広義には、行動心理学に関するあらゆる種類の操作はソーシャルエンジニアリングと見なされることがあります。しかし、この概念は必ずしも犯罪または詐欺行為に関連しているわけではありません。実際、ソーシャルエンジニアリングは、社会科学、心理学、マーケティングなどのさまざまな文脈で広く使用され、研究されています。
サイバーセキュリティに関して言えば、ソーシャルエンジニアリングは裏の目的を持って行われ、人々を操作して悪い行動を取らせる一連の悪意のある活動を指します。これには、後に彼らや彼らの会社に対して使用される可能性のある個人情報や機密情報を明かすことが含まれます。アイデンティティ詐欺は、これらの攻撃の一般的な結果であり、多くの場合、重大な財務損失につながります。
ソーシャルエンジニアリングはしばしばサイバー脅威として提示されますが、この概念は長い間存在しており、この用語は通常、権威者やIT専門家のなりすましを伴う現実の詐欺スキームに関連しても使用されます。しかし、インターネットの登場により、ハッカーがより広範囲で操り攻撃を行うことが容易になり、残念ながら、これらの悪意のある活動も暗号通貨の文脈で発生しています。
どのように機能しますか?
あらゆる種類のソーシャルエンジニアリング技術は、人間の心理の弱点に依存しています。詐欺師は感情を利用して被害者を操り、騙します。人々の恐れ、欲望、好奇心、さらには他者を助けようとする意欲さえも、さまざまな方法で彼らに対して利用されます。悪意のあるソーシャルエンジニアリングの多くの種類の中で、フィッシングは確かに最も一般的でよく知られた例の一つです。
フィッシング
フィッシングメールは、全国銀行チェーンや信頼できるオンラインストア、メールプロバイダーなど、正当な企業からの通信を模倣することがよくあります。場合によっては、これらのクローンメールは、ユーザーのアカウントが更新する必要があるか、異常な活動を示しているため、個人情報を提供する必要があると警告します。恐れから、一部の人々はすぐにリンクをクリックし、必要なデータを提供するために偽のウェブサイトに移動します。この時点で、情報はハッカーの手に渡ります。
スケアウェア
ソーシャルエンジニアリング技術は、いわゆるスケアウェアを広めるためにも適用されます。名前が示すように、スケアウェアはユーザーを驚かせ、怖がらせることを目的としたマルウェアの一種です。通常、システムの感染を偽装する偽の警報を作成し、被害者を合法に見える詐欺ソフトウェアをインストールさせるか、システムに感染するウェブサイトにアクセスさせようとします。この技術は、ユーザーのシステムが侵害されることへの恐れに依存し、ウェブバナーやポップアップをクリックするように仕向けます。メッセージには通常、「あなたのシステムは感染しています。ここをクリックしてクリーンにしてください。」といった内容が書かれています。
ベイティング
ベイティングは、多くの注意不足のユーザーに問題を引き起こす別のソーシャルエンジニアリングの手法です。これは、欲望や好奇心に基づいて被害者を引き寄せるための餌を使用します。たとえば、詐欺師は音楽ファイル、ビデオ、または書籍など、無料で何かを提供するウェブサイトを作成することがあります。しかし、これらのファイルにアクセスするためには、ユーザーがアカウントを作成し、個人情報を提供する必要があります。場合によっては、ファイルが直接マルウェアに感染しており、被害者のコンピュータシステムに侵入して機密データを収集します。
ベイティングスキームは、USBメモリや外部ハードドライブを使用して現実の世界でも発生する可能性があります。詐欺師は公共の場所に感染したデバイスを故意に置いておくことがあり、好奇心を持ってそれを手に取った人がその内容を確認しようとすると、個人のコンピュータが感染してしまいます。
ソーシャルエンジニアリングと暗号通貨
貪欲な精神は金融市場において非常に危険であり、トレーダーや投資家をフィッシング攻撃、ポンジスキームやピラミッドスキーム、その他の詐欺の特に脆弱な対象にします。ブロックチェーン業界内では、暗号通貨が生み出す興奮が、相対的に短期間で多くの新参者を惹きつけます(特にブルマーケット中)。
多くの人々が暗号通貨の仕組みを完全には理解していないにもかかわらず、これらの市場が利益を生み出す可能性について耳にすることがよくあります。その結果、適切な調査を行わずに投資することになります。ソーシャルエンジニアリングは、特に初心者にとって懸念される問題であり、彼らはしばしば自分自身の貪欲や恐れによって罠にかかります。
一方では、短期間で迅速に利益を上げようとする欲望が新参者を偽のプレゼントやエアドロップの約束を追いかけさせることにつながります。他方では、プライベートファイルが侵害されることへの恐れが、ユーザーを身代金を支払うように仕向けることがあります。場合によっては、実際にランサムウェアの感染はなく、ユーザーはハッカーが作成した偽の警報やメッセージによって騙されることがあります。
ソーシャルエンジニアリング攻撃を防ぐ方法
先に述べたように、ソーシャルエンジニアリングの詐欺は人間の本性に訴えかけるために機能します。通常、恐れを動機として使用し、人々に自分自身(または自分のシステム)を偽の脅威から保護するために即座に行動するよう促します。攻撃はまた、人間の貪欲に依存し、被害者をさまざまな種類の投資詐欺に引き寄せます。したがって、オファーがあまりにも良すぎる場合、それはおそらく真実ではありません。
一部の詐欺師は洗練されていますが、他の攻撃者は目立つミスを犯します。一部のフィッシングメールやスケアウェアバナーは、しばしば文法ミスやスペルミスを含んでおり、文法やスペルに十分に注意を払わない人々に対してのみ効果的です - したがって、目を開いておいてください。
ソーシャルエンジニアリング攻撃の被害者にならないようにするために、以下のセキュリティ対策を考慮する必要があります。
自分自身、家族、友人を教育してください。悪意のあるソーシャルエンジニアリングの一般的なケースについて教え、主要な一般的なセキュリティ原則について知らせてください。
メールの添付ファイルやリンクには注意してください。未知のソースの広告やウェブサイトをクリックしないようにしましょう。
信頼できるアンチウイルスをインストールし、ソフトウェアアプリケーションやオペレーティングシステムを最新の状態に保ってください。
可能な限り多要素認証ソリューションを利用して、メールの資格情報やその他の個人データを保護してください。Binanceアカウントに二要素認証(2FA)を設定してください。
企業向け: 従業員がフィッシング攻撃やソーシャルエンジニアリングの手口を特定し、防止するための準備を考慮してください。
最後の考え
サイバー犯罪者は常にユーザーを欺く新しい方法を探しており、資金や機密情報を盗むことを目的としています。したがって、自分自身と周囲の人々を教育することが非常に重要です。インターネットはこれらのタイプの詐欺の避難所を提供し、特に暗号通貨の分野で頻繁に発生しています。慎重に行動し、ソーシャルエンジニアリングの罠に陥らないように警戒してください。
さらに、暗号通貨の取引または投資を決定した人は、事前に研究を行い、市場とブロックチェーン技術の仕組みを十分に理解していることを確認するべきです。
