スミッシングとは?

スミッシングは、 フィッシング モバイルデバイスを標的とする攻撃。 スミッシャーは、フィッシングコンテンツを電子メールで送信する代わりに、SMSまたはMMSテキストメッセージを使用してメッセージを配信します。 リモートワークやBYOD(Bring Your Own Device)ポリシーにより、ビジネスでのモバイルデバイスの使用が一般的になるにつれて、スミッシングは企業のサイバーセキュリティに対する脅威が高まっています。

デモをリクエストする eBookを読む

スミッシングとは?

スミッシング攻撃の仕組み

フィッシングの一般的な概念は、電子メールがフィッシングコンテンツを配信するためのオリジナルかつ最も一般的なメディアの1つであったため、電子メールに焦点を当てています。 しかし、フィッシング詐欺師が目標を達成する方法はこれだけではありません。

モバイルデバイスの使用は急速に増加しており、これらのデバイスには、フィッシング詐欺師にとって非常に貴重な「常時接続」の精神が備わっています。 モバイルデバイスは複数の通信チャネル(電子メール、ソーシャルメディアなど)にアクセスできますが、テキストメッセージにはフィッシング詐欺師にとっていくつかの利点があります。

テキストメッセージには、電子メールと同じように悪意のあるリンクや添付ファイル(MMSの場合)が含まれている可能性があり、同じ手法を使用できます。 phishing emails.ただし、テキストメッセージには、長さが限られていることやブランドによる使用の増加など、電子メールに比べていくつかの利点があります。

例えば、SMSメッセージでは、リンク短縮サービスの利用が日常的に行われており、これらのサービスによってリンク先が事前に確認されることが困難になっています。 さらに、携帯電話では、ユーザーがリンクにカーソルを合わせてリンク先を表示することはできません。 これらの要因により、攻撃者にとってSMSを介したフィッシングはより簡単かつ効果的になります

スミッシング攻撃の例

従来の電子メールベースのフィッシング攻撃と同様に、スミッシング攻撃はさまざまな口実を使用して、受信者をだましてメッセージに埋め込まれたリンクをクリックさせます。 一般的な口実には、次のようなものがあります。

  • アカウントの問題: ブランドはカスタマーサービスにSMSメッセージを使用することが増えており、ユーザーは問題に関するテキストやアカウントに関する通知を受け取ることに慣れている可能性があります。 スミッシャーは、問題が存在すると主張し、アカウントの資格情報を盗む偽のリンクを受信者に指し示すテキストを送信する場合があります。
  • covid-19: 時事問題はフィッシング攻撃の口実としてよく見られますが、COVID-19のパンデミックはサイバー犯罪者に多くの機会を提供しました。 COVIDベースのスミッシング 不正、詐欺、不正行為は、「接触者追跡」のために個人情報を要求したり、フィッシングサイトにつながる刺激チェックや公共安全の更新に関する不正確な情報を提供したりすることがあります。
  • 金融サービス: スミッシャーは、金融サービス組織を装い、受取人に口座でのアクティビティの確認を求める場合があります。 ターゲットが応答した場合、スミッシャーは検証プロセスの一環として、ログイン資格情報やその他の個人情報を盗もうとする可能性があります。
  • MFAコード: SMSは多要素認証(MFA)に使用される最も一般的な方法の1つであるため、一部のスミッシング攻撃はこれらのコードを盗むように設計されています。 フィッシング詐欺師は、受信者にテキストメッセージで送信されたMFAコードを攻撃者に伝えることで、受信者に本人確認が必要であることを伝える可能性があります。 攻撃者は、ユーザーとしてログインしようとしてこのコードをトリガーし、受信者が正しいコードを提供するとアクセスを取得します。
  • 注文確認: スミッシング メッセージには、偽の注文の確認と、その注文を変更またはキャンセルするためのリンクが含まれている場合があります。 受信者がリンクをクリックすると、ログイン資格情報を盗む偽のサイトに誘導されます。

これらは、スミッシャーが攻撃に使用する最も一般的な口実の一部です。 リモートワークやBYODポリシーの台頭によりモバイルデバイスの利用が増加するにつれて、これらの攻撃はより一般的で巧妙になっています。

スミッシング攻撃から身を守る方法

スミッシング攻撃は、異なる媒体で実行されるフィッシング攻撃にすぎないため、次のような同じベストプラクティスの多くが当てはまります。

  • リンクをクリックしないでください。 テキストメッセージ内のリンクは、リンクが短くなったり、リンクにカーソルを合わせてターゲットを表示できないため、確認が困難です。 テキストメッセージ内のリンクをクリックする代わりに、ターゲットサイトに直接アクセスします。
  • データを提供しない: スミッシング攻撃は、通常、身元の確認やその他の口実を装って、ターゲットから機密データを盗むように設計されています。 ウェブサイトに記載されている番号を介して電話またはテキストメッセージを送信していない人に個人データを提供しないでください。
  • Amazonアプリストアからアプリをインストールします。 スミッシング攻撃は、受信者を騙してモバイルデバイスに悪意のあるアプリをインストールさせるように設計されている可能性があります。 アプリは常に信頼できるアプリストアからインストールし、理想的には作成者のWebサイトで信頼性を確認した後にインストールしてください。

MFA コードを共有しない: テキストメッセージは、オンラインアカウントのMFAコードを送信するために一般的に使用され、詐欺師はユーザーの身元を確認するためにMFAコードを送信したふりをすることがあります。 MFA コードは誰にも提供しないでください。

チェック・ポイントによるスミッシング攻撃対策

リモートワークモデルやハイブリッドワークモデルの台頭、BYODデバイスポリシーにより、モバイルデバイスはビジネスの中核をなすものになりつつあります。 モバイルセキュリティ はこれまで以上に重要になっています。 そのため、スミッシング攻撃は個人だけでなく企業にとっても深刻な脅威となっています。

チェック・ポイントとアバナーンは、 アンチフィッシングソリューション これにより、スミッシング攻撃を含むすべての攻撃ベクトルが保護されます。 フィッシングから会社のモバイルデバイスを保護する方法の詳細については、 Harmony、どういたしまして 無料デモをお申し込みください.

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK