米国フィッシング対策協議会(APWG)が公開した最新の報告書により、サイバー攻撃者がソーシャルメディアアプリやスマートフォンユーザーを標的とし、その特性に合わせた攻撃手法をますます高度化させていることが明らかになりました。
メールセキュリティのテクノロジーが向上するにつれ、サイバー攻撃者はソーシャルメディアアプリ、テキストメッセージ、音声通話を使用したソーシャルエンジニアリングへと攻撃手法を切り替えています。
米国のサイバーセキュリティ会社であるOpSecのシニアプロダクトマネージャー(詐欺対策担当)であるMatthew Harris氏は次のように述べています。「FacebookやLinkedInなどのソーシャルディアサイトや、Microsoft OutlookやNetflixなどのSaaSやWebメールアカウントなど、セキュリティがあまり厳重ではないサイトを狙った詐欺の割合が増加していることが確認されています。」
また、この報告書では、銀行のアカウントを狙ったフィッシング攻撃の件数は昨年に比べて減少しているものの、こうした攻撃はより高度化し標的型になっていることも伝えています。金融機関は通常、セキュリティ対策を強化しているため、サイバー攻撃者は銀行を標的とした攻撃ではより多くの労力を費やさなければなりません。
この報告書には次のように記載されています。
「銀行はユーザーがオンラインバンキングを利用する際、スマートフォンに送信されるコードの入力を求めるなどの二要素認証を採用しています。これらの認証コードがなければ、攻撃者は標的が使用している金融機関のオンラインアカウントに侵入できません。そのためサイバー攻撃者は、電話を使用して銀行や決済サービスのユーザーを狙うようになっています。これは直接的な連絡方法であるため、攻撃者は被害者から機密情報を聞き出すことができます。
電話を使用した詐欺にはいくつかの手法があります。一つはボイスフィッシング(ビッシング)と呼ばれる手法で、サイバー攻撃者が潜在的な被害者に電話をかけます。もう一つはSMSフィッシング(スミッシング)と呼ばれる手法で、サイバー攻撃者はSMS(ショートメッセージサービス)やスマートフォン間でやり取りされるメッセージの中でフィッシングサイトのURLを宣伝します。」
2024年第2四半期に発生した詐欺の大半は、ギフトカード詐欺や前払い金の要求に関するものでした。APWGへの寄稿者で、米国のソフトウェア会社であるFortraは、ビジネスメール詐欺(BEC)攻撃で要求された平均金額は前四半期に6.5%増加し、約9万ドルに達したと報告しています。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、APWGの記事を参照してください。
原典:Stu Sjouwerman著 2024年8月28日発信 https://blog.knowbe4.com/phishing-attacks-are-increasingly-targeting-social-media-and-smartphone-users