フィッシング詐欺は、ユーザーやメールフィルターによる特定を回避できるようなますます高度なテクニックを用いるようになったため、判別するのがさらに困難になってきています。しかしながら、ほとんどのフィッシング詐欺は、似たようなやり方でしかけられ、同じ要素を含んでいます。ここに5種類のフィッシング詐欺をご紹介します:
1.請求書フィッシング詐欺
請求書フィッシングでは同僚・業者・ブランドのなりすましが起こります。そのメールは重要な請求書が添付されていることをユーザーに通知します。その請求書自体にフィッシングページへのリンクが含まれている可能性があり、そのフィッシングページでユーザーは請求書を支払うためにログインするように指示されることになります。あるいは、添付ファイルにマルウェアやランサムウェアが仕込まれていて、添付ファイルを開封するとすぐにそれらがダウンロードされるようになっています。
2.セキュリティ警告
ソフトウェアやアプリの業者からのセキュリティ警告は日常茶飯事ですが、銀行・クラウドサービス会社・メールプロバイダからの警告は特にビジネスの障害になります。これらのフィッシング詐欺では、ハッカーは、被害者がすでに目にしたことのある正規のセキュリティ警告に似せてフィッシングメールを作成します。
一般的なセキュリティ警告には、パスワードが期限切れ、または期限切れ間近だというもの、アカウントで不審な活動が検出されたというもの、未確認のデバイスから誰かがアカウントにログインしたというものなどがあります。これらの詐欺の目的は、被害者に直ちに反応させること、つまり、問題を解決するためにメール内のリンクをクリックして自分のアカウントにログインさせることにあります。被害者は、ビジネスを守るための行動をしていると信じていますが、実際にはその逆をしていることになるのです。
3.支払情報更新の警告
ビジネスの世界では、いかなるサービスの供給停止も収益減の原因になりかねません。サービスの供給停止が繰り返し発生すれば、ITのダウンタイムや顧客離れにも繋がります。支払情報の更新を促すフィッシング詐欺がこんなにも効果的なのはそのためです。そして、ハッカーは被害者がそのような本能的な反応をするのを期待して何度もこれを繰り返します。
メールの受信者は、クレジットカードが有効期限切れ、または期限切れ間近である、あるいは、支払方法に問題があると警告されます。彼らは自分のアカウントにログインしてクレジットカード情報を更新するように指示を受けます。洗練された攻撃では、ハッカーは、その会社を調査して当座預金の管理責任者らしき従業員を特定します。
4.共有ファイル攻撃
Office 365のようなクラウドサービスの人気の高まりは、サイバー犯罪者に多くの新たなチャンスを与えました。世界中の企業が次第にSharePointやOneDriveのようなホスティングサービスからファイルを直接共有するようになっています。
この詐欺では、フィッシングリンクを含むドキュメントを閲覧するためのリンクが添えられた偽のSharePointやOneDriveの通知が送信されます。これらの詐欺で、ハッカーは同僚やビジネスパートナーのメールアドレスになりすまします。さらに洗練されたOffice 365の攻撃では、ハッカーはOffice 365を通じて本物のSharePointやOneDriveの通知を作成します。さらにより高度な攻撃になると、ハッカーは不正にアクセスしたOffice 365のアカウントを使って通知を作成します。
5.ボイスメールフィッシング
ボイスメールフィッシングメールは通常簡潔なもので、新しいボイスメールを受信したことを通知します。この種のフィッシングメールは、Office 365のようなサービスから送信された正規の通知に見せかけるために、なりすましのメールアドレスから送信されることが多々あります。そのようなケースでは、受信者はリンクをクリックして自分のOffice 365アカウントにログインしてボイスメールを聞くように指示されます。
その他のケースでは、ボイスメールがフィッシングリンクを含む添付ファイルの形式で送信されてきます。ボイスメールフィッシング詐欺はまた、ランサムウェアを送り込む方法として頻繁に使われます。添付ファイルを開くとすぐにダウンロードが開始されたり、受信者がそのドキュメントのマクロの有効化に同意するとダウンロードが始まったりすることもあります。
フィッシングメールの見分け方
フィッシングの兆候は昔ほど明らかではなくなりました。ハッカーはフィッシングの兆候を隠すために細心の注意を払っているため、詳しく調べなければ最も明らかな兆候は発見できません。以下は詐欺を見破るためのいくつかの方法です:
件名を検討する:信用のあるブランドが人を脅すような件名を用いるでしょうか?おそらくそんなことはしないでしょう。件名が脅迫的であったり、大げさであったりする場合、それはフィッシングメールかもしれません。
送信者のアドレスを確認する:送信者のメールドメインはそのブランドのドメインと合致していますか?メールアドレスに余分な文字や 「.co」 「.company 」などの本来あるべきではない拡張子は入っていませんか?どんなリンクであっても、クリックする前に送信者のアドレスを注意深く調べて、メールのなりすましの兆候を探しましょう。
個人化を探す:あなたに文書を送信してくる会社は当然あなたの名前を知っているはずです。「親愛なるお客様」や単に「こんにちは」などのように、自分の名前以外の宛名で送信されてきたメールがあったら、それは不審メールと見なすべきです。
リンクをマウスオーバーする:メール内のリンクをマウスオーバーして、本来繋がるべき場所に繋がることを確認しましょう。たいていの場合、フィッシングリンクは特殊文字を過剰に盛り込み、長くて複雑になっています。そのリンクがどこに繋がるのか明らかでない場合はクリックするのを控えましょう。
そのブランドのウェブサイトを確認する:リンクに確信が持てない場合は、そのリンクをクリックするのではなく、ブラウザでそのブランドのウェブサイトを直接入力しましょう。または、そのURLがフィッシングでないかどうかをスキャンするIsItPhishing.AIのような無料のサービスを利用しましょう。
