導入
フィッシング(またはフィッシング、場合によっては詐欺) は、詐欺師が個人情報の盗難を目的として個人情報を取得するために使用する手法です。この手法は、被害者に銀行や行政機関などの信頼できる第三者と話していると信じ込ませることから構成されています。 — パスワード、クレジットカード番号、生年月日などの個人情報を抽出するため。ソーシャルエンジニアリング(情報セキュリティ)に基づいたコンピュータ攻撃の一種です。フィッシングは、電子メール、なりすまし Web サイト、またはその他の電子的手段を通じて行われる可能性があります。
用語
「フィッシング」は、フランス言語庁によって 2004 年 4 月に作成されたケベック州の新造語です。フランスでは、用語新学総合委員会が 2006 年に「フィルタージュ」を選択しました。
英語のフィッシングという用語は、フィッシングという単語の綴りが変化したものです。これは、 phreakingという用語と同じタイプの綴りのバリエーションです ( f はphに置き換えられます)。これは、AOL アカウントを盗もうとする「ハッカー」によって発明され、英語の表現「パスワード ハーベスティング フィッシング」に基づいて構築されたものと考えられます。攻撃者は、AOL チームのメンバーになりすまして、潜在的な被害者にインスタントメッセージを送信しました。このメッセージは、被害者に、たとえば「AOL アカウントを確認する」または「銀行情報を確認する」ためにパスワードを提示するよう求めました。被害者がパスワードを明らかにすると、攻撃者はそのアカウントにアクセスし、スパムの送信などの悪意のある目的に使用する可能性があります。
過去のフィッシング事例
フィッシング攻撃は、ほとんどの場合、銀行サイトなどの機密性の高いサイトに向けられます。現在、ソーシャル ネットワーキング サイトもこれらの攻撃のターゲットになっています。ソーシャル メディアのユーザー プロファイルにはプライベートな要素が多数含まれており、ハッカーがターゲットの人々の生活に侵入し、機密情報の回復に成功することを可能にします。
インターネット上のフィッシング
コンピュータ犯罪者は通常、フィッシングを利用して金銭を盗みます。最も一般的なターゲットは、オンライン バンキング サービスや、eBay やPaypalなどのオークション サイトです。フィッシング詐欺師は通常、多数の潜在的な被害者に電子メールを送信します。
通常、この方法で送信されるメッセージは、信頼できる会社から送信されたものであるかのように見え、受信者が警戒して行動を起こさないように文言が書かれています。よく使用されるアプローチの 1 つは、被害者に、問題が原因でアカウントが無効化されており、行動を起こさない限り再有効化できないことを伝えることです。次に、メッセージには、信頼できる企業の実際のサイトによく似たWeb ページにユーザーを誘導するハイパーリンクが表示されます。この欺瞞的なページに到達すると、ユーザーは機密情報の入力を求められ、その情報は犯罪者によって記録されます。
2007 年、これらのコンピュータ犯罪者は手法を変更し、中間者攻撃と呼ばれるハッキング手段を使用して、訪問したサイト上でインターネット ユーザーから提供された機密情報を収集しました。
フィッシングにはさまざまなバリエーションがあります。スピア フィッシングとセッション内フィッシングに注意してください。これらはそれぞれ、ターゲットを絞ったフィッシング (特にソーシャル ネットワークを使用したもの) とセッション フィッシング (ナビゲーション中のポップアップに基づくもの) です。
パレード
一部のブラウザでは、そこに表示されるアドレスの偽造を防ぐことができないため、 Web ブラウザのアドレス バーでWeb アドレスをチェックするだけでは、欺瞞を検出するのに十分ではない可能性があります。ただし、ブラウザーが提供する「ページのプロパティ」ダイアログボックスを使用して、偽のページの実際のアドレスを見つけることは可能です。
「確認」が必要なアカウントについて連絡を受けた人は、関係する会社と直接問題の解決を図るか、ブラウザにアドレスを手動で入力してWeb サイトにアクセスする必要があります。銀行会社が顧客のセキュリティ問題を解決するために電子メールを使用することは決してないことを知っておく必要があります。原則として、なりすましや悪用の疑いのあるメッセージは転送することをお勧めします (たとえば、フィッシングがsociete.comに関するものである場合、 [email protected]または[email protected]になります)。調査を開始します。
http:// [email protected] /など、「@」記号を含むアドレスを見つけた場合は特に注意する必要があります。このタイプのアドレスは、インターネット ユーザーをユーザー「 www.mabanque.com 」として「 members.unsite.com 」サーバーに接続しようとします。指定されたユーザーが実際にはサーバー上に存在しない場合でも、この問題が発生する可能性は十分にありますが、この方法では、アドレスの最初の部分 ( www.mabanque.com ) はまったく問題がないように見えます。同様に、一部の攻撃者は、タイプミスを含むサイト アドレスやサブドメインを使用します (例: http://www.mabanque.com.unsite.net/ )。
Safari、Firefox、Opera、 Internet Explorer 7などの最近のブラウザには、ユーザーに危険性を警告し、本当にそのような疑わしいアドレスを閲覧したいかどうかを尋ねるシステムが搭載されています。 Netscape 8 には、この種の危険なサイトのブラックリストを管理するテクノロジーも含まれています。
スパム フィルターは、ユーザーが受信するフィッシングの可能性のある電子メールの数を減らすことで、コンピューター犯罪者からユーザーを保護するのにも役立ちます。 Mozilla Thunderbird電子メール クライアントソフトウェアには、非常に強力なベイジアンフィルター(自己適応型スパム対策フィルター) が含まれています。
オンライン バンキングに関わる詐欺は、口座名義人のユーザー名とパスワードを入手することを目的としています。その後、詐欺師が銀行の Web サイトに接続し、自分の口座に送金することが可能になります。この種の詐欺を防ぐため、ほとんどのオンライン バンキング サイトでは、インターネット ユーザーが自分で送金の受取人口座を入力することを許可していません。通常、口座リストに受取人の口座を入力する権限を唯一残している銀行部門に電話する必要があります。 。電話での会話は多くの場合録音され、証拠として使用できます。
他の銀行は強化された識別を使用しており、ユーザーが保有する 64 個のキーの中からランダムに要求された正しい 8 桁のキーを指定しない場合、送金へのアクセスをロックします。キーが正しければ、インターネット ユーザーはオンライン転送を行うことができます。
フランスでは、インターネット ユーザーは、国家憲兵隊の監視部門と通信して、自分の (悪い) 経験を共有したり、法律に違反していると思われるサイトへのリンクを送信したりするよう求められています。
