ソーシャルメディアフィッシングの詐欺の手口

ソーシャルエンジニアリングとソーシャルメディアフィッシングの関連性

ソーシャルエンジニアリングは、心理的に被害者を操り、被害者に機密情報を暴露させるように促すプロセスです。ソーシャルエンジニアリングを効果的に実行するために、サイバー犯罪者は、その被害者の個人情報を把握しなければなりません。個人情報を把握するのに、ソーシャルメディア以上に優れたプラットフォームがあるでしょうか？

42億人がソーシャルメディアを使用しています。強力なパスワードでアカウントを守り、むやみに個人情報を公開しないように警告しているにもかかわらず、私たちは、なおも、ベストプラクティスを無視して、ソーシャルメディアのフィッシング攻撃に身をさらしています。私たちは、位置情報、所属政党、金銭問題、健康上の問題、キャリアアップやキャリアダウンなどを共有します。これらの情報さえあれば、サイバー犯罪者たちは、ソーシャルエンジニアリングを仕掛けて、被害者の痛いところを突くことができます。

Facebookフィッシング

世界で最も規模が大きく、最も影響力のあるソーシャルメディア会社が、ハッカーによるなりすまし被害を最も多く受けていることは、驚くべきことではありません。2021年、Facebookのフィッシングは前年比で71％増加し、Facebookは同年のフィッシング攻撃でなりすましの最も多いブランドになりました。

この急激な増加を理解するには、どのようにしてFacebookが今日の巨大企業に成長したのかを考える必要があります。2007年、Facebookのユーザ数は、わずか2000万人でした。外部のデベロッパーにプラットフォームを開放してから、Facebookは、平均で年間2億人のユーザを獲得しながら成長しました。

それらのデベロッパーがFacebookと統合させたアプリは、データ（その多くがFacebookユーザに関するもの）を保管します。最終的に、それらのデータは闇市場に行き着きます。2021年に、15億人のFacebookユーザの個人識別データ（PII）が闇サイトで発見され、ある売り手はユーザ100万人分のPIIに5,000ドルの値を付けていました。それらのデータがあれば、サイバー犯罪者は、被害者に対して無数の犯罪を自由に仕掛けることができます。

データ漏洩に関する話は、Facebookを苦しめ続けています。その結果、Facebookのユーザは、Facebookからのプライバシー戦略に関する更新情報の受信に慣れています。しかしながら、中には、それらのメールを送信しているのがFacebookではなく、Facebookになりすましたハッカーである場合があります。次々と流れてくる悪いニュースの報道で、ユーザの警戒心が非常に高くなっている時に、ハッカーからFacebookのパスワードを更新するようにダイレクトされると、ユーザは、すぐにそれに反応して、ハッカーたちから守ろうとしているまさにそのデータを、無意識のうちにハッカーに漏らしてしまいます。

その他のケースでは、ハッカーは、直接的にサードパーティのアプリとの関係を利用して、ユーザーデータを盗み取ります。Facebookの万能ログインAPIを使えば、ユーザーは、無数のアプリに直接Facebookからアクセスすることができます。ハッカーは、Facebookログインに似たデザインのフィッシングページを作って、これを悪用します。ユーザーは、人気のあるアプリにログインしようとしますが、実際には、ハッカーにログイン認証情報を漏らしていることになります。

WhatsAppのフィッシング

WhatsAppフィッシングは2020年第4四半期以降、着実に増加しています。2021年第1四半期までに441％増加し、WhatsAppは同四半期のフィッシング攻撃のなりすまし最多ブランドの第3位にランクインしました。2021年、WhatsAppはその年のなりすまし最多ブランドの第4位にランクインし、Vadeが分析したすべてのフィッシングページの9％を占めました。WhatsAppのセキュリティの脆弱性がなりすましの増加を促す原動力であった可能性があり、2019年にジャーナリストや人権団体を標的としたPegasusスパイウェア攻撃が発生し、1,400人のユーザに被害を及ぼしました。

Instagramフィッシング

2021年のなりすまし最多ブランドのリストで21位にランクインしたInstagramは、巨大な広告会社となり、インターネットで名声を得るためのキャリアの跳躍台となりました。Instagramのフィッシングおよびスピアフィッシング攻撃は、プラットフォームがユーザ数10億人規模に成長したことを受けて、近年勢いを増しています。

Instagramの攻撃は、フィッシングメールを介して送信されるパスワード更新リクエストから、フィッシングで始まって、Instagram内部で発生するスピアフィッシング攻撃に進化するマルチフェーズ攻撃まで、全範囲に及びます。これらの攻撃で、サイバー犯罪者は、偽のInstagramログインページでユーザーのInstagram認証情報を収集し、その後、不正アクセスしたアカウントからそのユーザーのフォロワーにフィッシングやスピアフィッシング攻撃を仕掛けます。その他のケースでは、ハッカーがフィッシングによってアカウントに不正アクセスしてから、不正に入手した情報や画像の公開を避けるための身代金を被害者に要求する手口があります。

非常に効果のあるフィッシングキャンペーンの一つでは、ハッカーは、世界中の高校生だけでなく、大人でも喉から手が出るほど欲しい物の一つであるInstagramの認証バッジへの欲求を利用して、被害者を陥れようとします。Instagramの認証バッジは、単なる小さな青色のチェックボックスです。しかし、このバッジは、ユーザーが正真正銘のセレブリティ、インフルエンサー、またはブランドであることの認証です。Instagramになりすましたサイバー犯罪者は、フィッシングメールを被害者に送信して、認証バッジを有効化するためにInstagramにログインするように求めます。それを実行すると、被害者の認証情報が収集されます。

この小さな青色のチェックボックスにすべての人が興味を持っているわけではありませんが、表示画面にその認証バッジがあると、そのユーザーの信頼性が高まる可能性が増します。そして、これはソーシャルメディアのプラットフォーム上の事実です。この小さな青色のバッジは、影響力のシンボル以上の価値がありますが、ハッカーが被害者を利用することができる信頼のシンボルでもあります。

LinkedInフィッシング

人材スカウト業者は、常に優秀な人材を探しています。ですから、人材スカウト業者がInMailを介してLinkedInのユーザに連絡を取ることは、驚くべきことではありません。人材スカウト業者になりすまして、フィッシングページで被害者に個人情報の提示やトレーニング、人事スカウトサービスの料金の支払いをするように求めたり、さらには、求人申し込み用紙や説明書をダウンロードするように求めたりします。しかも、それらのドキュメントは、PDFフォームやマルウェアをまき散らすマクロを含むWord文書である場合が多く見られます。その他にも、リンクがマルウェアをアンロードするWebサイトに繋がるケースもあります。

LinkedInの一般的なフィッシング戦術は、つながり申請詐欺です。ハッカーは、ユーザにつながり申請を承認するように求める偽のLinkedInメールを作成します。そして、被害者が承認するためにLinkedInにログインすると、被害者の認証情報が盗まれる仕組みになっています。他のユーザや、時には、インフルエンサーになりすまして、ハッカーは、自由に新しいつながりを築いたり、InMailを介して他のユーザとつながったりすることによって、フィッシングやスピアフィッシングを仕掛けることができます。

ソーシャルメディアフィッシングから身を守る

ソーシャルメディアフィッシングは、企業のメールアカウントではなく個人を標的にすることがよくありますが、企業は2021年から2022年にかけてソーシャルメディア広告に1540億ドルを費やしているため、企業も攻撃の対象となりました。フィッシングを認識するトレーニングを受けていない被害者は、感情的になり、すぐに反応して、そのメールの異常に気づかずにフィッシングリンクをクリックしてしまいます。

フィッシング対策テクノロジーを備えた強力なメールセキュリティが、会社と顧客をソーシャルエンジニアリングやフィッシングから守るためには不可欠です。また、フィッシングトレーニングの重要性を軽視してはいけません。フィッシング攻撃は、非常に高度であるうえに、まれにしか出現しない脅威は、通常のフィルターをすり抜けてしまう可能性があります。トレーニングを受けたユーザは、攻撃の被害者になりにくい傾向があり、フィッシングリンクをクリックした場合に、即座に警告を受けたユーザは、将来同じ過ちを繰り返す傾向が非常に低くなっています。