ソーシャルエンジニアリングとは
ソーシャルエンジニアリングは、人間の弱点を悪用して個人情報や保護されたシステムにアクセスする行為です。 ソーシャルエンジニアリングは、標的のアカウントに侵入するためにコンピューターシステムをハッキングするのではなく、個人を操作することに依存しています。
ソーシャルエンジニアリングを理解する
たとえば、女性が男性の被害者の銀行に電話して、妻が緊急事態を主張し、自分の口座へのアクセスを要求するふりをするかもしれません。 女性が代表者の共感的な傾向に訴えることで銀行の顧客サービス担当者をうまくソーシャルエンジニアリングできれば、男性の口座へのアクセスを獲得し、彼のお金を盗むことができます。 同様に、攻撃者はメールプロバイダーのカスタマーサービス部門に連絡してパスワードリセットを取得し、攻撃者がそのアカウントにハッキングするのではなく、ターゲットのメールアカウントを制御できるようにします。
ソーシャルエンジニアリングとは、ターゲットを操作して重要な情報を放棄することです。 個人の身元を盗んだり、クレジットカードや銀行口座を侵害したりすることに加えて、ソーシャルエンジニアリングを適用して、企業の企業秘密を取得したり、国家安全保障を利用したりすることができます。
ソーシャルエンジニアリングは、潜在的なターゲットが防ぐことは困難です。 強力なパスワードの使用やアカウントの2要素認証などの予防措置が使用されますが、銀行の従業員など、アカウントにアクセスできる第三者によってアカウントが侵害される可能性があります。 ただし、個人が機密情報を漏らしたり、ソーシャルメディアで情報を共有する際に注意を払ったり、パスワードを繰り返したり、二要素認証を使用したり、アカウントのセキュリティの質問に偽のまたは推測しにくい回答を使用したり、口座、特に金融口座に注意してください。
攻撃者は、ソーシャルエンジニアリングスキームで、人々に助けを求めるなど、驚くほど単純な戦術をよく使用します。 もう1つの戦術は、被災者の遺失者または故人の旧姓、住所、生年月日、社会保障番号などの個人を特定できる情報を提供するよう求めることにより、被害者を悪用することです。
技術サポートの専門家または配達員になりすますことは、悪意のある添付ファイルを含む明らかに正当なメールを送信するように、アカウントへの不正アクセスを取得する簡単な方法です。 このような電子メールは、多くの場合、人々が未知の送信者を疑う可能性が低い職場の電子メールアドレスに送信されます。
電子メールは、ハッカーによって実際に送信されたときに、既知の送信者から発信されたように見せかけることができます。 特定の人を対象とするより手の込んだ戦術では、自分の興味について学習し、その興味に関連するリンクをターゲットに送信する必要があります。 リンクには、コンピューターから個人情報を盗むことができる悪意のあるコードが含まれている可能性があります。 人気のあるソーシャルエンジニアリング手法には、フィッシング、猫釣り、追い込み、および餌付けが含まれます。