音声とフィッシングのかばん語であるビッシング攻撃は、電話で行われ、心理学を利用して被害者を騙して機密情報を渡させたり、攻撃者に代わって何らかの行動を起こさせたりするため、 ソーシャルエンジニアリング攻撃の一種と見なされています。
一般的な戦術の 1 つは、権限の使用です。 たとえば、攻撃者はIRSのふりをして、未払いの税金を徴収するために電話をかけている可能性があります。 逮捕の恐怖から、被害者は攻撃者に言われたことを実行させてしまうことがあります。 また、この種の攻撃では、ギフトカードによる支払いが一般的で、 2020年には米国だけで1億2,400万ドルの被害が発生しています。
ビッシングと フィッシング はどちらもソーシャルエンジニアリング攻撃の一種であり、同じ戦術の多くを使用しますが、主な違いは攻撃の実行に使用される媒体です。
前述したように、ビッシングは電話を使用して攻撃を実行します。 攻撃者は被害者に電話をかけたり、被害者を騙して電話をかけさせたり、言葉で騙して何かをさせようとします。 一方、フィッシング詐欺師は、電子的なテキストベースの通信形式を使用して攻撃を実行します。 電子メールは最も一般的でよく知られているフィッシングメディアですが、攻撃者はテキストメッセージ(スミッシングと呼ばれる)、企業コミュニケーションアプリ(Slack、Microsoft Teamsなど)、メッセージングアプリ(Telegram、Signal、WhatsAppなど)、またはソーシャルメディア(Facebook、Instagramなど)を使用して攻撃を実行することもできます。
ビッシング攻撃は、フィッシング攻撃と同じくらい多様です。 ビッシングで使用される最も一般的な口実には、次のようなものがあります。
他のソーシャルエンジニアリング攻撃と同様に、ユーザーの認識は防止と保護に不可欠です。 サイバーセキュリティ意識向上トレーニングに含めるべき重要なポイントは次のとおりです。
フィッシング攻撃と同様に、トレーニングベースのビッシング防止は不完全です。 攻撃がすり抜ける可能性は常にあります。 しかし、 フィッシングとは異なり、ビッシングはテクノロジーを使用して防ぐことは困難です。 ビッシングは電話で行われるため、潜在的な攻撃を検出するには、すべての通話を盗聴し、警告サインを監視する必要があります。
このため、組織は多層防御を実装し、攻撃者の目的に焦点を当てることで、ビッシング攻撃に対処する必要があります。 企業の文脈では、ビッシング攻撃は、従業員のシステムをマルウェアに感染させたり、攻撃者に機密性の高い企業データへのアクセスを提供したりするために設計されている場合があります。 ビッシング攻撃の影響は、最初の攻撃ベクトル(ビッシングの電話など)が検出できない場合でも、攻撃者がこれらの目標を達成できないようにするソリューションを導入することで軽減できます。
チェック・ポイントは、組織がビッシング、フィッシング、その他の関連攻撃を軽減するのに役立つさまざまなソリューションを提供しています。 チェック・ポイントの Harmony Email and Office には アンチフィッシング 保護機能が搭載されており、ビッシング攻撃に触発されたデータ流出の試みを検出するのに役立ちます。 チェック・ポイントがソーシャル・エンジニアリングの脅威から組織を保護する方法の詳細については、 今すぐ無料デモをリクエストしてください。