サイバー犯罪は儲かる反面、参入障壁が高い。かつては、ハッカーはゼロから攻撃を展開するための知識と技術を必要としていました。しかし、最近では、アンダーグラウンドのフィッシング・アズ・ア・サービス部門が台頭し、こうした技術的な障壁は過去のものとなっています。どこを見るか、いくら使うかを知っていれば、ボタンをクリックするだけで、誰でもサイバー犯罪者になれるようになったのです。
フィッシングは巧妙なデータ窃盗の第一歩であり、今でも人気のある手口ですが、その理由は簡単です。うまくいく.フィッシングは昔からある手口ですが、今日のサイバー犯罪者はさまざまな方法でそれを利用する方法を知っています。
FBIの統計によると、フィッシングとその亜種は、3番目に多い。 で3番目に多いのサイバー犯罪 2017であり、その結果、およそ 3,000万ドルの被害がありました。でフィッシング攻撃が大幅に増加しました。 2019.フィッシングメールがランサムウェアの主要な侵入口となったのは、以下の通りです。 2020デジタル脆弱性全体の最大54%を占めています。ユーザーの行動の悪さ、サイバーセキュリティのトレーニングや認証プロトコルの強化の欠如が、これらの憂慮すべき統計に貢献した重要な要因でした。
を軽減する方法をご紹介します。DMARCレコードが見つかりません" エラーはこちらでご確認ください。
フィッシング・アズ・ア・サービス(PhaaS)とは?
フィッシング・アズ・ア・サービス(PhaaS)とは、ウェブ上で犯罪者が金銭と引き換えにフィッシング・サービスを提供する組織的なサイバー犯罪の一種である。フィッシングとは、電子メール詐欺の一種で、犯罪者が正規の企業を装ってメッセージを送り、人々を騙して銀行の詳細情報やパスワードなどの個人情報を提供させることです。フィッシングのプロバイダーは、しばしば本物に見える偽のウェブサイトやランディングページを作成し、人々に詐欺を見破られるのを難しくしています。
フィッシング・サービスはますます巧妙になりつつあり、フィッシング・サービス・プロバイダーは、しばしば電子メールの2要素認証などのセキュリティ対策を回避することができます。そのため、フィッシング・サービスは、企業が注意しなければならない問題の一つとなっています。フィッシング・メールの見分け方に関する従業員教育、アンチ・フィッシング・ソフトウェアの使用、メール認証プロトコルの導入など、企業がフィッシングから身を守るためにできる対策はあります。しかし、Phishing-as-a-Serviceのプロバイダーがより巧妙になっているため、企業は常に警戒して自衛する必要があります。
なぜフィッシング・サービスが問題なのか?
多くの企業にとって、PhaaSの蔓延は危険な兆候です。Egressによると、前年度に73%の企業がフィッシング攻撃のターゲットとなり、成功を収めている。フィッシング・キットのマネタイズは、状況をさらに悪化させることになる。
フィッシング・アズ・ア・サービスは、フィッシングのハードルを下げてしまうので、問題である。
PhaaSは、サイバー犯罪者の参入障壁を下げることで、フィッシングに挑戦する新世代のサイバー犯罪者を刺激し、彼らへの投資対効果は絶大です。サイバー犯罪者が効率的にメールを送信するには、通常HTMLの知識が必要です。また、認証情報を盗みながらも、本物らしく見えるウェブサイトの作り方を理解する必要もある。もし誰かがフィッシング・キットを購入すれば、フィッシング攻撃を実行するためにこれらのスキルは必要ない。攻撃を思い立ってから「実行」に移すまでの時間はほとんどない。
すでにフィッシング攻撃を実行している人たちでさえ、PhaaSの恩恵を受けることができます。犯人の能力によって、フィッシング・キャンペーンの成功が制限されるのが一般的だからだ。しかし、フィッシング・キットを購入すれば、より多くの人がその攻撃に引っかかることになる。
また、PhaaSはフィッシング詐欺の告発をより困難なものにしています。
フィッシングキットの作成に長けた人は、フィッシング詐欺を行わなくても収入を得ることができるのです。フィッシング・キットの利用者が逮捕された場合、フィッシング・キットを販売した人物が罪に問われる可能性は低い。したがって、実際のサイバー犯罪者は、同様のキットを他の人々に販売し続けることができる。
フィッシングの脅威を軽減するには?
フィッシングは昔からある手口ですが、今後もユーザーを騙し続けるでしょう。しかし、以下のベストプラクティスを実践することで、安全を確保することができます。
従業員の教育
フィッシングに関する従業員への教育とともに、万が一、従業員がフィッシング詐欺に引っかかってしまった場合に、ビジネスを保護するためのシステムを導入することが重要です。例えば、スパムフィルターを使用して、疑わしいメールが従業員の受信トレイに届かないようにすることを検討する必要があります。また、疑わしいメールを報告し、調査できるようなプロセスも用意しておく必要があります。このような予防策を講じることで、フィッシング攻撃からビジネスを守ることができます。
不審なリンクはクリックしない
まず、信頼できる組織からだと主張する迷惑メールやテキストを疑ってみてください。たとえ既知の企業からのメッセージであっても、安全であることが確認できない限り、リンクや添付ファイルを決してクリックしないでください。不安な場合は、メッセージにあるリンクをクリックするのではなく、その団体のウェブサイトに直接アクセスしてください。
ウイルス対策ソフトを最新の状態に保つ
アンチウィルスソフトは、フィッシング詐欺を検知・ブロックすることができますが、それは最新のものであることが条件です。古いソフトウェアでは、最新のフィッシング詐欺を認識できない場合があり、同じような攻撃を受けやすくなっています。そのため、アンチウイルスソフトは定期的にチェックし、最新で正しく動作することを確認しましょう。また、OSやウェブブラウザなど、他のソフトウェアも忘れずに最新に保つようにしましょう。
最後に、個人情報をオンラインで提供することには注意が必要です。フィッシング詐欺師は、正規の企業を装って、お客様を騙して機密情報を開示させることがあります。したがって、個人情報を提供するのは、信頼できるWebサイトのみにしましょう。
DMARCを使用してメールを認証する
フィッシングメールは、スパムメールフィルターによって受信トレイに届かないようにすることができますが、ハッカーはこれらのフィルターを回避しようと絶えず試みています。世界中に約50億のアカウントを持つ電子メールほど、巨大なリーチを持つチャネルはありません。そのため、攻撃者は電子メールを悪意の経路として好んで使用します。
そこで、スパムフィルターでは解決できない問題を解決するために、DMARCが登場するのです。
DMARCは、ビジネスドメインの偽造による電子メールのなりすましやフィッシング攻撃に対抗するために設計されています。DMARCは、電子メールチャネルを完全に可視化するだけでなく、フィッシング攻撃も顕在化させます。常時監視と送信元検証により、フィッシング攻撃の影響を軽減し、スプーフィングを防ぎ、ブランドの乱用や詐欺からガードし、ビジネスメールを危険から保護することができます。
実装の詳細に精通していない、または実装の時間と労力を節約したい組織は、当社の DMARCアナライザーを使用して、導入プロセスを効率化することができます。
ドメインにDMARCレコードを作成することで、フィッシング攻撃からブランドと顧客を保護することができます。
DMARCレコードは、4つの主要な構成要素を含んでいます。
- DMARCポリシー
- SPFアライメント
- DKIMアライメント
- 報告書作成オプション
のことです。 DMARCポリシーは、DMARCに失敗した場合に受信メールをどのように処理するかを指定します。 SPFアライメントは、許可されたIPアドレスから送信されたメールのみがDMARCのチェックを通過することを保証します。 DKIMアライメント電子メールの署名ドメインを確認します。 レポートオプションDMARCレポートの送信先を指定します。
最後の言葉
個人も企業もフィッシングに弱い。フィッシングは、個人アカウントのハッキングや企業ネットワークへの侵入につながる。さらに、Phishing-as-a-serviceは、スキルレベルに関係なく誰でもこのような攻撃を行うことができるため、この問題を悪化させることになります。
PhaaSは、フィッシング攻撃の頻度を高めるだけでなく、各攻撃をより成功させる可能性があります。しかし、良いニュースは、その打撃を軽減する方法があることです。PowerDMARCチームは、DMARC導入のあらゆる段階でお客様をサポートし、他のどのソリューションよりも迅速にフィッシング攻撃に対する防御を構築することができます!今すぐDMARCの無料トライアルをご利用ください。
