要のある身元確認:その人が自分の身元を証明できますか? 特に直接アクセスを要求された場合は、身元確認を要求してください。 オンラインまたは対面で主張された組織との所属を証明できることを確認し、物理的な侵害に被害を受けないようにしてください。
結論
ソーシャルエンジニアリング攻撃の絶え間なく進化する風景は、Web3ユーザーにとって常に警戒が必要です。革新が私たちの生活を革命化させる一方で、進歩と悪意ある行為の両方を可能にする両刃の剣となっています。デジタル資産を保護する責任が私たちの肩にかかる中、積極的な対策を取ることが重要です。
この記事は、あなたに貴重な知識を身につけ、ソーシャルエンジニアリングの試みを識別し、対抗するための鍵となる、行動を起こす前にゆっくりと考えることを覚えておくことを装備しました。コミュニケーションチャネルを精査し、多要素認証を実装し、パスワードを強化し、進化するフィッシングテクニックについて情報を得るなど、リストされた予防措置を実施してください。
私たちは、注意深く積極的であることによって、より安全で責任あるWeb3環境を共同で構築することができます。覚えておいてください、責任は個々の人にあり、自分自身とデジタル資産を保護することが求められます。ですので、警戒心を持ち、情報を入手し続け、安全を確保しましょう!
Articles connexes
ステーブルコインとは何ですか?