ソーシャル エンジニアリングとは、人間の行動やエラーを利用して機密情報、アクセス、貴重な資産を取得する操作手法を指します。これは、人間の相互作用を通じて達成される幅広い悪意のある活動を説明するために使用される包括的な用語です。
これらの人的ハッキング詐欺は通常、無防備なユーザーを誘惑して個人情報や財務情報などの個人情報を暴露させ、制限されたシステムへのアクセスを与えたり、マルウェア感染を広めたりします。
このような詐欺は、人間の考え方や行動を中心に展開しています。加害者は人間の行動を操作することに加えて、ユーザーの知識やデジタル リテラシーの欠如を悪用しようとします。ほとんどの場合、ユーザーは特定の脅威に気づいていないか、個人データの価値を理解していません。
通常、ソーシャル エンジニアリング攻撃には 2 つの主な目的のいずれかが含まれます。アクセス、機密データ、デジタル資産、金銭などの貴重な資産を取得する際に、データを破壊して危害や盗難を引き起こす方法としての妨害行為。
暗号通貨のコンテキストでは、ハッカーはソーシャル エンジニアリング戦術を使用して、 暗号通貨ウォレットまたはアカウントへの不正アクセスを取得する可能性があります。暗号通貨ユーザーのデジタル資産は、機密性を維持する必要がある秘密鍵とともに暗号通貨ウォレットに保存されているため、ソーシャル エンジニアリング詐欺に対して特に脆弱です。
加害者は、暗号資産にアクセスするために総当りの力を使うのではなく、人間の脆弱性につけ込むさまざまな手法を使用します。たとえば、攻撃者は、フィッシングメールなどの単純な方法でユーザーをだまして秘密鍵を明らかにさせるために作成されたスキームを使用します。ユーザーは、ウォレット サービスやサポート スタッフになりすましたフィッシングメールを受信する可能性があります。
あなたが頻繁に読んでいるなら、おそらく「最も一般的な暗号通貨詐欺とその回避方法」の記事を覚えているでしょう。仮想通貨コミュニティに影響を与える偽の景品やその他の一般的な詐欺について詳しく知るためにチェックしてください。
一般的なソーシャル エンジニアリング戦術は、電子メール、ソーシャル メディア プラットフォーム、テキスト メッセージ、オンライン コミュニティ、または悪意のある Web サイトを介して使用される可能性があります。
たとえば、2023 年 9 月に、Balancer として知られるイーサリアムベースの分散プロトコルは、プラットフォームがドメインの制御を取り戻したと発表しました。バランサーはさらに、この事件の原因はソーシャルエンジニアリング攻撃であると述べ、ユーザーに対し、違法なウェブサイトに注意するよう警告した。
ソーシャル エンジニアリング詐欺が特に危険なのは、人的ミスに依存しているという事実です。ソーシャル エンジニアリングは人間の行動や間違いに基づいているため、検出するのが難しい場合があります。人間の介入によって発生したエラーは、マルウェア ベースの侵入よりも予期せぬ事態が発生する可能性があります。
ソーシャル エンジニアリング攻撃の被害者になる可能性は誰にでもありますが、潜在的な被害者は通常、高価値の個人、著名な従業員、オンラインの人気人物、若い世代、およびサイバー セキュリティの脅威について知らされていない個人です。
ソーシャル エンジニアリング攻撃は、多くの場合、1 つ以上のステップで発生します。悪意のある攻撃者は、脆弱なセキュリティ プロトコルや潜在的な侵入ポイントなどの大量の背景情報を収集するために、潜在的な被害者を調査することから始めます。
必要な情報を十分に収集した後、加害者はいくつかの方法で被害者の信頼を獲得します。ソーシャル エンジニアリングには、偽りの緊急性を演出したり、権威者になりすましたり、報酬を提供したりすることも含まれます。
基本的に、ソーシャル エンジニアリング攻撃は単純です。人間の弱さを主な武器として利用し、加害者は、信頼している、疑っていない、または急いでいる被害者に、自分の指示に従うように説得するだけで済みます。
心理学の観点から見ると、ソーシャル エンジニアリングは基本的に、チャルディーニの説得の 6 原則を非道徳的に応用したものです。この心理理論は通常は無害で、マーケティング戦略や社会科学でよく使用されます。それは、私たち一人ひとりを特徴づける、人間の多くの脆弱性を浮き彫りにします。ソーシャル エンジニアリング攻撃を認識するには、次の原則を認識することが重要です。
これらは互恵性、希少性、一貫性、合意、共感、権威性です。それらを簡単に説明しましょう。
返報性とは、人間には好意を返したくなる性質があることを意味します。何かをお返しすることで、私たちは役に立っていると信じてしまう傾向があります。その一方で、欠乏の原則は切迫感を食い物にします。何かが制限されているように見える場合、私たちはそれを重要なものとして認識する可能性があります。
一貫性とは、自分の決定に沿っていることを示したいという心理的欲求により、自分が行った選択や約束を回避できないことを指します。さらに、人々は多数派の意見に従う傾向があるため、最も一般的な選択と思われる社会的証明が良いものであると解釈されることがよくあります。
このことは、有資格者の発言が真実で安全であると解釈される可能性を説明する権威性にもつながります。最後になりましたが、私たちは自分と似たような人を信頼する傾向があるため、攻撃者が同情を利用することがあります。
Coinbase の記事は、ソーシャル エンジニアリング攻撃がいかに巧妙であるかを示す例です。 2023 年 2 月初旬のある日、数名の従業員が、提供されたリンク経由でログインするよう求めるテキスト メッセージを受け取りました。ほとんどの従業員はこのメッセージを無視しましたが、何も疑うことを知らない従業員の 1 人がリンクをクリックし、ログイン資格情報を入力しました。
攻撃者はプラットフォームへのアクセスを数回試みました。多要素認証 (MFA) 資格情報を提供できなかったため、加害者はアクセスをブロックされました。しかし、攻撃者は落胆せず、リンクをクリックした従業員に電話をかけました。
攻撃者は、Coinbase 企業 IT サービスの出身で、助けが必要だと主張しました。繰り返しになりますが、従業員は攻撃者の言葉を信じ、その指示に従いました。同僚になりすますことは、機密情報を漏らすために使用されるソーシャル エンジニアの一般的な戦術です。しかし、別の不審な従業員のせいで、資金や機密情報は持ち出されませんでした。
この出来事は、適切な状況下では誰もがソーシャル エンジニアリング スキームの被害者になる可能性があるという貴重な教訓を私たちに教えてくれます。ほとんどの攻撃は洗練されており、さらに重要なことに、それらは機能します。
誰もがデジタル ソーシャル エンジニアリング攻撃の被害者になる可能性があり、詐欺師がさまざまな興味深い方法で被害者を騙すことが明らかになったので、仮想通貨ユーザーに影響を与える人気のソーシャル エンジニアリング詐欺を見てみましょう。
フィッシング攻撃とは、評判の高い企業からの正規の電子メールをミラーリングするために作成された悪意のある電子メールまたはメッセージを指します。攻撃者は、何の疑いも持たないユーザーをだまして、自分が正規のものであると信じ込ませたいと考えています。
暗号通貨分野に関しては、ほとんどのフィッシング詐欺は、ユーザーを誤解させて秘密鍵を渡したり、悪意のあるトランザクションを許可したりすることを目的としています。
ソーシャル エンジニアリング攻撃という広範な用語には、スピア フィッシング、偽のブラウザ拡張機能、アイス フィッシング、悪意のあるエアドロップ、DNS ハイジャックなどの幅広い詐欺が含まれます。
返報性の原理を覚えていますか?さて、見返り攻撃とは、ソーシャル エンジニアが機密情報と引き換えに被害者に何かを提供する一種のおとり裁判を指します。このラテン語のフレーズは直訳すると「何かのための何か」という意味になります。
これは次のように機能します。ハッカーはおとりとしてアイテムまたはサービスのいずれかを提供し、必要なときに機密データを要求します。悪意のある攻撃者は、寛大さの仮面の下で本当の意図を隠します。
たとえば、詐欺師は会社の IT 部門や他の技術サービス プロバイダーの従業員になりすます可能性があります。セキュリティ ツールや企業ツールなどのプログラムのインストールを提案することで、機密情報の漏洩につながる可能性があります。
おとり攻撃は、被害者の貪欲さや好奇心を利用して餌食にします。それらには通常、虚偽の約束が含まれます。たとえば、最も非難されているおとり行為は、昇給、求人、休日カレンダーなどを含む電子メールを従業員に送信することを指します。被害者は好奇心からこの餌を手に取り、その結果、マルウェアが自動的にインストールされます。
場合によっては、悪意のある攻撃者は、誰かがそれを拾って自分のコンピュータに差し込むことを考えて、悪意のあるソフトウェアが含まれた USB をオフィスなどの公共の場所に放置する傾向があります。
プリテキスティングは一般的なソーシャル エンジニアリング攻撃であり、被害者の信頼を獲得し、機密情報を開示するよう誘導するために虚偽の物語を作成することが含まれます。
詐欺師は通常、同僚、税務職員、またはいわゆる知る権利を持つその他の人物になりすまして、潜在的な被害者との信頼を確立します。これは権威と合意の原則に沿ったものです。
口実者は被害者の信頼を獲得すると、被害者の身元を確認するために必要な質問をし、それによって機密情報を首尾よく入手できます。
スケアウェアは恐怖と緊急性をすべて表しています。被害者は、自分たちが深刻な脅威にさらされていると信じてしまうのです。これは、マルウェア感染の可能性に関するセキュリティ警告を表示する誤った警報や通知を含む、一種の悪意のあるソフトウェアです。
ただし、疑わしい削除ツール自体はマルウェアであり、詐欺師が機密情報にアクセスできるようになります。暗号通貨ユーザーは、暗号通貨ウォレットが侵害されたと主張するスケアウェア詐欺に遭遇する可能性があります。
暗号資産を保護するには、最新のセキュリティ対策について学習するとともに、 コールド ストレージを使用して多要素認証と強力なパスワードを有効にし、警戒と予防を続けることが重要です。
警戒を続けるもう 1 つの方法は、不審な電子メールやメッセージを監視することです。ソーシャル エンジニアリングやその他の暗号詐欺がどのように機能するかを知れば知るほど、それらに対処する準備が整います。
ソーシャル エンジニアリング スキームは、ネットワーク、オペレーティング システム、テクノロジーではなく、人的エラーや脆弱性を食い物にすることに留意してください。