ソーシャルメディアフィッシングの概要

私たちが呼吸する空気と同じくらい、ソーシャルメディアはあらゆる場所に存在します。個人はFacebook、Instagram、Twitter、その他多くのプラットフォームを使用して、友人や家族の動向を確認したり、最新のニュースやデータを把握したり、世界とつながったりします。

また、企業もソーシャルメディアを使用しています。ソーシャルメディアを使用して、顧客に製品やイベントの最新情報を知らせ、マーケティングを行い、新しいビジネスへの注目を集めます。そのため必然的に、悪意のあるアクターは、フィッシングネットを投網するプラットフォームとしてソーシャルメディアを利用します。Hidden EyeやShellPhishなどのフィッシングツールを使用すれば、このようなフィッシング攻撃は、アプリケーションでいくつかのボタンを押すのと同じくらい簡単に実行できます。

ハッカーが収集する情報には、ソーシャルメディアアカウントのログイン資格情報、クレジットカード情報、および他の詐欺や攻撃を開始するために利用できる、人物についての個人情報が含まれます。

Instagramは、写真とテキストを共有するための人気あるプラットフォームです。世界中のインスタグラマーは、このプラットフォームを一種のビデオ日記として利用し、日常の活動や瞬間を発信しています。

Instagramのフィッシング攻撃は、ハッカーが偽のInstagramログインページを作成するところから始まります。標的をだますため、このページは可能な限り実際のサイトに似せて作成されます。ユーザがInstagramのIDとパスワードをページに入力すると、攻撃者はその人物の資格情報を手に入れることができます。一般的には、偽のログインページへ情報入力後、正規のInstagramログインページにリダイレクトされますが、認証情報を入力してしまった時点で既に損害は発生しています。盗んだInstagramの資格情報を使用して、攻撃者はその人物のアカウントにフルアクセスできるようになります。

この資格情報を他のソーシャルメディアサイトで使用していたり、さらに悪いことに銀行口座でも使用していたりする場合、攻撃者はそれらのアカウントにもアクセスできてしまう可能性があります。唯一の問題は、利用している銀行を見つけなければならないということです。

ハッカーが他人のInstagramアカウントにアクセスできるようになると、それを使用してその人物を監視できるようになります。また本物のユーザを装って、友達やフォロワーに個人情報を要求することもできるようになります。当然ハッカーは、送信したメッセージを削除することで自分の足跡を消します。

攻撃を次の段階に進めることで、攻撃者は、そのInstagramアカウントの完全な所有権を手にすることができます。個人情報、設定、さらにはパスワードを変更し、元の所有者をアカウントから締め出すことができるのです。

LinkedInは、世界最大級のビジネス特化型SNSです。ハッカーは、メール、LinkedInメッセージ、およびリンクを送信して、ユーザが機密情報、クレジットカードデータ、個人情報、およびログイン資格情報を漏らすように仕向けます。その後、ハッキングしたLinkedInアカウントから投稿を行い、つながっているとユーザを信じさせたり、だますことによって個人データを収集したりすることもあります。

ハッカーは、LinkedInの公式から送られたように見えるメールを送信することもできます。LinkedInのフィッシング攻撃を容易にする1つの要因として、公式のLinkedInサイトに複数のメールドメインがあることがあります。linkedin@e.linkedin.comおよびlinkedin@el.linkedin.comからのメールは本物ですが、正規のドメインが多数あるということは、ハッカーが不正なメッセージでユーザをだましやすくなります。本物のドメインを常に把握しておいて、攻撃者が使用した偽のドメインを見分けることは困難です。

2000年代初頭に立ち上げられ、26億人を超えるアクティブユーザを抱えるFacebookは、すべてのソーシャルメディアプラットフォームの父祖であり王者でもあります。最初期のソーシャルメディアプラットフォームの1つとして、人も企業も同じように、Facebookで友人、家族、顧客とつながります。

Facebookのフィッシングでは、個人情報を尋ねるメッセージまたはリンクを受け取りますが、これは疑わしく見える場合もあればそうでない場合もあります。要求される個人情報には、攻撃者がFacebookアカウントにアクセスするために必要なすべてのものが含まれます。Facebookアカウントの問題を修正するためにログインする必要がある、と通知するメールを受け取る場合もあります。

これらのメールには、Facebookによく似たサイトに誘導する簡易なリンクがあります。このWebサイトにアクセスすると、ログインするように求められます。ここでログインしてしまうと、ハッカーによって資格情報が「収穫」されてしまいます。URLに十分注意して、www.Facebook.comに間違いなくアクセスしようとしていることを確認してください。これ以外のものはすべて偽物である可能性があります。

Twitterは、ツイートと呼ばれる短いメッセージを使用して、ほぼすべてのトピックに関するニュースやコメントを共有できるソーシャルメディアサイトです。ツイートの最大サイズ全角140字に制限されているため、ユーザは短時間で多くのメッセージをすばやく簡単に読むことができます。

Twitterでフィッシングを行うハッカーは、他のソーシャルメディアプラットフォームと同じ戦術と手法を使用します。悪意のあるアクターは、Twitterから送信されたように見える偽のメールを送信します。そのようなメールによって、ログイン資格情報、個人情報、さらにはクレジットカードデータなどの機密情報を聞き出そうとします。Twitter社によると、ユーザへのメールは、@Twitter.comと@e.Twitter.comの2つのドメインからのみ送信されます。

こうしたフィッシング攻撃は、他の関連する攻撃につながります。その1つに「フォロワー獲得のための支払い」攻撃があります。この攻撃では、5ドルという低価格で大勢のフォロワー獲得を保証するというハッカーからのメッセージを受け取ります。その餌に食いつくと、5ドルを失い、さらに使用しているアカウントを導管としてすべてのフォロワーにスパムが送信される可能性があります。