社会の急速なデジタル化が個人およびビジネスの関係を深く変革したことは秘密ではありません。 研究によると、2024年にはオンライン詐欺による経済的損失が101億レアルに達し、前年より17%増加しました。
しかしながら、この変革は、サイバー犯罪者にとっての攻撃面も拡大し、彼らはますますソーシャルエンジニアリングに依存して高度な詐欺スキームを実行しています。
最も一般的なものにはフィッシング、スミッシング、ビッシングがあり、これらは使用される方法は異なるものの、共通の目的を持っています。それは、被害者を騙して機密情報、特にアクセス資格情報を盗むことです。 伝統的には消費者に対する詐欺と関連付けられているこれらのソーシャルエンジニアリングの手法は、企業環境においても非常に効果的です。 詐欺師は企業を狙い、内部システムへのアクセスを得て、サプライチェーンを侵害し、大規模な金融詐欺を実行します。
フィッシング、スミッシング、ビッシングは同じ脅威ですか?
説明を始めるにあたり、「ソーシャルエンジニアリング」という用語は、詐欺師が被害者を感情的・社会的に操作し、自分の利益に反する行動を取らせ、彼らの安全を脅かす一連の技術を指すことを理解することが重要です。
フィッシングはこのタイプの詐欺で最もよく知られているものです。 メールフィッシングキットはダークウェブで見つかることがあります。 その分野の専門家でない詐欺師のために、代わりにサービスを実行する人もいます。 一般的に、それは銀行、小売業者、またはオンラインサービスなどの信頼できる機関を装ったメールやメッセージの送信を含みます。
目的は、受取人を騙して偽のリンクをクリックさせることで、元のサイトに非常に似た偽のサイトに誘導し、パスワードや身分証明書番号、クレジットカード情報などの機密情報を盗むことです。 Serproのデータによると、フィッシングはブラジルで最も頻繁に発生する詐欺の一種であり、犯罪者は人工知能(AI)やディープフェイクを活用して、より説得力があり個別化されたコンテンツを作成するために戦略を強化しています。 最近の事件は、深層フェイクを用いた動画を使って詐欺を行った犯罪グループに関与した男性の逮捕です。その動画には司会者のマルコス・ミオンの画像と声が操作されていました。
詐欺師は、ビジネスメール詐欺(BEC)や偽CEO詐欺などの詐欺も行っており、役員になりすましたメールを使って従業員に金銭を送金させたり、認証情報を提供させたりします。
一方、スミッシング(SMSとフィッシングの組み合わせ)は、テキストメッセージを利用して被害者を騙します。 WhatsAppやTelegramなどのメッセージングアプリの普及に伴い、この方法は勢いを増し、緊急または重要に見えるメッセージに迅速に応答する傾向を利用しています。
一方、ボイスフィッシング(音声フィッシング)は、詐欺師が企業や団体の代表者になりすまして電話をかけることで行われます。 説得力のあるトーンと、事前に漏洩したデータの使用を組み合わせることで、被害者は電話で機密情報を共有しやすくなる。 この種の詐欺は、特に大手企業を中心に、ますます多くのブラジル企業を襲っています。
古いアカウントは犯罪者にとって最も価値のある資産です
これらの詐欺の増加は、アカウントを基盤としたエコシステムが表す価値に直接関連しています。 古い信頼できるアカウントは、直接的な金銭の盗難よりも犯罪者にとって価値がある。 これは、正当な活動の履歴があるアカウントは、従来の詐欺検出システムによって自動的に検出される可能性が低いためです。
詐欺師はフィッシングやそのバリエーションを組み合わせてこれらのアカウントにアクセスします。これらのアカウントは、何年もの関係や取引履歴があり、その評判を裏付けるものです。 一度内部に入ると、犯罪者は購入履歴や行動パターンを調査し、場合によっては正当なアカウント所有者になりすましてカスタマーサービスとやり取りすることさえできる。
Nethoneのレポートによると、一部の詐欺師はサポート担当者と関係を築き、騙してアカウントの変更をさせることで、詐欺の実行を容易にする—これをアカウント乗っ取り(アカウントテイクオーバー)と呼びます。 この種の攻撃は、直接的な経済的損失を引き起こすだけでなく、デジタルプラットフォームやサービスへの信頼も損ないます。
人工知能と自動化が詐欺に与える影響
歴史的に、ソーシャルエンジニアリングのキャンペーンは計画、時間、そしてある程度の手動による個別化を必要としました。 しかし、大規模な生成モデル(LLMs)の採用により、この状況は完全に変わりました。
今日、生成型AIを基盤とした自動化ツールを使って、犯罪者は数分でフィッシングキャンペーンを作成・展開できる。 よく書かれた文章は、以前は流暢さや時間を要したものでしたが、今では高度な洗練度を持って自動的に生成されるようになっています。 その結果、これらの攻撃の量と頻度は著しく増加しました。
この成長は、不正キャンペーンの範囲拡大だけでなく、AIと自動化に基づく新しい技術の効率性も反映しています。
フィッシング、スミッシング、ビッシングが個々の消費者だけのリスクだと思っている人は間違っています。 企業もこれらの詐欺の頻繁な被害者であり、特に企業の資格情報がダークウェブに漏洩した場合にそうです。 Nethoneの分析によると、詐欺師は従業員の漏洩したデータを入手し、内部システムや機密データベースへの特権アクセスを得ることができます。
そこから、微妙な動きをします。企業の購買や運営の行動を研究し、技術サポートや営業とのやり取りを行い、内部のプロセスを徐々に操作して、即座に疑いを持たれずに不正取引を行います。 この実践は、組織の安全性だけでなく、顧客やパートナーとの信頼関係も損なう。
これらの脅威からどうやって身を守るか?
フィッシング、スミッシング、ビッシングからの保護は、技術、プロセス、意識の組み合わせを含みます。
教育と啓発最初の防御線は常に人間です。 企業もユーザーも、スペルミス、メッセージの過度な緊急性、機密情報の要求、異常な通信チャネルなど、これらの詐欺の一般的な兆候を認識するよう教育される必要があります。
多要素認証(MFA):資格情報が漏洩しても、複数の認証層を使用することで不正アクセスが困難になります。
資格情報の監視:ダークウェブでの資格情報露出を監視するツールは、企業や個人が漏洩について迅速に警告を受けるために不可欠です。
AIを用いた不正検出システム犯罪者と同様に、企業も異常な行動パターンを検出するために人工知能を活用し、侵入や詐欺の試みを示す可能性を特定する必要があります。
信頼が貴重な通貨である時代において、資格情報を保護し、警戒態勢を維持することは、個人や企業のデジタルの完全性を守るために不可欠です。
