【新手フィッシング詐欺】思い込みを逆手に取った手口

【被害増加中】フィッシング詐欺から「個人情報を護る」

false_browser_main.jpg

 

フィッシング詐欺の増加


Emotetをはじめとするマルウェア被害の増加が話題になる一方で「フィッシング詐欺」の被害も増加しています。大手各社や公的機関を名乗るフィッシングメールが増加しており「フィッシング」とWebで検索するだけでも、大手各社からの注意喚起が数多く出ていることが確認できます。

【フィッシング詐欺に関するニュース】
①@nifty「@niftyをかたるフィッシング(偽サイト)についての注意喚起」

②さくらインターネット「「なりすまし・フィッシングメール」「偽サイト」にご注意ください」

③フィッシング対策協議会「厚生労働省 (コロナワクチンナビ) をかたるフィッシング 」


なお、セキュリティ会社「Zscaler社」の調査よると、昨年観測された攻撃は8億7,390万件(前年の129%)にものぼるという結果が出ています。
小売・卸売業界へのフィッシング攻撃が400%以上増加
出典:Zscaler「フィッシング攻撃に関する2022年版レポートを発表 小売・卸売業界へのフィッシング攻撃が400%以上増加」

 

発見された新たな手口


また、とあるセキュリティ研究者は、従来の常識を覆す新たなフィッシング攻撃の手口を考案し注意を促しています。

■新たなフィッシング手口
ID・パスワードの入力にしばし用いられるログイン用のポップアップウィンドウを、URLバーごと模して表示

■従来の手口との違い
フィッシング詐欺では「本物に類似したURLで偽物のサイトを表示」する手口が主流です。そのためID・パスワードを入力する際は「正しいURLであるか確認する」対策が一般的です。今回の新たな手口では「URLバ一ごと模したポップアップウィンドウ」が表示されるため、一見すると本物のサイトにアクセスしている様に見えます

URL_Before_After.png

■新たな手口の見分け方
本来、ログイン画面のポップアップは別ウィンドウで表示されます。しかし新たな手口で表示されるログイン画面は、あくまでもポップアップウィンドウを模した画面であり、閲覧中のページ上に表示されているため、ドラッグしてもウィンドウ上の外に移動することはできません。

 

社員の意識に依存しない「セキュアな環境づくり」


フィッシング詐欺においては「社員のセキュリティ教育」「不審メールの検閲」はもちろんのこと「リモートブラウザ分離(RBI)」の利用も有効です。

「リモートブラウザ分離(RBI)」では、Webサイトへのアクセスを手元のクライアントでは無くリモートの仮想環境で間接的に実行し、ウィルスの感染を防ぐほか、セキュアでないフォームの入力などを遮断することができます。

 

PCの利用方法を見直す
【 Security Management 】

 


株式会社ピーエスシーが提供しております「セキュリティマネージドサービス」は、経済産業省が策定した情報セキュリティ基準にした適合したサービスとして登録されております。なお、本登録は当社の「脆弱性診断サービス」に続く登録となります。security_service.png

 

■お電話でのお問合せ

0120-061-044

■メールでのお問合せ

insidesales@psc-inc.co.jp

■その他セキュリティサービス

https://www.psc-securities.com/

関連トピックス

中小企業向け【Windowsを守る】Microsoft「Defender for Business」

中小企業向け【Windowsを守る】Microsoft「Defend...

2022.06.30

【Office 365最新情報】アップデート仕様を手間なくチェック!

【Office 365最新情報】アップデート仕様を手間なくチェック!

2022.06.16

【DaaS】エンドポイントマネジメントで実現「ハイブリッドな働き方」

【DaaS】エンドポイントマネジメントで実現「ハイブリッドな働き方」

2022.06.09