フィッシング詐欺に関するメディアの警告にもかかわらず、何百万人もの消費者が、正規のサイトとほとんど同じように見える偽の Web サイトに誘導する欺瞞的な電子メールやテキスト メッセージの餌食になり続けています。被害者は、信頼しているブランドから送信された緊急メッセージ(アカウントの問題)や魅力的なメッセージ(クーポンや特典)をクリックする可能性が最も高くなります。ログインした瞬間に、攻撃者はユーザー名とパスワードを盗み、場合によってはマルウェアをインストールします。
次に何が起こるかは皆知っています。詐欺師は単にログインして顧客のアカウントを乗っ取り、不正な取引を実行し、個人データを盗んでダークウェブで販売します。多くの場合、攻撃者は後でクレデンシャル スタッフィング攻撃を実行し、Web 上の他のサイトで同じクレデンシャルをテストします。
Verizon のデータ侵害インシデントレポートによると、2022 年の全データ侵害の 36% にフィッシングが関与していました。現在、攻撃者は毎日推定 34 億通のフィッシング メールを送信しています。フィッシングが依然として人気がある理由は、実行が簡単で、防止が難しいためです。IBMによると、2022年にフィッシングによって引き起こされた侵害を特定して封じ込めるまでに平均295日かかりました。これにより、詐欺師は実際に損害を与えるのに十分な時間を確保できます。
損害を防ぐ鍵は、顧客がクリックするよりも早く迅速に検出することです。Transmit Security では、フィッシング関連の侵害が始まる前に阻止する方法をいくつか開発しました。このブログでは、フィッシング Web サイトがどのように作成されるか、また、フィッシング キャンペーンで会社のサイトが偽装された場合に Transmit Security が顧客を保護するために何を行うかについて説明します。
フィッシング:新たな手口
フィッシング攻撃は単純に聞こえるかもしれませんが、ますます巧妙化しています。ニュースの見出しを飾る代表的な例は、多要素認証 (MFA) を回避するために作成された、サブスクリプションベース (月額 400 ドル) のフィッシング サービス ツールである EvilProxyです。ユーザーが EvilProxy フィッシング ページをクリックすると、ログイン ページがリバース プロキシされ、ユーザーが期待する UI とブランドが反映されます。被害者がログインすると、このツールはトラフィックをプロキシ経由で転送します。そうすることで、詐欺師は認証トークンを含むセッション Cookie を傍受し、MFA を回避してログインし、正当な顧客であるように見せかけます。
その他のフィッシング ツールキットを使用すると、攻撃者は、事前に作成されたログイン フォームやスクリプトなどのコード、テンプレート、リソースを含む事前にパッケージ化されたファイル セットを使用して、偽装サイトをすばやく簡単に作成できます。より知識のある被害者を騙すために、ハッカーは SSL 証明書を取得して HTTPS 暗号化を有効にし、サイトが悪意のあるものであるにもかかわらず、安全な接続であるかのような錯覚を作り出すこともあります。
典型的なフィッシングサイトの作成方法
ここまで、高度なフィッシング手法をいくつか説明してきましたが、基本に戻りましょう。知らない被害者を騙すのに十分な偽装フィッシング サイトを作成するには、次のような多くの手順が必要です。
- ターゲットの選択: 悪意のある行為者は通常、非常に大規模なユーザーベースを持つ可能性のある有名なブランドを選択します。人気のあるウェブサイト、銀行、ソーシャル メディア プラットフォーム、電子メール プロバイダーなどが一般的なターゲットです。
- ドメインのなりすまし: ハッカーは、スペルミス、ハイフン、または .net や .ai などの代替トップレベル ドメインなどのバリエーションを使用して、正規のドメインに似ているドメインを登録します。一見すると、URL は本物のように見えます。
- 偽装サイトのホスティング: フィッシング サイトをホストするために、侵害された Web サイト、無料のホスティング サービス、または独自のサーバーを使用して偽のサイトをホストする場合があります。
- ターゲット Web サイトのコピー: ハッカーは、ビジュアル デザインとブランド要素を複製して、正規のサイトとほぼ同じように見せます。「リバースエンジニアリング」または「クローニング」と呼ばれる手法を使用して、実際の Web サイトのスクリプトをコピーし、UI とインタラクティブ機能を再現します。これらのスクリプトの一部には、デバイス認識システム ソフトウェア開発キット (DRS SDK) が含まれており、フィッシング サイトの正当性とセキュリティの外観がさらに強化されます。
DRS SDK は、ブラウザ設定、画面サイズ、オペレーティング システムなど、既知のデバイスの固有の特性に基づいて、Web サイトが顧客を識別および認証するのに役立ちます。これらのスクリプトを組み込むと、攻撃者は、たとえばデバイスのなりすましなどの戦術を使用して、デバイスの認識を回避しようとする可能性があります。ただし、これは裏目に出る可能性があり、それについては以下で説明します。
- リダイレクトの設定: ハッカーは、ユーザーを正規のサイトから偽装サイトにリダイレクトするフィッシング メールや悪意のあるリンクを送信する可能性があります。これには、URL 短縮サービスや、仲介として使用される侵害された Web サイトが含まれる場合があります。また、リダイレクト、つまりリファラー(下図参照)を使用して、被害者を偽装サイトから正規のサイトに戻し、たとえば被害者が自分の銀行口座の残高にアクセスできるようにします。彼らは何かがおかしいことに気づかないでしょう。
- キャンペーンの配布:攻撃者はさまざまな戦術を使用してフィッシング メールやテキスト メッセージを配布します。これには、大量のメール キャンペーン、ソーシャル メディアの投稿、侵害された Web サイトなどが含まれる場合があります。ソーシャルエンジニアリングの高度な技術を駆使して、メッセージでは緊急性や誘惑的な言葉を使用して、ユーザーを偽装サイトに誘い込みます。
- データの収集: 偽装された Web サイトは、1 つの重要な点で本物のサイトとは異なります。それは、資格情報を収集し、そのデータを正規の Web サイトではなく攻撃者にリダイレクトすることです。
フィッシングを根絶する方法
攻撃者がフィッシング サイトを作成するために実行するこれらの各手順は、デジタルの痕跡を残します。ドメイン、IP アドレス、DRS SDK、リダイレクト、配布方法、デバイス、動作はすべて手がかりとなります。Transmit Security Detection and Response Service は、これらの手がかりをリアルタイムで分析し、顧客が偽装された Web サイトをクリックした瞬間にフィッシング サイトや URL リダイレクトをブロックします。
検出と対応では、常に何百ものシグナルを分析して、あらゆる種類のアカウント乗っ取り (ATO) 詐欺を防止します。継続的なリスクと信頼性の評価では、機械学習と AI を活用した異常検出、高度な行動バイオメトリクス、プライバシー時代のデバイス フィンガープリンティング、レピュテーション サービス、および詐欺の手口と同じくらい急速に進化するその他の検出方法を活用します。最終結果: 顧客とブランドを保護する、正確かつ即時のフィッシング防止を実現します。
Transmit Security のフィッシング防止機能には以下が含まれます。
- 異常検出: URL を分析し、スペルミスやハイフンなどの微妙な違いを探すことで、検出と対応はドメインがなりすましであるかどうかを即座に認識します。Transmit Security は、会社のすべてのドメインとサブドメインを自動的に考慮するため、セキュリティ チームがこれを手動で構成する必要はありません。
- 評判サービス: ユーザーが Web サイトとやり取りすると、リファラーやリダイレクトなど、送信される各リクエストから多くの情報を得ることができます。IP レピュテーション サービスでは、検出と対応により、各 IP アドレスに不正行為に関連する既知の履歴があるかどうかがチェックされます。もしそうなら、それは詐欺である可能性が高く、リスクスコアに大きく影響します。同様に、既知のフィッシングドメインの Web レピュテーションもチェックされます。既知のフィッシング ドメインが多数存在し、着信トラフィックをフラグ付けしてブロックするために使用できます。
- デバイス フィンガープリンティング: ここで DRS SDK が役立ち、利点が得られます。当社のサービスは、ユーザーが不明なデバイスからサイトにアクセスしているかどうかを検出し、攻撃者がデバイス エミュレーターやデバイス スプーフィングを使用しているかどうかも判断できるため、検出を回避しようとする攻撃者の試みは Transmit Security では機能しません。フィンガープリントの不一致や、攻撃者がアカウント詐欺やフィッシングに使用したことがあるデバイスも検出します。
- 行動バイオメトリクス: Transmit Security は、各ユーザーの典型的な行動パターンの信頼できる顧客プロファイルを構築し、それに基づいて疑わしい行動を検出します。検出と対応は、アプリケーションまたは Web サイトにログインして操作するすべてのユーザーの行動を測定および分析します。つまり、たとえ別のサイトから盗まれたものであっても、詐欺師が盗んだ顧客の認証情報を使用しているかどうかを確認できるということです。行動分析には以下が含まれます。
- タイピングの速度と一貫性
- 特定の分野に費やした時間
- マウスの動きと加速
- 詐欺行為の可能性がある入力ミスや削除操作
- コピー&ペーストの使用
- フィッシング不可能な認証情報: Transmit Security 認証サービスは、クラス最高のパスワードレス MFA の提供に加えて、パスキーをサポートし、保護します。指紋または顔の生体認証を使用してログインする顧客は、パスワードを一切使用せずに、最も強力な形式の MFA を実現します。顧客の生体認証 (固有要素) によって秘密鍵 (所有要素) のロックが解除され、認証チャレンジに署名します。受信側では、公開鍵が一致しているかどうかを確認します。顧客の生体認証情報と秘密鍵はユーザーのデバイスから外に出ることはないため、フィッシングは不可能です。プライベートなデータが含まれない署名済みのチャレンジのみが Web 経由で送信されます。
パスワードレス ソリューションのすべてがパスワードを完全に排除するわけではありません。ほとんどのソリューションでは、顧客が登録、アカウントの回復、または新しいデバイスのバインドを行うためにパスワードを使用する必要があります。Transmit Security のパスワードレス MFA は、マルチデバイス サポートと真のオムニチャネル エクスペリエンスを提供する独自の機能です。Transmit Security を使用すると、顧客は一度登録するだけで、単一の統合された ID を使用してチャネルやデバイス間を移動できます。
Transmit Securityのフィッシング対策がユニークな理由
Transmit Security が他のフィッシング対策ソリューションよりも優れている理由はいくつかあります。
- 正確さ: AI、ML、マルチメソッド検出により検出精度が向上します。
- 誤検知と誤検知を90%削減
- デバイスのフィンガープリンティング精度を99.7%以上に向上
- 摩擦、CAPTCHA、MFAの課題を80%削減
- リスク、信頼、詐欺、ボット、行動に対する 1 つの統合ソリューションで複雑さとコストを削減
- 可視性と制御: 独自のブラック ボックス AI モデルに基づいて構築されたほとんどの不正防止ソリューションとは異なり、Transmit Security は生のテレメトリ データに対する完全な透明性を提供します。当社の新しい会話分析ツールは、生成 AI を活用して自然言語クエリを実行し、収集されたデータに基づいて実用的な洞察を提供します。セキュリティ チームは、必要に応じてアルゴリズムに影響を与えることもできます。
- 自動化: 顧客はドメイン異常検出を手動で構成する必要はありません。Transmit Security はドメインとサブドメインを自動的に追跡し、バリエーションを即座に検出します。
- 使いやすさと ROI : 管理、可視性、自動化が容易なので、間接費が削減され、総所有コスト (TCO) が最小限に抑えられます。
攻撃者がアカウントを乗っ取り、資産を流出させる前に、フィッシングを防止する必要があります。フィッシングが始まった瞬間にブロックするのがいかに簡単かをご覧ください>
