ビッシングとは何ですか? ボイスフィッシング詐欺とテクニックを暴く

公開: 2023-10-12
ビッシング攻撃の説明

ビッシングは、音声通信とフィッシング戦術を巧妙に組み合わせたもので、詐欺師が驚くほど洗練されて手法を洗練させているため、手ごわい挑戦となっています。 この記事では、そのメカニズム、使用される心理的操作、認識と防止のための重要な戦略を詳しく掘り下げ、音声ベースのサイバー詐欺の危険な海を乗り越えるための知識を個人に提供します。

ビッシングとは何ですか?

ビッシング (ボイス フィッシング) は、ソーシャル エンジニアリング攻撃の一種で、攻撃者が電話や音声メッセージを使用して個人を騙し、パスワード、クレジット カードの詳細、社会保障番号などの機密情報を漏洩させます。 音声通信を信頼する人間の傾向を利用して、犯罪者は誤った緊迫感や恐怖感を生み出し、発信者の身元を確認せずに被害者に行動を起こさせます。

人々がテキストメッセージを好む傾向が続く中、ビッシングの認識とそれに対抗することを教育し、電話が時には非日常的な時代に安全なコミュニケーション環境を確保することが最も重要になっています。 テキストメッセージの利便性と音声ベースの脅威の認識のバランスを取ることは、安全で優先されるコミュニケーション チャネルを促進するために不可欠です。

フィッシング、スミッシング、ビッシングの状況を乗り切る

1990 年代に生まれた「フィッシング」という用語は、詐欺師がデジタル世界で被害者を欺くための「おとり」として使用する戦術を表していました。 この用語は現在も残っており、個人をだまして欺瞞的な罠の餌食にするソーシャル エンジニアリングを伴う詐欺を指します。

サイバー犯罪の進行に伴い、「スミッシング」や「ビッシング」などの新しい用語が登場し、より広範なフィッシングのカテゴリーに分類されます。 スミッシング攻撃では、詐欺師が SMS を送信し、受信者に悪意のあるリンクをクリックさせるか、テキスト交換を通じて個人情報を共有させることを目的としています。

一方、ビッシングでは、攻撃のある段階で音声通信が組み込まれています。 最初のメッセージの目的は、被害者となる可能性のあるユーザーをそそのかして番号にダイヤルさせることで、攻撃者が欺瞞を続けるか、連絡先の番号の所有権を確認できるようにすることです。

ビッシングはどのように機能しますか?

Vishing 攻撃は、単にランダムな番号をダイヤルするだけでは成功しない複雑な操作です。 以下で、Vishing 攻撃の 4 段階の詳細な過程を詳しく見てみましょう。

ビッシング攻撃の仕組みのインフォグラフィック

フェーズ 1: 調査

攻撃は、攻撃者がターゲットを徹底的に調査することから始まります。 この段階では、連絡先の詳細を共有しようとする潜在的な被害者からの応答を期待して、フィッシングメールを配布する可能性があります。 高度なソフトウェアを使用することで、被害者の市外局番を共有する番号を利用して、多数の人に電話をかけることができます。

フェーズ 2: 通話の実行

被害者が以前のフィッシングメールに騙されたとしても、着信に対してはそれほど疑念を持たない可能性があります。 ビッシング戦術の狡猾さによっては、被害者が電話を待っている可能性があり、ハッカーにとっては攻撃が容易になります。 攻撃者は、市外局番からの電話が応答される可能性を利用します。

フェーズ 3: 説得

接触を確立すると、脅威アクターの目的は、被害者が本来持つ信頼、恐怖、貪欲、利他主義といった本能を操作することに移ります。 これらのソーシャル エンジニアリング手法を組み合わせて使用​​して、被害者を安心させ、次のように説得する可能性があります。

  • 銀行口座とクレジットカードの詳細を開示する

  • メールアドレスを共有する

  • 資金の移動

  • 仕事関連の機密文書を転送する

  • 雇用主に関する情報を明らかにする

フェーズ 4: 集大成

楽しい旅はここで終わりません。 悪意のある攻撃者は、入手した情報を武器に、さらなる犯罪を犯す準備を整えています。 彼らは被害者の銀行資産を枯渇させ、身元を偽り、不正な取引を実行する可能性があります。 さらに、被害者の電子メールを利用して同僚をだまして組織の機密情報を公開させる可能性もあります。

ビッシング方法

ヴィッシャーは、欺瞞的な目的を達成するためにさまざまな戦術を使用します。 一般的な方法には次のようなものがあります。

  • 発信者 ID のスプーフィング: 攻撃者は発信者 ID を操作して、銀行や政府機関などの信頼できる機関からの電話であるかのように見せかけます。

  • プレテキスト: 攻撃者は、ターゲットから情報を抽出するために、捏造されたシナリオまたは口実を作成します。

  • IVR フィッシング: 自動音声自動応答 (IVR) システムは、正規の企業を模倣して機密データを取得します。

よくあるビッシングの例

こうした詐欺はますます巧妙化しているため、一般的なパターンやシナリオを認識することが重要です。 さまざまな悪質な例を詳しく説明する前に、一歩先を行って情報を保護できるように、最も一般的な戦術のいくつかを理解しましょう。

IRS詐欺

電話をかけてきた人は IRS 職員になりすまして、被害者には税金の支払い義務があり、すぐに支払わなければ逮捕されると主張し、通常はギフトカードや電信送金による支払いを要求します。 この亜種には、税務申告書の矛盾を主張し、法的措置をとると脅す自動メッセージと、IRS への連絡を装った発信者 ID のなりすましが含まれることがよくあります。 このような申し立てを IRS に直接確認し、詐欺師との関わりを避けることが重要です。

テクニカルサポート詐欺

詐欺師は評判の高い企業の技術サポートエージェントを装い、被害者のコンピュータにウイルスが感染していると主張します。 存在しない問題を解決するために、リモート アクセスまたは支払いを要求します。

銀行詐欺の警告

詐欺師は被害者の銀行を装い、自分の口座に不審な行為があると主張します。 彼らは、被害者の身元を「確認」し、アカウントを「保護」するために、アカウントの詳細と PIN を要求します。 従うのではなく、会話を終了し、公式ウェブサイトの連絡先情報を使用して銀行に直接連絡することをお勧めします。

宝くじや懸賞詐欺

被害者には、賞品や宝くじに当選したが、報酬を受け取るには税金や手数料を前払いする必要があるという内容の電話が届きます。 このような戦術の餌食にならないようにするには、警戒と検証が鍵となります。

社会保障詐欺

電話をかけてきた人は社会保障局から来たと主張し、被害者の SSN が不審な行為により停止されたと述べ、問題を解決するために個人情報を要求します。 注目すべきことに、連邦取引委員会は、高齢者をターゲットにした詐欺師が使用する主な手段として電話を特定しています。

医療警報/保険詐欺

詐欺師は、特に高齢者をターゲットに、無料の医療警報システムを提供したり、健康保険の担当者になりすまして被害者から個人情報や財務情報を抜き取ったりします。

祖父母詐欺

電話の発信者は、緊急の経済的援助を必要として苦しんでいる孫のふりをし、祖父母に他の家族には言わないよう頼んだ。

公共料金詐欺

電力会社の代表者になりすました詐欺師は、直ちに支払いが行われない限り被害者のサービスは切断されると主張します。

政府補助金詐欺

被害者は、政府の補助金を受け取るために選ばれたため、資金を受け取るには手数料を支払うか、銀行口座の詳細を提供する必要があると言われる。

債権回収詐欺

電話をかけてきた人は借金取りを装い、被害者が実際には負っていない借金を支払わなければ法的措置をとると脅迫します。 合法的な貸し手や投資家はこのようなやり方で行動したり、予期せぬ接触を開始したりすることはないため、懐疑的であり続けることが重要です。

ビッシング攻撃を認識する

ビッシング攻撃を認識する方法

ビッシングを認識することは、そのような欺瞞的な行為の犠牲者から身を守る上で極めて重要です。 注意すべき重要な点の 1 つは、通話中の音声です。 通話の音質が悪く、プロの設定にそぐわない背景ノイズが発生する可能性があります。

さらに、ビッシング攻撃は、次のような明らかな兆候を示すことがよくあります。

  • 緊急性: 発信者は即時行動を要求し、被害者に急いで情報を共有するよう圧力をかけます。

  • 機密情報の要求: 正当な組織が電話で個人データを要求することはほとんどありません。

  • 不明な発信​​者: 不明な番号または予期しない番号からの電話を受けることは危険信号である可能性があります。

ビッシングを防ぐ方法

ビッシングを防御するには、多面的なアプローチが必要です。 被害者にならないようにするには、次の予防措置を必ず遵守してください。

機密情報を保護する

電話で機密情報を確認したり漏らしたりしないでください。 本物の銀行や政府機関が電話を通じて個人情報を要求することは決してないことを覚えておいてください。

注意してください

電話をかけてきた人の言葉遣いや態度を注意深く観察します。 個人情報の漏洩には常に注意し、通話中に行われる脅迫や緊急の要求には注意してください。

通話をスクリーニングする

知らない番号から電話がかかってきた場合は、ボイスメールに流すほうが安全です。 発信者 ID は操作される可能性があるため、折り返し電話するかどうかを決定する前に、メッセージを聞いて発信者の身元を確認してください。

共有される情報を制限する

答える場合は、自分自身、職場、所在地に関する詳細を明かさないようにしてください。

問い合わせて確認する

電話をかけてきた人が製品のマーケティングや特典の提供を目的としている場合は、身元と所属の証明を要求します。 自分の情報を共有する前に、提供された情報を確認してください。 相手が応じることを躊躇する場合は、通話を終了します。

Do Not Call レジストリに登録する

あなたの電話番号を Do Not Call Registry に登録すると、電話勧誘業者が阻止され、正規の会社は通常このリストを尊重するため、そのような組織からの電話はすべて不審なものになります。

公式リクエストには注意してください

正当な上司や人事担当者は、個人的なチャネルを通じて送金、機密データ、文書の提出を要求しないことに注意してください。

不審な通信を無視する

電話番号を要求する電子メールやソーシャル メディア メッセージには返信しないでください。 このような通信は標的型攻撃の前兆となる可能性があります。 不審なメッセージがある場合は、IT チームまたはサポート チームに報告してください。

自分自身を教育する

積極的に情報を探し、意識向上プログラムに参加し、オンライン リソースを使用して、最新の脅威と保護策をよく知ってください。

SMS マーケティングを採用している企業は、潜在的な詐欺の認識と対応に関する情報を提供し、正当なコミュニケーションと欺瞞的な戦術の違いを強調することで、消費者にビッシングについて教育する役割を果たすことができます。

被害に遭った場合、どのような措置をとるべきですか?

知らずに詐欺師の疑いのある人物に銀行口座の詳細を共有してしまった場合は、直ちに行動を起こすことが重要です。

銀行、クレジット カード会社、金融機関、または関連するメディケア担当者にお問い合わせください。 不審な取引を停止し、さらなる不正請求を防ぐ可能性について問い合わせてください。 セキュリティを強化し、不正アクセスを防ぐために、アカウント番号を変更することを検討してください。

その後、連邦取引委員会または FBI のインターネット犯罪苦情センターに苦情を申し立て、適切な措置を講じてください。

結論

ビッシングは欺瞞的で有害な可能性がありますが、警戒、教育、テクノロジーの賢明な使用によって効果的に軽減できます。 常に情報を入手し、注意を払うことで、個人や組織はビッシャーの試みを阻止し、機密情報のセキュリティを確保することができます。