URLフィッシング攻撃の危険性の高まり

現在閲覧しているWebサイトに南京錠のアイコンが表示されていることを知っていると、はるかに安全だと感じませんか？ 今のところそのように考えるかもしれませんが、サイバー犯罪者は常にこれらのことを回避する方法を見つけるでしょう。

実際、フィッシング詐欺師はキャンペーン内でHTTPSプロトコルを採用することに成功しており、人気が高まっているため、ユーザーをだまして、送信する悪意のあるリンクや電子メールが正当なエンティティからのものであると信じ込ませています。 これがURLベースのHTTPSフィッシングの出番です。

URLベースのHTTPSフィッシングとは何ですか？

HTTPSフィッシングとは、人が通常アクセスするランディングページまたはWebサイトを意味します。 多くの人がフィッシングと混同する可能性があります。フィッシングは単に電子メールを苦しめると考えられているためですが、実際には、電子メールは最初の段階にすぎません。 ほとんどの場合、加害者は添付ファイルをダウンロードするように要求するか、悪意のあるWebサイトに誘導することさえあります。

フィッシング詐欺師にとっての課題は、ユーザーを教育することで標準的なフィッシングに対抗できることです。 多くの研究により、時間の経過とともに頻繁に行われるフィッシングシミュレーションでは、これらの問題の特定に著しい改善が見られることが証明されています。 そして、そのようなシミュレーション中の主なルールの1つは、疑わしいリンクや添付ファイルに陥らないことです。

そういうわけで、今日のサイバー犯罪者は進化し始めました。

人気のあるサイバーセキュリティ会社であるFireEyeは、URLベースの攻撃のいくつかの新しい亜種について言及しています。 ここでの考え方は、本文内のリンクを除いて、コンテンツなしで電子メールを送信することです。 これは無視しやすいように思えるかもしれませんが、FireEyeは2019年の最初の数か月だけでその使用量が26％増加したことを確認しています。これは、効果的である可能性があることを示しています。

十分に勤勉な人は、先に進んでアドレスを確認するか、電子メールヘッダーを調べることができます。 ここでの問題は、これらのことを行うユーザーが少ないことです。 したがって、なぜ誰もがこの戦術に陥るのかを理解するのは簡単です。

最初のバリアントはクリックするリンクを除いてコンテンツのない電子メールであり、2番目のバリアントにはリンクがまったくありません。 これは、クリック可能なURLがない同じコンテンツのない電子メールであり、アクティブなリンクがないため、フィルターが検出するのがより困難になります。 この場合、リンクは、ターゲットがブラウザにこれを入力したときにのみアクティブになります。

これらの電子メールのほとんどは、HTTPSコンポーネントが存在しない状態で送信されますが、加害者がSSL認証を取得している必要はありません。 しかし、URLの先頭にそのHTTPSを追加できると、まったく新しいレベルの誤った信頼が追加され、フィッシング詐欺師が求めていることを実行するように一部の人々を駆り立てることができます。

結局、これらの状況に対する真の防御は、単に自分自身を教育することです。

ますます多くのフィッシングWebサイトがHTTPSを使用するようになりました

HTTPSフィッシング技術は、過去数年でゆっくりと拡大してきましたが、最近のレポートでは、毎月140万の新しいフィッシングサイトが作成されています。 この数は、今後も増え続けると予想されます。 さらに憂慮すべきは、HTTPSフィッシングサイトが2017年の25％から2018年の時点で49％に成長したことです。

それは大幅な増加です。 HTTPSフィッシングはすでに存在しているため、依然として問題になるとは言えません。 また、特にHTTPSを標準として使用することを業界全体で推進していることから、すぐに衰えることを証明する兆候もありません。

私たちはどうやってここへ来ましたか？

今日、ほとんどのWebサイトはHTTPSプロトコルを使用しています。これは、パスワードログインを許可するサイトにのみ使用されていた数年前と比べて大きな変更です。 HTTPSとともにSSL / TLS証明書の使用をエスカレートさせたのは、2015年にGoogleが検索エンジンのアルゴリズムにプラスの影響を与えると主張したことです。

HTTPSを備えていない突然のWebサイトはすべて、これが原因で悪影響を受け始めました。 2018年までに、Google Chromeは、FirefoxやEdgeなどの多くの人気のあるブラウザとともに、HTTPSを備えていないサイトを「安全ではない」とマークし始めました。 ウェブサイトとユーザーがこのアプローチを採用したため、HTTPSは良いものと見なされましたが、HTTPSがないことは単に悪い経験でした。

サイバー犯罪者も、2017年頃にドメインにHTTPSを使用するフィッシングWebサイトの台頭がどのように増加したかを示すアイデアを思いつきました。そして今最も心配な考えは、これらの攻撃者が正当な証明書で検証されたドメインを悪用し始める可能性があることです。

多くのユーザーはHTTPSが何をするのか知らない

自分が何をしているのか、オンラインで何が起こっているのかをほとんどの人が知らないのは驚くべきことです。 以前は、インターネットはこれらのデバイスを介してのみアクセスできるため、インターネットユーザーはコンピューターの使用に精通していなければなりませんでした。 しかし今では、インターネットに接続できるスマートフォンを持っている人なら誰でもオンラインに接続でき、参入障壁を効果的に取り除くことができます。

また、スマートフォンと比較して、従来のデスクトップブラウザは、少なくともユーザーにスマートフォンの使用方法を教えるためにある程度の努力を払っていました。 これは今日ではもはや当てはまりません。 個人は通常、自分がやりたいことをし、途中で物事を理解することを任されています。 今日ブラウジングするとき、ユーザーがWebを閲覧するときに何が起こっているかを知らせるための一種のガイドとして役立つはずの、多数の視覚的なインジケーターがあります。

残念ながら、これは当てはまりません。 HTTPSと同義の南京錠アイコンなどの記号は、本来の目的を達成していません。 これらの南京錠は、基本的に、サイトまたはアプリをホストしているサーバーとの接続が暗号化されて安全であることを意味するという事実から始めることができます。 2つのパーティ間で交換されるデータは、上記の接続を傍受しようとする外部の攻撃者から安全です。

しかし、組織の一種の認証がなければ、反対側の当事者の評判を保証することはできません。 ご覧のとおり、ハッカーはHTTPSも使用できるため、南京錠は接続が安全であることを意味する場合がありますが、送信したデータをホストがどのように処理するかについての保証はありません。

HTTPSは依然として非常に前向きな側面であり、Webサイトが詮索好きな目を避けなければならないことを覚えておくことが重要です。 ここでのポイントは、暗号化された接続に関連付けられたプレゼンスがあるからといって、サイト所有者自身が信頼されることを自動的に意味するわけではないということです。

では、どうすればこれらのフィッシング詐欺師を倒すことができますか？

HTTPSでドメインを信頼するだけでなく、専門家はドメイン名自体にスペルミスがないかどうかを確認することをお勧めします。 また、可能な場合は常に多要素認証をアクティブ化することで資格情報を保護しながら、電子メールを介して送信されるリンクに注意することも重要です。

これらのアプリは多くの場合、ドメインに資格情報を自動入力する前にドメインを検証するため、パスワードマネージャーを用意することもお勧めします。 ソフトウェアがログイン情報を自動的に提供しない場合、これは、当該Webサイトについて何かが正しくないことを示すものである可能性があります。