フィッシング攻撃を防ぐためにできること 2022

公開: 2022-12-04

この記事では、2022 年のフィッシング攻撃を防ぐためにできることについて説明します。

フィッシングを特定する方法と、それを阻止するためにビジネスで必要な対策をご覧ください。 フィッシングを回避する方法と、フィッシング メールの受信を停止する方法についてお読みください。

今日の企業にとって最大の脅威は、ウイルスやハッカーではなく、フィッシング攻撃です。 この記事では、フィッシング メールを見つけて阻止する方法を説明します。これにより、フィッシング メールがあなたのビジネスに損害を与えず、悪意のある人がそうするのを防ぐことができます。

質問させてください。フィッシングを見つけて阻止することに関して、あなたはどの程度認識し、積極的に取り組んでいますか? あなたの会社はサイバー攻撃からどのくらい安全だと思いますか?

目次

フィッシング攻撃の数

  • 今年は、米国の企業の 65% がフィッシングに成功しました。
  • 今年、フィッシング攻撃は、すべての中小企業 (SMB) の 84% を狙ったものでした。
  • SMB の 65% は、フィッシング メールのテストさえ行っていません。
  • サイバー攻撃またはデータ侵害から 6 か月が経過しても、中小企業の 60% は立ち直ることができず、廃業に至ります。
  • マルウェアは、電子メール攻撃の 86% でさえ使用されていません。
  • フィッシングは、すべてのデータ漏洩の 32% の原因です。
  • 中規模の企業の場合、フィッシング攻撃は 160 万ドルの損害をもたらすと予想されます。

専門家によると、状況は良くなる前に悪化するだろう. これは、COVID-19 パンデミック時の最近のフィッシング攻撃の増加によって示されています。

最近では、新しいビジネスを始めるのは簡単ですが、ほとんどの起業家は、スタートアップを攻撃者から保護するためのキャッシュ フローやセキュリティの知識を持っていません。

フィッシング攻撃は主に誰を標的にしていますか?

Phishing Attacks: What You Can Do To Prevent Phishing Attacks

画像クレジット: pexels

次のビジネス カテゴリは、詐欺師によって「食欲をそそる」と見なされるものの 1 つです。 セキュリティ対策の実施を優先する必要があります。

  • SaaS を使用している企業 (33,5%)
  • 金融会社 (19.4%)
  • ソーシャル ネットワーク (8.3%)
  • 決済サービスの利用者 (13.3%)
  • eコマース (6,2%)

攻撃のほとんどは中小企業を対象としています

大企業はより多くのお金と優れた製品を持っているため、ハッカーは大企業ほど中小企業を狙わないと人々は考えています。

実際、それは逆です。 中小企業は、資金が少なく、攻撃に対処する方法を知っている従業員が少ないため、攻撃される可能性が高くなります。 これにより、彼らは簡単にターゲットになります。 ハッカーは、フィッシング攻撃を使用して、セキュリティに費やすお金があまりない、またはまったくない小規模な企業の弱点を利用することがよくあります。

フィッシングによる損害は、ビジネスの収益に影響を与えます

フィッシングが収益を損なうことは間違いありません。 問題は、どのくらいのダメージを受けると思うかです。 この厄介なサイバー犯罪から身を守るために必要な手順を理解できるように、この質問に答える必要があります。

セキュリティ ソリューションがあまり優れていないか、まったく存在しない場合、多額の費用がかかる可能性があるサイバー犯罪や詐欺の被害者になることは間違いありません。 サイバー犯罪は通常、ウイルスやトロイの木馬に関連していますが、フィッシング詐欺は本当の危険です.

誰でも実行できるため、フィッシングは他の種類のマルウェアよりもはるかに恐ろしいものです。 サイバー犯罪者は、複雑なコードを記述したり、特別なツールを使用したりすることなく、フィッシング キャンペーンを開始できます。 また、実行するのも簡単で、追跡することはほとんど不可能です。

ほとんどの企業は、Windows を実行するコンピューターを使用しています。 これにより、これまで Windows は、Linux や macOS などの他のオペレーティング システムよりも簡単にターゲットにされてきました。 このため、Windows はマルウェアに対して特に脆弱であると人々は考えています。

OS がどれほど安全であると考えているかに依存しないことをお勧めします。 使用している OS に関係なく、十分な保護があり、まだ感染していないことを確認してください。

フィッシングはどのように行われますか?

フィッシングはサイバー犯罪の一種で、ターゲットがだまされて、銀行情報、クレジット カード番号、パスワード、身元に関する情報などの機密情報を提供されます。

犯罪者は実在の企業を装い、被害者について十分な情報を持っている場合、電話、テキスト メッセージ、電子メール、または 3 つすべてで被害者に連絡します。 被害者はだまされて、コンピューターにスパイウェア、ランサムウェア、またはマルウェアをインストールする悪いリンクをクリックさせられます。

他の種類のフィッシングでは、信頼できるソースから送信されたように見える偽の Web サイトまたはドキュメントを使用します。 たとえば、プロファイル情報、支払い情報、または個人情報を入力するオンライン バンキングのようなページである可能性があります。

盗まれたデータを利用すると、個人情報の盗難、アカウントの乗っ取り、金銭的損失につながる可能性があり、また、情報を第三者に販売するために使用される可能性もあります。

電子メール アドレスをすばやく検索すると、送信者が本物かどうかがわかりますが、このセキュリティ対策について知っている人は多くなく、すべての従業員がフィッシング メールを阻止するために知っておく必要があります。

フィッシングメールは通常どのように見えますか?

フィッシング攻撃の完璧な例は、大手銀行やクレジット カード会社から、データ侵害があり、すぐにアカウントを修正する必要がある、またはアカウントが凍結されることを知らせる緊急のメールを受け取ることです。

攻撃者は、あなたがその銀行または会社の銀行口座またはクレジット カードを持っていることに賭けています。

ほとんどの人は、緊急のメールを受け取ると怖がるので、メールの内容に従ってリンクをクリックするか、添付ファイルをダウンロードします。 これが終わりの始まりです。

被害者は、攻撃者が制御する偽の Web サイトにログイン情報を入力していることや、コンピューターにマルウェアをダウンロードしていることに気づきません。

一般に、フィッシングの試みには次の 4 種類があります。

  • 変更された URL : これらの URL は実際の会社の URL と同じように見えますが、1 文字抜けている場合があります。 そのため、リンクをクリックする前に注意して、それが本物であることを確認する必要があります。
  • 偽の電話や電子メール: 詐欺師は、会社を装って個人情報を要求する場合があります。 詐欺師と取引していないことを確認するまで、この情報を誰にも言わないでください。
  • 電子メールまたはリンクに埋め込まれたマルウェア:これは不正行為の一般的な方法です。 侵入者のトリックを避けるために、大ざっぱなリンクをクリックせず、認定されたプログラムのみを使用してください。
  • 偽の注文ページ ストアの注文ページを偽装することで、個人情報を漏らすように騙される可能性があります。
  • PayPal アカウントの一時停止泥棒が PayPal アカウントを通じてお金を盗んだ結果です。 偽のメール アドレスを使用して手紙を送信することがあります。 彼らは、あなたの銀行口座にいくらのお金があるか、その他の情報を知りたがっています。 手紙がおかしいと思ったら、返事をしないでください。 代わりに、実際の会社の代表者に電話してください。

企業向けフィッシング対策

できるだけ早く、フィッシング攻撃からビジネスを保護するために必要な措置を講じてください。 ビジネスで次の手順をまだ実行していない場合は、攻撃に対して脆弱である可能性があります。

それでも、フィッシング攻撃は常に自分自身を保護する最善の方法を回避しようとするため、IT プロフェッショナルまたは IT プロバイダーは常に最新の状態に保ち、セキュリティを強化および改善する必要があります。

ビジネスでフィッシングを阻止するためにできること、すべきことを見てみましょう。

1.フィッシングメールの検出

あなたの会社で働くすべての人は、フィッシング メールを見分ける方法を知っている必要があります。 実在の人物は、電子メールを見ることで識別できます。

たとえば、メールアドレス検索を使用すると、メールの送信元を見つけることができます。 ドメインがメッセージに記載されている名前と異なる場合は、フィッシングの試みであると確信できます。

フィッシング メールはターゲットの名前を使用せず、「大切なお客様へ」などの一般的な挨拶で始まる場合があります。 これは、メールが詐欺師からのものであることを示しています。

フィッシング メールは、本物のドメインを隠すか、元のドメイン (Google、Microsoft) のように見えるドメインを使用して、標的にそれが本物であると思わせる偽またはなりすましドメインも使用します。

2. 正社員向けサイバーセキュリティ研修

これらのオンラインの脅威について知っていて、フィッシングが発生したときに何をすべきかを知っていても、従業員は知らないかもしれません.

スタッフ全員がオンラインの安全性と衛生に関する基本的なトレーニングを受けて、どこから来たものであっても、すべてのメールの処理方法を教えてください (リンクをクリックしたり、添付ファイルをダウンロードしたりしないでください)。

小さな間違いでも多額の費用がかかる可能性があるため、セキュリティ ルールを厳密に守るには細心の注意を払う必要があります。 また、フィッシング攻撃に焦点を当てた定期的なサイバーセキュリティ訓練を実施できれば、スタッフはどのような状況でも何をすべきかを知ることができます.

人々のサイバーセキュリティに対する意識を常に高めます:

人気のある戦術の 1 つはセクストーションです。 人の感情を利用して身代金を送らせるため、これは異なります。 恐怖やパニックが 2 つの例です。 Cofense は、この分野でボットネットを発見しました。 今年の 6 月には 2 億のメールアドレスがありました。 すぐに、さらに 3 億 3000 万人になりました。 このため、人々に認識させることが重要です。 ビジネスを安全に保ちたい場合は、従業員に情報を提供し、トレーニングを受けさせる必要があります。

知識のある従業員に取って代わるテクノロジーはありません。

医療系大手企業を狙ったフィッシング攻撃。 しかし、人々が不審な手紙を受け取ったと言うと、セキュリティ センターは迅速に対応することができました。 19分で攻撃を止めた。

3.オペレーティングシステムとソフトウェアを最新の状態に保つ

一部のフィッシング攻撃では、古いソフトウェアやオペレーティング システムを使用してマルウェアを配信します。

会社のすべてのデバイスで最新バージョンのオペレーティング システムが実行されていること、およびすべてのソフトウェアにパッチが適用され、最新の状態であることを確認してください。 ハッカーは、メディア プレーヤー、PDF ビューア、およびビデオ会議プログラムをよく使用するため、最新の状態に保つ必要があります。

4. パスワード監査を実施する

オフィス全体のパスワード監査を行い、脆弱なパスワードや重複したパスワードをチェックして取り除きます。

各アカウントには強力なパスワードを使用し、他の場所では同じパスワードを使用しないでください。 これは適切なパスワード ポリシーの一部です。 攻撃者はたった 1 つのパスワードで侵入して損害を与える可能性があります。

パスワード マネージャーに投資し、プログラムが作成する強力なパスワードまたは 3 ~ 4 個のランダムな単語の文字列を全員が使用するようにします。

5. すべてのアカウントに多要素認証を適用する

すべてのオンライン アカウントで多要素認証がデフォルトでオンになっていることを確認します。 これにより、認証されたコードを持つデバイスなしでは攻撃者が回避できないセキュリティ層が追加されます。 物理認証デバイスまたはスマートフォンで動作するアプリを使用できます。

HTTPS に依存しないでください:

SSL はもはや安全のしるしではありません。 安全な接続を行うための一連のルールです。 人々は時間の経過とともに HTTP と HTTPS の違いを見分け、正しい証明書を持つサイトのみを訪問することを学びました。 しかし今日、詐欺師は暗号化プロトコルも使用しています。 年末までに、フィッシング サイトの 74% で TLS または SSL が使用されました。

6. 重要なコンポーネントを分離してバックアップする

会社のインフラストラクチャには、誰もがアクセスする必要のない重要な部分があります。

一部のパーツは、インターネット上にある必要さえありません。 インフラストラクチャの重要な部分を可能な限り分離しておくと役立ちます。 たとえば、一部のサーバーへのアクセスを制限し、システム全体をオフラインにしておくことができます。

ランサムウェア攻撃の場合、複数のバックアップを保持しておくと、システムを元に戻すのにも役立ちます.

7. リソースを PCI 準拠にする

これについて絶対的な確信を持つことが不可欠です。 制限はありますが、この手段により多くの詐欺を防ぐことができます。

8. 安全な接続を作成する

VPN を使用して、自宅や公共の場所で作業します。 これにより、情報が流出するのを防ぎ、あなたに危害を加えようとする人々からあなたを守ることができます。 VPN は、IP アドレスを変更できるソフトウェアです。 これで、インターネットを安全に使用できるようになりました。

9. Web アプリケーション ファイアウォールをインストールする

データ接続とサイト サーバーの間は、クラウド サービスです。 入ってくるすべてのトラフィックは、このポイントを通過します。 これにより、WAF は不要なトラフィックを追跡し、ハッキングの試みを阻止できます。

注意すべきその他の脅威

より一般的なフィッシング攻撃に加えて、ビジネス Web サイトは、増加している他の脅威から身を守る必要があります。 マルウェアの世界には多くの脅威がありますが、次の 2 つは特に知っておくことが重要です。 これらの脅威はまだかなり新しく、ほとんどの企業はそれらについて知らないため、十分に保護されていません。

1. 悪意のあるボット

悪意のあるボットの使用は、かなり新しい攻撃方法です。 これらのボットは自ら拡散し、特定のアクションやタスクを実行するように作られています。 まず、彼らはサイトをクロールします。 その過程で、セキュリティの穴が見つかります。 その後、情報はボット マスターに送信されるか、特定の処理に使用されます。

そのため、サイトのセキュリティが危険にさらされる可能性があります。 ほとんどの場合、サイバー犯罪者はこの種の攻撃を利用してお金を稼いでいます。 彼らはあなたの顧客を盗んで競合他社に売ることができます。あるいは、あなたを脅迫して一括払いと引き換えに誰にも言わないようにさせることもできます.

この種の攻撃には多くの種類があり、それらを停止または停止する唯一の方法はありません。 そのため、サイトを安全に保つことを専門とする技術専門家を別のスタッフとして配置することをお勧めします。 攻撃があった場合、彼は悪い行動に迅速に対応し、ダメージを制限することができます.

2. MySQL インジェクションによる Web サイトやプログラムへの攻撃

この攻撃の主な目的は、データベースに侵入することです。 詐欺師は、Web サイトまたは Web アプリのバックエンドの穴を探し、そこから悪意のあるコードを実行します。 2 番目の部分はリクエストの一部です。 これを行った後、詐欺師はターゲットのデータベースに侵入するだけでなく、それを完全に制御します.

ほとんどの場合、侵入するには次の 3 つの方法があります。

  • e コマースの Web サイトのエラー。
  • ユーザー コードのセキュリティ ホール。
  • サードパーティ モジュールのバグ。

この種の攻撃から確実に保護するには、SQL サーバーを注意深く監視する必要があります。 これにより、間違いをできるだけ早く見つけることができます。

クイックリンク:

  • フィッシングに引っかからないように
  • 最も一般的なリモート ワークのセキュリティ リスク: リモート ワークのセキュリティ リスクとヒント
  • LastPass レビュー: 機能と価格 (LastPass は信頼できますか?)
  • オンライン プライバシー: デジタル ID を保護する 5 つの方法

結論: 2022 年のフィッシング攻撃を防ぐためにできること

中小企業を経営しているからといって、大企業よりも攻撃対象領域が小さい、またはそれほど興味深いものではないという意味ではありません。 フィッシング攻撃は誰にでも起こる可能性があることを忘れないでください。また、自分や組織内の他の人には起こらないと思い込まないでください。

多くの詐欺師が、世界を席巻している現在のパンデミックを利用しています。 フィッシングの試みはなんと 350% も増加しており、同じ勢いで企業と人々の両方を攻撃しています。

サイバーセキュリティと盗難防止ツールへの投資、フィッシングやその他の種類のサイバー攻撃への対処方法に関する従業員のトレーニングを含む、積極的な保護計画を立てることが役立ちます。

積極的なセキュリティ対策を講じることで、攻撃を阻止し、侵害の可能性を減らすことができます。 セキュリティに今より多くのお金を投入することで、長期的にはお金と評判を節約できます。