ソーシャルメディアフィッシングとは、Instagram、LinkedIn、Facebook、X(旧Twitter)などのプラットフォームを介して行われる攻撃を指します。個人情報の窃取やソーシャルメディアアカウントの乗っ取りを目的としています。
ソーシャルメディアは、私たちの生活に欠かせない存在となっています。人々はFacebook、Instagram、X(旧Twitter)などの多くのプラットフォームを使い、友人や家族と連絡を取ったり、最新のニュースをチェックしたり、世界とつながったりしています。
組織もまた、最新の製品やイベント情報を顧客に提供したり、マーケティング活動や新規顧客の獲得にソーシャルメディアを活用しています。そのため、サイバー犯罪者にとって、ソーシャルメディアはフィッシング攻撃を実行するための魅力的なプラットフォームとなっています。Hidden EyeやShellPhishなどのツールを使えば、こうしたフィッシング攻撃をアプリケーションのように簡単に実行できます。
ハッカーが収集する情報には、ソーシャルメディアアカウントのログイン情報、クレジットカード情報、個人の情報などが含まれます。これらの情報は、他の詐欺や攻撃に悪用される可能性があります。
Instagramは、写真やテキストを共有する人気のプラットフォームです。世界中のユーザは、日々の活動や瞬間を共有する、一種の「ビデオ日記」のようにこのプラットフォームを利用しています。
Instagramへのフィッシング攻撃は、ハッカーが偽のログインページを作成することから始まります。本物のサイトにできるだけ似せてユーザをだまそうとします。偽のページでユーザIDとパスワードを入力すると、攻撃者はその情報を取得します。その後、通常は本物のInstagramログインページにリダイレクトされますが、すでに情報が盗まれています。ログイン情報を入手した攻撃者は、アカウントに完全にアクセスできるようになります。
同じログイン情報を使って他のソーシャルメディアや銀行口座にログインしている場合、攻撃者はそれらのアカウントにもアクセスできるようになります。
Instagramアカウントへのアクセス権を取得したハッカーは、あなたを監視できます。また、正規のユーザになりすまして、友人やフォロワーに個人情報を要求することも可能です。ハッカーは不正なメッセージを削除することで、痕跡を隠蔽します。
さらに、攻撃者はあなたのアカウントを完全に掌握する可能性があります。個人情報や設定、パスワードまで変更し、アカウントにロックをかけてしまいます。
LinkedInは、世界で最も利用されているプロフェッショナル向けネットワーキングプラットフォームです。ハッカーは、Eメール、LinkedInメッセージ、リンクを送信し、機密情報、クレジットカード情報、個人の情報、ログイン情報をだまし取ろうとします。また、あなたのアカウントをハッキングして、なりすましであなたのつながり(コネクション)にフィッシングメッセージを送信し、個人情報を収集する可能性があります。
ハッカーは、LinkedInから直接送信されたように見えるEメールを送ることもあります。LinkedInの公式サイトは、「linkedin@e.linkedin.com」や「linkedin@el.linkedin.com」など複数の正規のEメールドメインを持っているため、攻撃者が使用する偽のドメインと本物を見分けるのは困難です。
2000年代初頭にサービスを開始し、世界中に29億人以上のアクティブユーザを抱えるFacebookは、現代のソーシャルメディアの代表格です。FriendsterやMySpaceといった先行するサイトがありましたが、Facebookは個人や組織が友人、家族、お客さまとつながる方法を確立しました。
典型的なFacebookのフィッシング攻撃は、個人情報の提供または確認を求めるメッセージやリンクを通じて行われます。Facebookの投稿やFacebook Messengerを通じて送信されるため、友人からのメッセージとフィッシング攻撃を見分けるのは困難です。
Facebookのフィッシング詐欺で収集された情報は、攻撃者にあなたのアカウントへのアクセス権を与えてしまいます。「アカウントに問題が発生したため、ログインして問題を解決してください」というメッセージを受け取る可能性があります。
これらのメッセージには、Facebookに似た偽サイトへのリンクが記載されています。この偽サイトにアクセスすると、ログインを求められますが、ハッカーはそこからあなたのログイン情報を盗み取ります。URLをよく確認し、「www.facebook.com」にリダイレクトされていることを確認してください。それ以外のURLは偽物である可能性があります。
Facebookが友人や家族との連絡手段、LinkedInがビジネスパーソンの交流手段として利用される一方、X(旧Twitter)は現実世界では会ったことのない人々と交流できる場です。ユーザが見知らぬ人と交流することに抵抗がないため、X(旧Twitter)はフィッシング攻撃の標的となりやすいプラットフォームとなっています。
X(旧Twitter)で活動するハッカーは、他のソーシャルメディアプラットフォームと同様のフィッシング手法(手口)を使います。X(旧Twitter)から送信されたと偽ってメッセージを送り、ログイン情報、個人の情報、クレジットカード情報などの機密情報をだまし取ろうとします。X(旧Twitter)は、「@X.com」または「@e.X.com」の2つのドメインのユーザにのみEメールを送信することを明確にしています。
これらのフィッシング攻撃は、他の関連する攻撃につながる可能性があります。その一つに「フォロワーへの報酬」攻撃があります。このフィッシング手法では、ハッカーから「わずか5ドルで特定の数のフォロワーを提供する」というメッセージが届きます。個人情報やクレジットカード番号を提供すると、ハッカーがあなたのアカウントから資金を引き出したり、あなたになりすましてフォロワーリスト全体に詐欺を広める可能性があります。