フィッシング詐欺では、あらゆるタイプのサイバー攻撃と同様に、最も弱いリンクが悪用されます。しかし、その他の多くの攻撃とは異なり、フィッシング詐欺では、技術的脆弱性ではなく、人間の行動が悪用されます。旅行の予約、ズームの招待への応答、単にメールの確認など、オンライン上の誰もが標的になります。
約130億件の電子メールのデータを基にした最新のフィッシング脅威レポートでも説明されているように、攻撃者は本物であるかのように見せることに注力しています。攻撃者は、私たちが知っていて信頼しているブランドになりすまそうとし、通常の「営業行為」のやり取りの中で、信頼を悪用します。
攻撃者は、一般的な電子メールセキュリティを回避するための本物そっくりのメッセージを作成することになると容赦をしません。ここでは、攻撃者が使用している具体的な巧妙な手口に関する主な傾向と、それらの手口が侵害の原因となるのを防ぐために組織が使用できる戦略を紹介します。
騙しのリンクは、フィッシング脅威のカテゴリーの中で一番多く、— 脅威検出の35.6%に入っています。HTMLのリンク(ハイパーテキスト)のテキスト表示は任意設定が可能なため、攻撃者(悪意のあるURL)は、あたかも無害なサイトにリンクしているかのように見せかけることができます。
ほとんどの組織では、ユーザーに不審な仕事の電子メールにあるリンクに注意するよう促しており、何らかの形でサイバーセキュリティ意識向上のトレーニングを実施しています。しかし、クリックする場所にユーザーがあまり注意を払わないチャネルで攻撃者がフィッシングルアーを投じることが増えています。
「マルチチャネル」フィッシングと呼ばれる方法では、攻撃は1通のEメールから始まり、SMSまたはテキストメッセージ、IM、ソーシャルメディア、クラウドコラボレーションサービスなど、通常、フィッシング対策管理では保護されないその他のインターネット接続されたツールへと攻撃が続く可能性があります。
たとえば、あるマルチチャネルのフィッシング詐欺では、130以上の組織が標的とされ、広く報じられた「0ktapus」攻撃が含まれていました。個人に対しては、一般的なシングルサインオン(SSO)サービスであるOktaになりすましたフィッシングサイトにリダイレクトするテキストメッセージが送信されました。最終的に、1万人近くの認証情報が盗まれました。
複数の通信チャネルを標的にした別の詐欺では、攻撃者はActivisionの従業員をフィッシングし、企業内のSlackチャネルを介して機密データを盗み出しました。
Forrester Consulting*が実施したCloudflare委託グローバル調査によると、以下の通りです:
セキュリティ部門の意思決定者の89%がマルチチャネルフィッシングの脅威に懸念を示しています。
10人中8人は、会社が、IM、クラウドコラボレーション、生産性ツール、モバイル、SMS、ソーシャルメ ディアなどの多様なチャネルに露出していると回答しました。
しかしながら、様々なチャネルでフィッシングの脅威に完全に備えていると感じていたのは、回答者の4人に1人だけでした。
最も「訓練された」従業員(およびセキュリティソリューション)でさえ、悪意のあるリンクを100%正確に特定できないため、攻撃者は依然としてリンクを使用するのです。たった一人のユーザーが間違ったリンクをクリックするだけでも、認証情報の盗難、マルウェア、そして重大な経済的損失につながる可能性があります。
これにより、もう1つの最近の傾向として重要視されているフィッシング手法が見えてきます。それは、送信者のIDを認証するはずのサービスを回避する(あるいは利用する)悪意のある電子メールです。
フィッシング詐欺師は有名な企業やブランドを装ってクリックさせようとします。調査によると、攻撃者は1,000近くの異なる組織を装っていました。Microsoftをはじめ、その他、Salesforce、Box、Zoomなど — ユーザーが仕事をする上で頻繁にやり取りするブランドは、すべてリストの上位に記載されていました。
「企業・ブランド偽装」として知られるこの手口は、以下のような幅広い手口で実行されます:
表示名のなりすましの場合、表示されるメールヘッダー内で、送信者の表示名に既知のブランド名、または正規のブランド名が記載されています。
ドメイン偽装、またはドメインスプーフィングの場合、攻撃者は、偽装ブランドのドメインに似たドメインを登録し、そのドメインを悪用して、フィッシングメッセージを送信します。
まだ悪意のあるものに分類されていない新規登録ドメインというものもあります。(0ktapus詐欺では、攻撃者によって、攻撃前のたった1時間足らずで、登録されたドメインが悪用されました。)
電子メール認証標準(SPF、DKIM、DMARC)が企業・ブランド偽装に対する重要な防御策とみなされることがよくあります。しかし、これらの方法には制限があります。この調査では、電子メール脅威の大部分(89%)がSPF、DKIMおよび/またはDMARCの検査に「パス」したことがわかりました。
このようなことが起こるには、多くの理由があります。たとえば、最近の大学の研究調査では、攻撃者がMicrosoft Outlookを悪用できるというメール転送の欠陥について詳述されています。
電子メール認証に関しては、他にも、以下のような制限が存在します。
コンテンツ検査の欠如:書留郵便で手紙を送るのと同様に、電子メール認証によって配信が保証されます。メッセージの内容に悪意のあるURL、添付ファイル、または悪意のあるペイロードが含まれているかどうかは検査されません。