社会の急速なデジタル化により、個人関係やビジネス関係が大きく変化したことは周知の事実です。調査によると、2024年にオンライン詐欺による経済的損失は101億ランドに達し、前年に比べて171億トン増加しました。
しかし、この変革により、高度な詐欺スキームを実行するためにソーシャル エンジニアリングへの依存度が高まるサイバー犯罪者の攻撃対象も広がりました。
最も一般的なものの中には、フィッシング、スミッシング、ビッシングの「慣行」があり、使用される方法は異なりますが、同じ目的を共有しています: 被害者をだまして機密情報、特に認証情報にアクセスする消費者に対する詐欺と伝統的に関連付けられていますが、これらの形式のソーシャル エンジニアリングは企業環境でも非常に効果的です。詐欺師は企業をターゲットにして内部システムにアクセスし、サプライチェーンを侵害し、大規模な金融詐欺を実行します。
フィッシング、スミッシング、ビッシングは同じ脅威ですか?
まず、ソーシャル エンジニアリングという用語は、詐欺師が被害者を感情的および社会的に操作し、被害者が自分の利益に反して行動し、安全を損なうようにするために使用される一連の技術を指すことを理解することが重要です。
フィッシングは、詐欺のこのタイプの最もよく知られているタイプです.eメールによるフィッシングキットは、ダークウェブ上で見つけることができます.主題の専門家ではないそれらの詐欺師のために、それらのためにサービスを実行する人々を含む通常、銀行、小売業者またはオンラインサービスなどの信頼できる機関を装った電子メールまたはメッセージを送信します。
目的は、パスワードや、文書番号やクレジットカードのデータなどの機密情報を取得するために、受信者をだまして、元の Web サイトと非常によく似た偽の Web サイトにつながる悪意のあるリンクをクリックさせることです。 Serpro データによると、フィッシングは依然としてブラジルで最も頻繁に行われる詐欺の 1 つであり、犯罪者は、より説得力のあるパーソナライズされたコンテンツを作成するために、人工知能 (AI) やディープフェイクの使用により戦略を改善しています。最近の事件は、ディープフェイクで操作されたビデオを、プレゼンターのマルコス・ミオンの画像と音声で適用した犯罪グループに参加したとして男性を逮捕した事件です。
詐欺師は、ビジネス電子メール侵害 (BEC) や偽 CEO 詐欺などの詐欺も実行し、電子メールは幹部を装って従業員をだまして送金や資格情報を提供させます。
一方、スミッシング (SMSとフィッシングの組み合わせ) は、テキストメッセージを使って被害者を欺く WhatsAppやTelegramなどのメッセージングアプリケーションの普及により、緊急または重要と思われるメッセージに迅速に対応する傾向を利用して、この方法が強化されました。
ビッシング(ボイスフィッシング)は、詐欺師が企業や機関の代表者になりすます電話によって行われます。説得力のある口調と、以前に漏洩で得られたデータの使用が組み合わさって、被害者が電話で機密情報を共有する可能性が高まります。この種の詐欺はブラジル企業、特に大企業をますます襲っています。
古いアカウントは犯罪者にとって最も貴重な資産です
これらの詐欺の成長は、アカウントベースのエコシステムが表す価値に直接関係しています。犯罪者にとって、直接のお金の盗難よりも、古く信頼できるアカウントの方が価値があります。これは、合法的な活動の履歴を持つアカウントは、従来の詐欺検出システムによって自動的に検出される可能性が低いためです。
詐欺師は、フィッシングとそのバリエーションを組み合わせて使用して、これらのアカウントにアクセスします。このアカウントには、長年の関係があり、評判を証明する取引が行われる可能性があります。犯罪者は、中に入ると、正当なアカウント所有者を装うことで、購入履歴や行動パターンを調査したり、場合によっては顧客サービスと対話したりすることもできます。
Nethoneのレポートで指摘されているように、一部の詐欺師はサポートエージェントとの関係を構築することさえあり、彼らをだましてアカウントを変更させ、クーデターの実行を容易にします (アカウント乗っ取り) この種の攻撃は直接的な経済的損失を引き起こすだけでなく、デジタルプラットフォームやサービスへの信頼を損なうことになります。
人工知能と自動化が詐欺に与える影響
歴史的に、ソーシャル エンジニアリング キャンペーンには計画、時間、およびある程度の手動カスタマイズが必要でした。しかし、生成言語モデル (LLM) の大規模な採用により、この状況は完全に変わりました。
今日、生成AIに基づく自動ツールを使用すると、犯罪者は数分でフィッシングキャンペーンを作成して開始できます かつては流暢さや起草に時間がかかった、よく書かれたテキストが高度に洗練されて自動的に生成され、その結果、これらの攻撃の量と頻度は驚くほど増加しました。
この成長は、不正キャンペーンの範囲が拡大しただけでなく、AI ベースの新しい技術や自動化の効率性も反映しています。
フィッシング、スミッシング、ビッシングが個人消費者に限定されたリスクであると誰が考えているかは間違いです。企業もこれらの詐欺の被害に遭うことが多く、特に企業の資格情報がダークウェブ上で公開されている場合、詐欺師は漏洩した従業員データを取得し、内部システムや機密データベースへの特権的なアクセスを取得する可能性があります。
そこから、彼らは微妙な動きをします: 彼らは会社の購入または操作行動を研究し、技術的または商業的サポートとの相互作用を生み出し、不正な取引を実行するために内部プロセスを徐々に操作し、即座に疑いを起こすことなく、この慣行は組織のセキュリティだけでなく、顧客やパートナーとの信頼関係も損なう。
どうすればこれらの脅威から身を守ることができますか?
フィッシング、スミッシング、ビッシングからの保護には、テクノロジー、プロセス、意識の組み合わせが必要です。
教育と意識: 企業とユーザーの両方が、スペルミス、メッセージの過度の緊急性、機密情報の要求、異常な通信チャネルなど、これらの詐欺の一般的な兆候を認識できるように教育される必要があります。
マルチファクタ認証 (MFA) : 認証情報が侵害された場合でも、複数の認証層を使用すると、不正アクセスが困難になります。
資格情報の監視: ダークウェブ上の資格情報の露出を監視するツールは、企業や個人が漏洩について迅速に警告を受けるために不可欠です。
AIベースの不正検出システム: 犯罪者と同様に、企業も侵入や詐欺の試みの可能性を示す異常な行動パターンを検出するために人工知能に頼る必要があります。
信頼が貴重な通貨である時代において、個人や企業のデジタル整合性を維持するには、資格情報を保護し、警戒態勢を維持することが不可欠です。
