デジタル機器の使用やインターネットに何等かのデバイスから接続することが日常的である今、平均的なユーザーでも、サイバー犯罪者が個人データや金銭を入手するために使用する手法や手段をある程度は把握しているでしょう。この知識により私たちは、よりスマートになりサイバー犯罪取引の手口に敏感になっていますが、サイバー犯罪者もより賢くなっており、そのため彼らの攻撃はより複雑になっています。
たとえば、フィッシングについて見てみましょう。フィッシング攻撃は、単純で一般的なものから複雑でパーソナライズされたものへと劇的に変化しています。かつては電子メールやWebサイトを偽装していたものが、より偽装的なもの、つまり、Vishing*やボイスフィッシングに発展しました。この方法は、電話を介して金融機関になりすますことにより、被害者の個人情報または金融情報へのアクセスを試みるサイバー犯罪者を含みます。そして今、新たなフィッシング攻撃は、典型的なフィッシング詐欺よりも検出が困難であることが証明されています。
より高度なフィッシング攻撃
2018年4月、韓国金融安全保障研究所と高麗大学のマネージャーであるMin-Chang Jangは、正当な番号からユーザーへの通話を傍受するように設計された悪意のあるアプリについて調査を行いました。この戦術は、従来のボイスフィッシング攻撃に、新たな、そして厄介なひねりを加えたものです。この攻撃手法は、ハッカーはまず偽のアプリをダウンロードするようにユーザーに説得する必要があります。これを行うには、リンクが被害者に送信され、ローンの借り換えなどに関する素晴らしいオファーが表示され、ユーザーに問題あるアプリをダウンロードするように促します。ターゲットが餌に釣られた場合、可能なローンの借り換えのオファーに関する電話が金融機関から入ってきます。しかし、その呼びかけは実際の金融会社とは関係がなく、むしろ傍受する悪役と関係があるのです。
私たちが身の回りの世界に適応し、安全を護ることについて賢くなるにつれて、サイバー犯罪者もより巧妙な方法で攻撃してくるだろうということを私たちは知っています。今日は高度なフィッシング攻撃ですが、明日は別の種類になる可能性があります。ユーザーがあらゆるサイバー攻撃を阻止し安全な状態でいられるように、絶え間なく取り組んでいるマカフィーのようなセキュリティ企業が必要なのです。このボイスフィッシング攻撃を検出するのは難しいことではありますが、サイバー犯罪者の犠牲にならないようにするための予防策をいくつかお伝えします。
アプリは公式のソースからのみインストール
悪意のあるアプリがあなたのデータを搾取しないように、認可されたベンダーからのアプリのみをダウンロードしてください。Androidユーザーの場合は、Google Playストアを、iPhoneユーザーの場合は、Apple App Storeを使用してください。サードパーティのアプリを信頼しないでください。
発信者番号通知サービスを利用
現在、多数の通信事業者が、詐欺電話の可能性をユーザーに通知する無料サービスを提供しています。また、多くの電話機には、通話が本物かどうかをすばやく診断するための通話識別機能が付いています。この機能を使用すると、ユーザーは詐欺電話をデータベースに報告することもできます。
内容をよく確認
暮らしのヒントや便利なアプリに加え、常識とは思えないようなあまりにも良過ぎる特典やお得な価格が提案された場合、悪意ある詐欺の可能性が高いと考えられます。提供元を検索したり、ドメインなどをよく確認して怪しいようであれば無視してください。
*従来の電話システム、または、インターネット電話(VoIP)を悪用し、自動メッセージを流して実行するフィッシング攻撃のこと
※本ページの内容は、2019年3月12日(US時間)更新の以下のMcAfee Blogの内容です。
原文:You Rang? New Voice Phishing Attack Tricks Unsuspecting Users
著者:Radhika Sarang