サイバー犯罪者がフィッシングキャンペーンを実行する方法から学べること

賢明で有能なIT管理者は、Webサイト、サーバー、その他のネットワークデバイスの保護を担当します。彼らは最新のツールとテクニックを使用しています。ただし、エンドユーザー、サポート担当者、秘書、その他の従業員の保護およびセキュリティトレーニングには、多くの要望があります。.

多数のレポートが示すように、フィッシングは、多くの場合、サイバー犯罪者がターゲットシステムにアクセスするための最も一般的なオプションです。この記事では、フィッシングで使用される特定の手法とツールについて詳しく説明し、企業が脅威をよりよく理解して対処できるように支援します.

最初から、またはフィッシングとは何かの定義から始めましょう。フィッシングは詐欺の一種であり、その目的は、ユーザー名、パスワード、PIN番号などの機密ユーザーデータへのアクセスを取得することです.

詐欺師はどのような方法を使用しますか？最も一般的な方法は次のとおりです。

• 悪意のあるリンクまたは添付ファイルを含む偽のメールを送信する。
• 偽のWebサイトの作成。
• ソーシャルネットワークおよびその他のコミュニケーション手段での偽の個人メッセージ。
• 「散乱」フラッシュドライブ（物理レベル）

フィッシング用のWebリソースを作成するプロセスを詳しく見てみましょう。このプロセスは最も頻繁に使用されるものの1つであり、他のサイバー攻撃の不可欠な要素です.

この記事では、フィッシングキャンペーンのアクションの順序と補助ツールについて説明します。.

こちらもご覧ください： 2023-2023年の50以上のフィッシング統計と事実

ドメインの選択

最初に、ハッカーは悪意のあるWebサービスまたはリソースがホストされるドメインを登録します.

• 一般的な手法には、視覚的に類似した文字の置換が含まれます。 -> l
• Punycodeを使用した文字の置換
• ランダムなドメイン名を登録しますが、admin.bankofindia.com.sample.comのような最初に表示されるターゲット名を持つサブドメインを使用します。ほとんどの場合、画面サイズのためにアドレスバーが切断されるモバイルクライアントには非常に効果的です。.
• 別のゾーンに正確に同じドメインを登録します（例：bankofindia.io）.
• bankofindia-blog.ioのような「オリジナル」のものを使用する.
• 説明されているメソッドのいくつかを実装する特別なソフトウェア（たとえば、「EvilURL」や「DomainFuzz」）を使用する.

会社のスタッフは常に ドメイン内の矛盾を再確認する ブラウザのURLバーとメールアドレスの@記号の後.

サイト名を選択した後、ハッカーはそれをIPアドレスにバインドし、追加機能を設定します.

ハッカーが一般的なホスティングサービスを使用することはよくあります。このサービスを使用すると、数回クリックするだけですべてを設定できる管理パネルにアクセスできます。たとえば、彼らはDigitalOceanで月に5米ドルでVPSをレンタルできます。.

次の手順は、SPF、DKIM、DMARCの構成です。

• SPF（Sender Policy Framework）は、特定のドメインへのメール送信を許可するサーバーのリストを表示するDNSテキストエントリです.
• 2）代わりに、DKIM（DomainKeys Identified Mail）は、メッセージのコンテンツが信頼できること、つまり、メッセージが最初のメールサーバーを離れた時点から変更されていないことを確認する方法と見なすべきです。この追加の信頼層は、標準の公開/秘密キー署名プロセスの実装によって実現されます.
• 3）DMARC（ドメインベースのメッセージ認証、レポーティング、およびコンフォーマンス）は、前述のツールについて使用する必要がある明確なポリシーを明記することでSPFおよびDKIMを強化し、メールメッセージ統計に関するレポートの送信に使用できるアドレスを設定できます特定のドメインに対して受信者によって収集された.

次に、電子メールを使用してフィッシングメッセージを送信する計画の場合、ドメインに関連付けられている電子メールアカウントを追加する必要があります。実際の送信業務はサードパーティのサービスに委任することができ、場合によっては役立ちます。たとえば、詐欺師は、SendGrid、Mandrill、GMail for Businessなどの正当なサービスを使用します。.

次のステップは、フィッシングドメインのSSL証明書を発行することです。これにより、ハッカーは偽のWebサイトでHTTPSを有効にできるため、被害者はより信頼できるようになります。. 過去には、HTTPSは通常、正当なWebサイトを示していましたが、それは常に当てはまるものではなく、会社のスタッフにこれを知らせる必要があります.

暗号化はこれに最適です。使用するWebサーバーに応じて、多くの展開スクリプトがあります。.

WebサイトでHTTPSを有効にするには、ハッカーは認証局（CA）から証明書（ファイルの一種）を取得する必要があります。 Let’s EncryptはCAです。 Let’s Encryptからウェブサイトのドメインの証明書を取得するには、ドメインの制御を示す必要があります。さらに、多くのホスティングプロバイダーがLet’s Encryptの無料の組み込みサポートを提供しています.

正当なWebページの偽のコピーを作成する

フィッシングは、正当なWebページと同一に見える偽のWebページに依存して、被害者をだましてパスワードなどの個人情報を入力させます。最初のオプションは、ブラウザを介して手動で、またはGNUgetWgetを使用して、本物のサイトをコピーすることです。リンクを変更し、スタイルと画像をコピーし、ユーザーがページで認証しようとしたときに送信されるリクエストを確認し、送信されたデータをコピーするスクリプトを作成する必要があります.

最後に、元のページへのオプションのリダイレクトを行う人もいます。このようなスクリプトの例はインターネット上にたくさんあります.

これに照らして、会社のスタッフは、 フィッシングWebサイトは本物のサイトと完全に同一に見える可能性があります なりすましであるため、サイトが正当であるかどうかを判断するのに見た目は良い方法ではありません.

2番目のオプションは、Social-Engineer Toolkitを使用することです。一般に、これは独自のWebサーバーを使用するため、最適なオプションではありません。フィッシングフレームワークのトピックには、GophishとKing Phisherが含まれます。

フィッシングメールを送信する

フィッシング詐欺師は、多くのメールアドレスを収集する必要があります。どこから？多くのオプションがあります：

• ターゲットWebサイトから。ソフトウェアとサービスには以下が含まれます：無料のオンライン電子メール抽出、電子メールカバ電子メール抽出、電子メールグラバー.
• DNSおよびWHOISデータから、MxToolbox、DNSdumpster.comなどのサービスを使用して
• シンプルなブルートフォース.
• LinkedIn、Facebookなどのソーシャルネットワークから.
• 専門の電子メールデータベース：Hunter、Toofr.
• 人気のある検索エンジンから.
• あらゆる種類のリークされたデータベースから（有効なパスワードと一緒にメールアドレスが送られる場合があります）：Snusbase、We Leak Info.
• Maltegoなどの特別なOSINTソフトウェア.

OSINT（オープンソースインテリジェンス）のトピックはこの記事の範囲外ですが、利用可能なサービス、アプローチ、ツールについて詳しく知ることができるリンクをいくつか紹介します：OSINT Framework、Awesome OSINT Good OSINT標的型フィッシング攻撃には大いに役立ちますが、人件費は非常に高く、低レベルの攻撃ではほとんど使用されません.

会社のスタッフ すべてのメールアドレスが公開されていると想定する必要があります 詐欺師を含む誰でもそれらを標的にすることができます.

フィッシングメールの作成

メールアドレスを収集したら、テストメールキャンペーンを実施します。詐欺師は通常、別のドメインを使用してそれを行います。テストキャンペーンは、典型的な企業の電子メールメッセージの外観、署名の外観、メッセージの一般的な形式、見出し、スパム対策ツール、使用したメールクライアントなどを理解するのに役立ちます.

ほとんどの企業は、従業員の氏名、役職、連絡先などを含む独自の署名デザインを使用します。ハッカーは、構造、視覚的なデザイン（色、フォント）などに注意してコピーするだけです。.

電子メールには、フィルタリングシステムが使用されているかどうかを理解したり、特定の電子メールクライアントまたはWebインターフェイスの詳細を提供したりするのに役立つヘッダーが含まれています.

スパムフィルターといえば、詐欺師は新しいメールを送信する前に、別のシステムでSpamAssassinを使用してメッセージをテストします。 SpamAssassinは、「スコア」-特定の電子メールがスパムである可能性の主観的評価を提供します。このスコアは、実際のメールを送信する前に編集して、スパムフィルターに巻き込まれないようにする機会です。.

については 件名 電子メールのうち、シンプルで一般的なものが使用されます。

• 書類に署名してください
• 調査
• 休日の勤務スケジュール

レターがHTML形式で、サードパーティのリソース（スタイル、画像）へのリンクがある場合、一部のメールクライアントはデフォルトでそのようなコンテンツをブロックしますが、ユーザーはロックを解除できます。ハッカーはソーシャルエンジニアリングのトリックを使用してユーザーにクリックさせます。たとえば、メッセージはユーザーにインフォグラフィックまたはクーポンを表示するように促す場合があります.

会社のスタッフは、これらの一般的なトリックに注意するように指示する必要があります 未承諾メールのリンクや添付ファイルをクリックしないでください.

詐欺師は、同じ会社内で複数の受信者（Ccヘッダー）を指定する場合があります。時々彼らは使用します Fwd または 再 件名行–これはすべて信頼を追加します.

こちらもご覧ください： 一般的なフィッシング詐欺

メールの添付ファイル

テキストの準備ができたら、添付ファイルに進む時間です。ハッカーは、被害者にメールを開かせることに関心があるだけではありません。また、マルウェアで受信者のデバイスに侵入したい場合があります。電子メールの添付ファイルは、そうするための主要な手段です.

詐欺師は通常何を送信しますか？基本的に, Microsoft Officeドキュメント、および場合によってはアーカイブ. 一般的な実行可能拡張子（.exe）の送信は、スパムフィルターによって停止されることがほぼ確実です。奇妙なことですが、企業は添付ファイル内のほぼすべての潜在的に危険なファイル拡張子をフィルタリングしますが、 RAR、ZIP、およびその他のアーカイブの通過を許可する.

オフィス文書の場合、次のオプションが使用されます。

• 公共の脆弱性に対するあらゆる種類のエクスプロイト。
• マクロ;
• 動的データ交換。
• OLE;
• HTAなどの一般的ではないファイル形式。時には、悪用や脆弱性を見つけることが可能です.

ハッカーがファイルを開こうとする試みを登録することにのみ興味がある場合、それを行うためのいくつかの方法があります。

• 外部ソースへのアクセス（有用なデータが漏洩する可能性がある場合があります）
• デジタル証明書で文書に署名する
• CRLまたはタイムスタンプサーバーとの連絡の監視.

再び, スタッフが迷惑メールの添付ファイルをクリックしないでください 特にMicrosoft Officeドキュメントと圧縮ファイルには注意してください.

ソーシャルネットワーク

ソーシャルネットワークやその他のコミュニケーション手段の場合、このアプローチは一般的なメールフィッシングと大差ありません。 Darknetフォーラムには、個人的な通信とチャットのコピーを含むダンプが含まれています。これらは、悪意のあるリンクまたはファイルを送信することにつながる被害者との信頼関係を形成することを目的としています.

会社のスタッフは、ソーシャルメディアや電子メールを介してターゲットを絞ることができることに注意する必要があります。.

物理メディア

ハッカーは、被害者を自分のデバイスに挿入するように誘惑するために、USBフラッシュドライブまたは他の物理メディアを置いたままにすることがあります。戦術はさまざまですが、通常、何らかの形で従業員とやり取りする機会があります。ほとんどの場合、詐欺師はラバーダッキーまたはAliExpressの安いレプリカを使用しています.

会社 ITスタッフは、オフィスで個人用USBデバイスの使用を許可しないポリシーを設定する必要があります.

フィッシングの影響

特にターゲットが会社の従業員である場合、ユーザーがたまたま詐欺師のフックにたどり着くと、物事が手に負えなくなる傾向があります。機密アクセス資格情報を取得した後、攻撃者は知的財産およびその他の専有企業資料を盗む可能性があります。さらに、内部通信を公開することで会社の評判を損なう可能性があります。最終的には、ブランドに対する顧客の信頼を損なうことになります。場合によっては、ハッカーは組織を脅迫し始めます。さらに、一部のシナリオでは、組織はHIPAAなどの規制に違反した場合に罰金を支払い、身元を保護できなかったためにスタッフまたは顧客に補償金を支払わなければならないため、直接的なコストに直面する場合があります.

犯罪者が銀行口座にアクセスすると、通常のユーザーはフィッシングでお金を失うリスクがあります。攻撃が成功すると、恐torの試みを支援することもできます。この場合、加害者は、被害者に関するいくつかの恥ずべき情報を開示しないために身代金を要求します。受信者のコンピューターにマルウェアをインストールすることは、悪意のあるユーザーの活動の別の可能性のあるベクトルです.

1日の終わりに、フィッシング攻撃は常に、企業ユーザーとホームユーザーの両方に悪影響をもたらします。安全を確保するために、上記の赤い旗に注意し、疑わしい電子メールを少し合理的な偏執狂で扱うようにしてください。フィッシングを回避するためのその他のヒントについては、こちらのガイドをご覧ください.

こちらもご覧ください： スピアフィッシングとは?