フィッシングのステルス性が高まる: ブランドを守る 4 つの方法

公開: 2023-02-06

ほんの数年前まで、フィッシングは簡単に見破られました。 メールやテキストが実際のブランドから送信されているように見えても、スペルミス、不適切な文法、ぼやけたロゴが含まれている場合、データやお金を盗むためのキャンペーンの一環として、誰かがあなたをだましてリンクをクリックさせようとしている可能性があります。 、またはアイデンティティ。

しかし、今日では、不正な通信を見つけるのはそれほど簡単ではありません。 ほとんどのサイバー犯罪者は、強力で低コストのハッキング ツールやダーク Web 上のサービスとしてのフィッシング キットのおかげで、身元を偽装することに長けています。 これらのツールは、その多くが人工知能を使用しており、最も文盲の詐欺師からのコミュニケーションをプロフェッショナルに見せかけることができます。

さらに、自然言語処理 (NLP) 機能で構築された無料の AI チャットボット プログラムである Open AI の ChatGPT の急速な進歩により、ハッカーは、ブランドの個性やトーンを模倣するコミュニケーションをより速く、より適切に、より安価に作成できるようになりました。

これらすべての革新により、ハッカーが 2022 年に 2 億 5,500 万回のフィッシング攻撃を仕掛けることができたのも不思議ではありません。これは、前年比 61% 増です。

オブザーバーは、この傾向が続くと、消費者がほとんどの正当なマーケティングコミュニケーションを無視することにつながる可能性があると述べています.

データ セキュリティが CX の将来にとって重要な理由

data_security_cx.jpg カスタマー エクスペリエンスが人間の努力であるという事実を克服できるテクノロジはありません。 CX の将来にとってデータ セキュリティが重要である理由をご確認ください。

フィッシングからの脱却: 最もなりすましの多いブランド トップ 10

すべてのブランドはなりすましの危険にさらされていますが、詐欺師は多くの場合、大手テクノロジー企業、荷送人、ソーシャル メディア ネットワークを標的にしています。

Check Point Software によると、2022 年第 4 四半期に最も模倣されたブランドのトップ 10 は、ブランド フィッシング攻撃の全体的な外観によってランク付けされています。

  1. ヤフー (20%)
  2. DHL (16%)
  3. マイクロソフト (11%)
  4. グーグル (5.8%)
  5. リンクトイン (5.7%)
  6. ウィートランスファー (5.3%)
  7. ネットフリックス (4.4%)
  8. フェデックス (2.5%)
  9. HSBC (2.3%)
  10. ワッツアップ (2.2%)

ブランドを保護する 4 つの方法

フィッシングは、ブランド、そのマーケティング、および評判にとって大きなリスクです。

「こうしたフィッシング活動はすべて、ブランドの価値を損なう可能性があります。なぜなら、それらの電子メールが送信され、消費者がそれらが有効かどうかわからない場合、私たちは自分の否定的な経験を、なりすましの会社と誤って関連付けることがあるからです」と、Frank Dickson は言います。 IDC のサイバーセキュリティ業界アナリスト。

「しかし、Microsoft や Google のような大企業でさえ、意味のある方法でフィッシングを阻止するためにできることは限られています。」

では、フィッシングを打ち負かすのが非常に難しい場合、ブランド名への影響を最小限に抑えるにはどうすればよいでしょうか? 業界の専門家からのいくつかの提案を次に示します。
  1. 電子メール セキュリティ プロトコルを採用する
  2. ドメインをマスターする
  3. ソーシャル メディア チャネルを守る
  4. 顧客を教育する

あらゆる場所でデータ侵害が発生しており、顧客データ管理が重要になっています

さまざまな顧客識別ソースのコラージュの画像: ID、クレジット カード、スマートフォン、位置追跡。顧客データ管理のベスト プラクティス 顧客データ管理のベスト プラクティスにより、企業は前向きな関係への取り組みを強化できます。 商取引と信頼における成長の可能性は非常に大きいです。

メールセキュリティで脅威を阻止

フィッシングを打ち負かすことは困難ですが、組織は電子メール サーバー レベルで主要なセキュリティ プロトコルを実装することで、少なくともその進行を遅らせることができます。

企業が相互に連携して使用する傾向があるのは、次の 3 つです。

  • Domain-based Message Authentication , Reporting and Conformance (DMARC) は、会社の電子メール ドメインがスプーフィング、フィッシング詐欺、その他のサイバー犯罪に使用されるのを防ぐために設計された電子メール検証システムです。 DMARC は、Sender Policy Framework (SPF) や Domain Keys Identified Mail (DKIM) などの電子メール認証技術を使用します。
  • Sender Policy Framework (SPF) は、スパマーがドメインに代わってメッセージを送信するのを防ぐための電子メール認証技術です。 これにより、ドメインに代わって電子メールを送信することを許可する電子メール サーバーを指定できます。
  • DomainKeys Identified Mail (DKIM) は、電子メールがそのドメインの所有者によって送信および承認されたことを受信者が確認できるようにするデジタル署名を含む署名ベースの電子メール認証技術です。

セキュリティ認識トレーニング プラットフォームである KnowBe4 の防衛エバンジェリストである Roger Grimes は、これらの標準が導入される前は、ハッカーは本質的にブランド自体とまったく同じドメインで電子メールを送信できた. これらのプロトコルを使用して電子メールを配信前に認証することにより、多くの大企業はそれを止めています.

「標準は非常に成功したため、フィッシャーは本物の正当なブランド ドメインの使用をほとんど放棄しました」と Grimes 氏は言います。

これらはあなたが探しているデータ ファイルではありません: この銀河のサイバーセキュリティ

データファイル.jpg 反乱軍はデス・スターをハッキングした。 次はあなたの組織ですか? 顧客データの保護はミッション クリティカルです。 今すぐ取るべきサイバーセキュリティ対策を読んでください。

ドメインをマスターして闇の勢力を倒す

電子メール セキュリティ プロトコルが 1 行の攻撃を遮断する優れた機能を発揮するようになると、ハッカーは独自のドメインの作成に移行しました。 あなたはおそらくそれらを見たことがあるでしょう。 それらはしばしば本物に非常によく似ていますが、数字、文字、または記号が目立たない場所に滑り込んで、非常にわずかにずれています。

ほとんどのハッカーは、これを手動で行うことを気にしません。数十または数百もの偽の派生物を作成できるツールが多数あるためです。 そして、それらが生成された後にそれらすべてを見つけることはほとんど不可能です、とGrimesは言います.

IDC の Dickson 氏によると、技術的な回避策の 1 つは、企業ドメインに関連付けられた類似ドメインを識別する自動ツールを導入することです。 これらは基本的に、一般に公開されている Web サイトだけでなく、ダーク Web サイトやディープ Web サイトの両方を検索して、ブランドを偽装している可能性のある人物を特定します。

ドメインのマスターになるための追加の考慮事項は、レピュテーション サービスに登録することです。 これらには通常、誰があなたのふりをしているのかを確認するための検索ツールも含まれます。

しかし、法執行機関と協力して違法ドメインを削除するなど、何百人もの人々が調査やサポート サービスを行うこともできます、とチェック ポイントの広報担当トニー サバージは言います。

インターネット広報:オンラインレピュテーションマネジメント

オンラインの評判管理を表すメガホンと電子メールのアイコンの画像 オンライン評判管理とは、オンライン活動を監視し、関与して、企業に対する世間の印象を理解し、改善することを意味します。 つまり、インターネットの広報。

ソーシャル メディアのセキュリティを強化する

ブランドは、ソーシャル メディア チャネルを攻撃から保護する必要もあります。 侵害された場合、これらのチャネルはフィッシング攻撃を開始するためのツールになる可能性があると Grimes 氏は言います。

「ハッカーが会社に侵入し、買掛金と売掛金の受信トレイを検索して、偽の請求書と銀行情報の変更を人々に送信することは非常に一般的です」と彼は言い、ビジネスメールの侵害に言及しています.

「彼らは、『ねえ、新しい銀行に変更することをお知らせしたいだけなので、この新しい銀行のルーティングと口座番号に支払いを送金する必要があります』のようなことを言うかもしれません。」

ソーシャルコマースの成長: 信頼の問題

FCEE_ソーシャル_コマース_1200x375 ソーシャル メディア プラットフォームでのショッピングは、従来の e コマースの 3 倍の速さで増加すると予想されていますが、ブランドは採用を促進するために顧客の信頼を構築する必要があります。

顧客 (および耳を傾けるすべての人) を教育する

ブランドを保護するために企業ができる最も重要なことの 1 つは、フィッシング攻撃によってもたらされる脅威と、それに対してできることを顧客に知らせることです。

ハッカーが迷惑メールを送信して、何かを獲得した、注文したことのないものの発送が遅れている、またはアカウントが乗っ取られ、技術サポートが必要であるなど、現在のフィッシングの傾向について知らせてください。

また、フィッシング対策にどのように積極的に取り組んでいるかについて、定期的に顧客に知らせてください。 最後に、あらゆる機会を利用して、自分自身を守るために顧客が役割を果たす必要があることを顧客に思い出させてください。

次のような常識的なヒントを提供します。

  • 変なドメイン名、フォント、スペルミス、文法、または画像を使用したデジタル コミュニケーションを疑います。 これらの「教え」は、かつてほど一般的ではありませんが、まだ存在しています。
  • 想定される送信者、電子メール アドレス、件名、およびメッセージ自体の不一致を探します。 たとえば、私は最近、私が Dewalt Heater を獲得したという Lowe の主張から来たと思われる、巧妙に細工されていない電子メールを受け取りました。 送信者の電子メール アドレスにはホームセンターの名前が含まれていませんでした。 メッセージの本文には、ビデオ ゲーム会社である EA のロゴがトッピングされていました。 そして、ヒーターの入手方法を教えてくれる代わりに、パスワードの変更を要求したので、リンクをクリックしてそれを実現できると書かれていました。
  • どこからともなく出てくるように見える通信や、金融情報や個人を特定できる情報 (PII) の共有など、想定された送信者に対してこれまでに行ったことのないことを行うように求める通信には懐疑的です
  • 知らない人や信頼できない人からのリンクは絶対にクリックしないでください。新しいパスワードの選択を求められた場合は特にそうです。
  • また、フィッシングに使用されている可能性のあるディープフェイク動画にも注意してください。 それらはより滑らかになってきていますが、通常、頭や胴体の異常な動きなどの視覚的な歪みや、顔、唇、音声の同期の問題を探すことでそれらを見つけることができます.

ミッション クリティカル: CMO が顧客データの保護に注力している理由

CMOs_are_focusing_on_protecting_customer_data_FTR.jpg コンプライアンスへの競争では、顧客の信頼がゴールです。 データ侵害は莫大な損失を意味する可能性があるため、CMO は顧客データの保護に重点を置いています。

終わらない戦い

最終的に、企業はフィッシャーとの戦いは一進一退の戦いであるという事実に直面する必要があります。 ブランドが対策を講じるたびに、サイバー犯罪者は別の攻撃ベクトルを見つけることになります。そのため、変化する脅威に常に注意を払い、人、プロセス、テクノロジーに焦点を当てることが非常に重要です。

Check Point の Sabaj 氏は次のように述べています。 「しかし、組織がフィッシングを防止するためにできることはたくさんあり、ブランド価値を守るために必要なこともたくさんあります。」

驚異的な速度で顧客を失いたいですか?
 データのプライバシーを尊重しないでください。
 代わりに、信頼と忠誠を勝ち取る
 データの優れた戦略