ハッカーが毎日オンラインで個人情報や資金を盗もうとしているので、フィッシング対策がますます必要になっています。
Scam Snifferの最近のレポートによると、2月に約57,000人の被害者が暗号通貨フィッシング詐欺により約4,700万ドルの損失を被った。彼らは「ほとんどの被害者はなりすましのTwitterアカウントからのフィッシングコメントを通じてフィッシングサイトに誘い込まれた」と指摘した。
したがって、詐欺師の手に落ちないようにするには、フィッシングを見分け、自分自身とお金を守る方法を知っておく必要があります。この記事では、この点について詳しく説明します。
取引所への最新のハッカー攻撃
サイバーセキュリティ企業 Lookout は、CryptoChameleon と呼ばれる新しいフィッシングツールを公開したと発表しました。このツールは、携帯電話を介して Binance、Gemini、Coinbase などの一部の暗号通貨取引所や米国連邦通信委員会 (FCC) を狙った新しい戦術を示しています。攻撃者はシングルサインオン (SSO) ページのコピーを作成し、電子メールと音声通話を組み合わせてユーザーデータを取得することができます。
報告書では、CryptoChameleon が連邦通信委員会と Binance の従業員を攻撃したと指摘しています。さらに、Binance、Gemini、ShakePay などの取引所のユーザーも影響を受けました。CryptoChameleon は、Gmail、iCloud、Outlook、X などのサービスで、同社のサポート サービスを表す、正当に見える電話番号と Web サイトを使用しています。
ルックアウトは、被害者の一部と話をすることができ、電話とメッセージの組み合わせが被害者に手続きを完了させるために使われていたことを確認できたと報告した。
「あるシナリオでは、被害者は実在する企業のカスタマー サポート ラインを装った迷惑電話を受けました。電話の相手は脅威の犯人でしたが、その企業のサポート チームのメンバーのように話していました。」
ハッカーは、ユーザーのアカウントがハッキングされたが、アカウントの回復を手伝うとユーザーに通知しました。被害者との電話での会話中に、攻撃者はフィッシング ページにリダイレクトするメッセージを送信しました。
同社の分析により、100件を超えるフィッシング攻撃が成功し、フィッシング活動が継続していることが明らかになりました。そのほとんどはHostwinds、Hostinger、ロシアのRetnNetサーバー上で発生しています。被害者の大半は米国に所在しています。
フィッシングをどうやって見分ければいいのでしょうか?
フィッシングの主な目的は、ユーザーの機密情報を入手することです。
攻撃者は、Web サイトや取引所を装って、悪意のあるリンクを含む電子メールを送信することがよくあります。これには、セキュリティ警告、アカウントのハッキング、さまざまなアンケートなどがあります。詐欺師は通常、行動の緊急性を強調したり、参加に対して多額の報酬を提供して注目を集めたりします。
電子メールが詐欺であることを示す兆候:
メッセージにサブドメインやスペルミスのあるURLが使用されている
メッセージは恐怖や緊急感を植え付けるような書き方で書かれています。
メールでは、財務情報やパスワードなどの個人情報の確認を求められます。
メッセージは読み書きが下手で、スペルや文法の誤りが含まれています。
Binance、WhiteBIT、KuCoin などの企業では、フィッシング対策機能を使用してメールの信頼性を検証する追加の方法を使用する他の検証方法も使用されています。この機能を有効にすると、ユーザーは、メールがこれらの企業から送信されたことを示すカスタム コードを入力する必要があります。コードを保存すると、ユーザーが取引所から技術メールを受信するたびに、このコードが含まれます。
フィッシング詐欺を回避するには?
強力なパスワードを使用し、2 要素認証を有効にする: すべてのアカウントに強力で一意のパスワードを使用します。パスワードをすぐにアクセスできる場所に書き留めたり、他の人と共有したりしないでください。複雑なパスワードを保存および管理するには、1Password、LastPass、Dashlane などのパスワード マネージャーを使用することをお勧めします。セキュリティをさらに強化するには、すべてのアカウントで 2 要素認証を有効にします。これを行うには、Google Authenticator、Authy、2FAS などの 2FA アプリを携帯電話にインストールします。
更新通知を無視しないでください。セキュリティ パッチと更新は、主に現在のサイバー攻撃の手法に対処し、セキュリティのギャップを埋めるためにリリースされます。新しい脅威を回避するには、ソフトウェアが自動的に更新されるように設定してください。
情報を入力する前に、ウェブサイトのアドレスを確認してください。ページの URL は、ドメインと 1 文字だけ異なる場合が多く、大文字と小文字が異なる場合があります。たとえば、1-l、I-l (大文字の「i」と小文字の「l」) などです。また、HTTPS (横にロック アイコンが表示されます) のないウェブサイトでは、パスワードやログイン情報を入力することは推奨されません。HTTPS は接続を保護し、データを暗号化します。
疑わしいリンクはクリックしないでください。詐欺師は、何百万ドルもの賞金やプレゼントが当たるリンクを誘惑に使うことがよくあります。そのため、そのようなリンクはクリックせず、常に現在開催中の懸賞や企業イベントをすべて確認してください。
まとめ
フィッシング詐欺の手口とその兆候を理解することは、この種の詐欺と戦う上で最も重要なことです。
有害な攻撃を認識する方法と、攻撃者が使用する方法を知ることで、ユーザーは個人データをより適切に保護できます。また、上記の推奨事項に従うことで、盗難の可能性を減らすことができます。\