2四半期連続でFacebookは、当社が四半期ごとに発行しているPhishers' Favoritesレポートのフィッシング攻撃のなりすまし最多ブランドの第2位に位置づけられました。Facebookは26億人のアクティブユーザーを抱えているため、サイバー犯罪者に最も狙われるブランドの一つになっています。さらに、この大手ソーシャルメディアが、アプリの買収からVRまで一見無限に続くように見える一連の投機的事業に乗り出すようになってから、Facebookフィッシングが急増しています。
なぜFacebookなのか?
ソーシャルメディア上には潜在的被害者が溢れています。ソーシャルメディアのプラットフォームには、ユーザー自身が自ら進んで提供した数十億におよぶユーザー名、パスワード、個人情報、ファイナンス情報などの情報がホストされています。しかし、その他の大半のプラットフォームとは異なり、Facebookは議論の余地のない巨大企業です。必ずしも愛されているとは言えませんが、私たちがそれを認めるかどうかに関わらず、一時はほとんどすべての人たちが利用していたソーシャルプレイグラウンドです。
規模がFacebookフィッシングの唯一の要因です。Facebookの規模は、果てしなく巨大です。2019年後期からFacebookは、Facebook、Messenger、 WhatsApp、 Instagramなどの世界最高のダウンロード数を誇る4つのアプリを所有しています。このことからFacebookは、さまざまな異名を持つことになりましたが、中には「データ独占企業」という呼び名もあります。
最も利益を生むデータを有するだけではなく、FacebookのFacebookログインAPIは、サードパーティのアプリを直接Facebookアカウントに接続します。技術的な知識のあるユーザーはFacebookアカウントと接続するアプリを追跡したり、不要になったら削除したりするかもしれませんが、一般的なユーザーは自分が利用しているサードパーティアプリの数やFacebookとサードパーティで自由に共有されているデータの量について知識がない可能性が高いです。それらのサードパーティがハッキングされれば、Facebookユーザーのデータはハッカーにとって大金を得られるきっかけとなり、Facebookフィッシングを実行するために使われる武器になります。
一般的なFacebookフィッシングの種類
フィッシングリンクをクリックするようにユーザーを説得する最も効果的な方法は、彼らを怖がらせたり、彼らの興味を引いたりすることです。Facebookフィッシング詐欺は、これらの基本理念を忠実に守る傾向があります。しかし、説得力のあるメールよりも重要なのがフィッシングページであり、Facebookのフィッシングページは豊富に存在します。2020年第1四半期にVade Secureは、3,733件のFacebookの固有のフィッシングURLを検出しましたが、Facebookのなりすましフィッシングメールの総数はそれをはるかに上回りました。
Facebookフィッシングの種類は、セキュリティ警告からパスワードの再設定要求まで多岐に及びますが、ほぼすべてのフィッシングがログイン認証情報を盗みだすことに焦点を置いています。以下は私たちが目にした一般的なFacebookフィッシング詐欺のほんの一部です。
アカウントの確認
ソーシャルメディアアカウントから締め出されることになったら、特にインフルエンサータイプの強力ユーザーはゾッとすることでしょう。ですから、これがソーシャルメディアのユーザーからデータを収集するためにハッカーが最もよく使う手口の1つであることは理にかなっています。以下の例のフィッシングページは、パスワードを更新(漏洩)しなければ、アカウントが停止されるとユーザーに警告しています。ハッカーが追加の質問(生年月日)をして、その回答を今後利用しようと企んでいることに注目してください。
アカウントの不正使用警告
自分のアカウントが停止されるとユーザーに信じ込ませて脅すもう一つのやり方として、この詐欺は、ユーザーのアカウントの不正アクセスが報告されたうえに、そのアカウントがFacebookの基準に違反していると警告しています。この説得力のあるフィッシングページは、そのFacebookページが自分のものであると証明するために、アカウントの認証情報を入力するようにユーザーに指示します。
クレジットカード情報の収集
アカウント認証情報を盗み取ろうとする前述の詐欺と異なり、この詐欺の目的は金銭的なものですが、ここでもアカウントの閉鎖をエサにユーザーを脅しています。ユーザーは、クレジットカード情報を更新しなければ自分のアカウントが永久に停止されるとメールの中で警告されます。これは最も説得力のある脅し文句とは言えないうえに、そのページには文法的な間違いもあります。実はハッカーは、ユーザーが動揺して判断力が鈍ることを当てにしているのです。このユーザーの動揺こそが、多くのユーザーのミスの裏にある原動力です。
Facebookフィッシングが中小企業にとって脅威である理由
MicrosoftやPayPalのようなブランドになりすますフィッシング詐欺と異なり、Facebookフィッシングは、企業よりもむしろ消費者に対する脅威だと見なされています。例えば、Facebookのフィッシングメールは、会社の受信ボックスではなく、従業員の個人メールアドレスに送信される傾向があります。しかし、Facebookとその他のソーシャルメディアのプラットフォームとの接続性は、多くのハッカーがすでにアプリ内に存在していることを意味しています。
マルチフェーズ攻撃を使って、ハッカーはフィッシングメールからユーザーのアカウントに侵入し、追加の攻撃を開始します。不正アクセスしたアカウントの内部からフィッシングやスピアフィッシングメールを送信するのが一般的です。ソーシャルメディアを利用していて、特に仕事用のコンピュータにFacebookがインストールされている従業員は、ハッキングされたアカウントから送信されたダイレクトメッセージやステータスの更新に記載されたURLを使ったFacebookの内部からのフィッシング攻撃を受ける危険があります。これらのタイプの攻撃で、ハッカーは繋がりのある人物になりすましてユーザーを騙し、ユーザーの仕事用のコンピュータにマルウェアやランサムウェアをダウンロードするフィッシングリンクをクリックさせようとします。その他のケースでは、彼らは単に認証情報を狙っていると考えられます。3人中2人がパスワードを再利用すると認めていることから、ランダムにしかけられるFacebookフィッシング詐欺で従業員が漏らすパスワードは、彼らが会社用に使っているパスワードと一致する可能性が高くなります。
最後に、Facebookは個人向けの性質があることから、ユーザーが非常に個人化されたスピアフィッシング攻撃を受ける危険性が高まります。個人情報と職業的情報を共有しているFacebookユーザーは、より機密性の高い情報や認証情報を入手するためにハッカーが個人化されたメッセージを送信するのに必要なすべての情報を公開していることになります。
フィッシング対策
貴社のビジネスとユーザーをフィッシングから守るためには、サイバーセキュリティに対する警戒態勢とフィッシング対策テクノロジーを組み合わせることが必要です。今日の攻撃は、非常に洗練されているうえに、現在私たちが目にするフィッシングメールは、メールフィルターをすり抜けるように作られています。ユーザーは、フィッシングメールを見抜くためのトレーニングを受けるとともに、フィッシングリンクをクリックした場合にいつでも再度トレーニングを受けることが必要です。
最後に、ハッカーは、MXレコード検索によって、企業がどのメールフィルターを使ってメールを保護しているかを把握できるため、彼らはそれらの防衛対策をすり抜けられるようにメールを適応させます。MXレコードの変更が不要なフィッシング対策ソリューションならば、使用しているソリューションをハッカーが特定するのを阻止できます。このようなやり方で、ハッカーたちは直接狙うのではなく、当てずっぽうに罠をしかけます。
