国税庁から緊急の電話がかかってきて、多額の未納税金があり、すぐに支払わなければ警官が玄関までやってくるという。パニック状態に陥ったvishing 攻撃のターゲットは、すぐに電子決済を送信する。やがて被害者が間違いに気づいたときには手遅れで、金融機関からお金がなくなっていることを告げられる。
vishing 攻撃とは何か?
vishing 攻撃はフィッシング攻撃の一種であり、脅威者が音声通信を介してソーシャル・エンジニアリングの手口を使い、標的をだますものである。vishing」という言葉は、「ボイス」または「VoIP」(Voice over Internet Protocol)と「フィッシング」を組み合わせたものです。詐欺師は、ターゲットに金銭を送らせるか、以下の機密情報のいずれかまたはすべてを共有させようとする可能性があります:
- 名称
- 住所
- 生年月日
- ユーザー名
- パスワード
- クレジットカード情報
- 銀行データ
- 政府発行の番号(社会保障や社会保険など)
vishing、smishing、quishing 、フィッシングの違いは?
Vishingsmishingと quishingもフィッシング攻撃とみなすことができる。この3つのタイプの攻撃は、その脅威のベクトルが異なるだけである。フィッシングは少なくともEメールの黎明期から存在しており、vishing smishing 「フィッシング」という言葉と使用される通信方法の組み合わせである。Vishing (音声フィッシング)は音声コミュニケーションを通じて行われ、smishing (SMSフィッシング)はSMSテキストメッセージを攻撃媒体として使用する。 Quishing は、不正なQRコードを介したフィッシング攻撃である。
ソーシャル・エンジニアリング攻撃とは何か?
vishing含む様々な形態のフィッシングは、ソーシャル・エンジニアリングの手口を用いることがある。サイバーセキュリティの観点から言えば、ソーシャル・エンジニアリングとは、人間の感情を操作してターゲットの理性的思考を低下させ、疑わしい行動を完了させようとすることである。ソーシャル・エンジニアリングがvishing 攻撃を強化するいくつかの方法を見てみましょう:
- 恐怖:国税庁の詐欺では、詐欺師がターゲットを脅して、投獄されると脅し、偽の税金を払わせることがある。
- 貪欲さ:悪質な業者は、ターゲットに偽の宝くじ当選を告げ、税金や手数料の前払いを要求することがある。
- 恋愛 暴力団関係者が恋愛相手を装い、航空券や緊急時のための金銭を要求することがある。多くの場合、このような詐欺はソーシャルメディア上で始まり、後にvishing 攻撃に発展します。
- 怒り: 詐欺師は、例えば不人気な政治家候補に対する寄付を求めるなどして、怒りを操ることがある。
- 思いやり:災害や緊急事態など、一見崇高な目的のためにお金を集めようと、偽の慈善団体が電話をかけてくることがあります。同様に、高齢者詐欺の典型的な例では、詐欺師が電話で親戚や知人を装って高齢者を狙うことがある。
vishing どのように行われるのか?
Vishing 、ソーシャル・エンジニアリングと音声コミュニケーション・ツールを組み合わせることで機能します。攻撃者は、ロボコール、国際電話番号、またはボイス・オーバー・インターネット・プロトコル(VOIP)ソフトウェアを使用して攻撃を仕掛けることがあります。詐欺師はまた、リンクや電話番号を通じて被害者に電話をかけるよう誘導する詐欺的なテキストメッセージを送ることもあります。Vishing 個人や組織を標的にすることがあります。脅威者はこのような攻撃を使って、例えば企業から情報を収集することがあります。
Vishing 攻撃の例
残念なことに、毎年多くの人がvishing 詐欺に引っかかっている。政府機関にお金を借りているという脅しは、被害者がお金を払うのに十分な説得力と恐怖を与えることがよくある。米国では、vishing 詐欺師はしばしば内国歳入庁(IRS)の職員を装い、税金を徴収するために電話をかけてくる。
カナダでも同様で、多くのカナダ人がカナダ歳入庁(CRA)を名乗る脅し屋に「騙された」。この詐欺の被害者の一人は、騙された自分がいかに愚かであったかを悔やんでおり、それが今回の事態で最もつらかったことの一つだと語っている。
vishing ケニエル・イオン・トーマスが間違った標的を選んだ時のように。この詐欺師は、90歳のウィリアム・ウェブスターが電話に出たとき、簡単な標的を得たと思ったのだろう。トーマスはウェブスター氏に、自分と妻のリンダが1,550万ドルとメルセデス・ベンツに当選したと告げた。しかし、賞金を2人に分ける前に、ウェブスター夫妻は税金を負担するために5万ドルを銀行に送金する必要があった。強請り屋は、ウェブスターが元CIA長官、FBI長官、連邦判事であることを知らなかった。夫妻はFBIに連絡し、捜査官が通話を盗聴できるようにし、最終的にウェブスター夫妻の機転のおかげで詐欺師は服役することになった。
残念なことに、たいていのvishing 話はそううまくは終わらない。トーマスが判決を受ける前に、彼は30人から数十万ドルをだまし取っていた。だからこそ、次に電話がかかってきたときに身を守るために、vishing 詐欺の手口を見分けることが重要なのだ。
vishing止めるには
vishing 攻撃の被害に遭う人は、そのリスクについて十分に知らされていても、単に不意を突かれただけである可能性があります。脅威の手口は定期的に変化し、新しい方法で人々を騙そうとします。忙しい日中にかかってきた電話を取ったら、まさかのvishing 攻撃だったということもありますし、電話をかけてきた人が聞き覚えがあるような情報を使ってくることもあります。警戒を怠らず、このような電話がかかってきた場合に備えるために、覚えておくべきことがいくつかあります:
- 発信者の口調に注意しましょう。詐欺師は、代理人を名乗る組織の訓練された従業員とは異なり、緊急性をほのめかしたり、恐怖心を与えたりするために、無愛想な口調やせっかちな口調を使うこともあります。
- 落ち着いて、一息つきましょう。Vishing 攻撃者は、あなたの感情を利用することで、偽の危機感を煽ります。電話をかけてきた人の身元を確認せずに、電話で機密情報を伝えないようにしましょう。相手の組織を調べ、直接電話をかけてみましょう。
- たとえ相手があなたの情報を知っていたとしても、油断は禁物です。例えば、相手はインターネットからあなたの名前、所在地、IPアドレスなど、一般に公開されているデータを収集している可能性があります。
- 発信者番号通知で電話を選別し、知らない番号や不審な番号には出ない。発信者がボイスメッセージを残すのを待ち、かけ直すべきかどうかを判断しましょう。ロボコール詐欺の多くは、わかりやすいスクリプトに従っていることを覚えておいてください。
- 詐欺だと思ったら、用心して電話を切ること。
vishing報告するには?
米国では、FTCと FBI、またはあなたの国の適切な法執行機関に連絡してvishing 詐欺を報告してください。また、詐欺師があなたを操ろうとしている組織に電話することもできます。例えば、IRS詐欺のターゲットになっていると思われる場合は、IRSに連絡してください。発信者が特定の組織だと言っている場合は、その組織の公式電話番号を調べ、直接電話をかけてその電話について尋ねてください。