フィッシング詐欺の被害者に通知することを約束した「フィッシング詐欺」
仕事のほとんどがオンラインで実行されている場合、フィッシングメールが時々発生する可能性があります。誰もが(少なくとも理論上は)フィッシングを回避する必要があることを知っていますが、フィッシングメールと本物のメールを区別することが難しい場合があります。フィッシング詐欺について人々を教育しようとする無数のニュース記事やブログエントリもあります。 ここにもエントリーがあります。しかし、それにもかかわらず、人々は依然としてサイバー犯罪者にだまされています。
ビジネスと個人情報をフィッシング詐欺から保護することに関しては、予防が非常に重要ですが、緩和策についても考慮する必要があります。真実は、人々がフィッシング攻撃の犠牲になったことをよく理解していないことです。サイバー犯罪者がフィッシングを利用してビジネスを標的にすることは特に重要です。したがって、少なくとも少しは負担を軽減するために、非営利組織のAbuse.chが新しい「I Got Phished」通知機能を公開しています。この機能は、ビジネスがフィッシング攻撃の被害者になったときに企業に通知することになっています。
Table of Contents
Got Phishedはどこでデータを取得しますか?
それで、私がどのようにしてフィッシュを手に入れたかは、あなたがフィッシング詐欺の被害者になったことを実際に伝えることができますか?まあ、I Got Phished WebサイトのFAQセクションによると、このサービスはサードパーティの研究者に依存しているため、フィッシング攻撃に関する包括的な情報を提供できます。サービス自体はフィッシングデータを生成しません。代わりに、フィッシング関連データを送信する研究者から情報を収集します。
同時に、私はフィッシュド氏が指摘したように、プロジェクトでは研究者が提出したデータを確認せず、データが正確かどうかを確認することもできません。したがって、それはすべて、サービスと世界中のフィッシングインシデントを調査する研究者との間の信頼にかかっています。この種のデータ収集は、このサービスが世界中のすべての潜在的なフィッシング詐欺をビジネスに通知できることを保証できないことを示しており、そのようなサービスを信頼できる人には限度があります。
同時に、フィッシングや類似のサイバー犯罪攻撃に関する情報は、共有とユーザーの関与に常に依存していることを覚えておく必要があります。純粋な興味、好奇心から、そしてそれが彼らの趣味であるので、これを利用するかなりの数の研究者がいます。したがって、フィッシング対策サービスへのサインアップを検討している場合は常に、すべてのサービスに制限があることを覚えておく必要があります。
「フィッシュを取得しました」という通知を受け取るにはどうすればよいですか?
サービスのドメイン名の登録を決定すると、「I Got Phished」の通知が、登録時に選択できる共通のサービスメールアドレスに送信されます。また、自分が登録済みドメインの所有者であることを確認して、フィッシング詐欺に関する情報を受け取ることができるようにする必要があります。
個人ユーザーの場合、このサービスにメールを登録できないことも指摘しました。これは、このサービスではドメイン名のみが受け入れられ、フィッシングレポートは個々の電子メールアドレスではなくドメイン名に基づいているためです。
さらに、このサービスは、I Got PhishedとHaveIBeenPwnedの違いを指摘しています。おそらく後者については以前に聞いたことがあるでしょう。したがって、主な違いは、メールが侵害された場合にHaveIBeenPwnedが個々のメールアドレスの所有者に通知することです。 I Got Phishedは、企業のセキュリティ担当者への通知にのみ焦点を当て、企業ドメイン内でのフィッシング詐欺との戦いに焦点を当てています。言い換えると、I Got Phishedが内部のフィッシングデータベース内でドメインを見つけた場合、セキュリティ担当者に潜在的なセキュリティ侵害について警告します。
一部の人にとって、I Got Phishedは非常に限定的なサービスを提供しているように見えるかもしれませんが、世界中の企業はまだフィッシング攻撃に苦しんでいます。確かに、それは世界中の大企業にも影響を与えるので、このサービスがフィッシング詐欺キャンペーンの急増を抑制することができれば、明らかにすべての人に多くの時間とお金を節約できます。
フィッシング攻撃に対する主なサイバーセキュリティ対策は何ですか?
研究者は、パスワードの強度と複数の認証方法により、複数の企業が毎日経験するフィッシングの脅威を軽減する必要があることに満場一致で同意します。そしておそらく、あなたは自宅で自分のパスワードを作成するつもりです(ところで、これはお勧めできません)が、職場では、使用に必要なすべてのパスワードを作成して保存する信頼できるパスワードマネージャに任せる必要があります。あなたのために働きます。
また、複数の認証方法とは、2要素認証または多要素認証を指します。サービスやアカウントにアクセスするには、パスワード以上のものが必要な場合です。セキュリティの専門家によると、2要素認証を導入すると、企業アカウントをフィッシング攻撃から保護できるはずです。もちろん、それは多要素認証が突き通せない壁であるという意味ではありません。サイバー犯罪者が複数の認証層を迂回するのに役立つフィッシングツールキットが世の中に出ています。ただし、誰もがそのために準備されているわけではありません。深刻なデータ盗難からビジネスを保護したい場合は、チャンスを逃してはなりません。
フィッシング攻撃が成功した場合、企業全体のログイン認証情報をできるだけ早く変更する必要があります。 1つの従業員アカウントが侵害された場合は、それ以上の遅延なしに、そのアカウントのパスワードを更新することから始めます。繰り返しになりますが、ここでパスワードマネージャが役立ちます。侵害されたアカウントの新しい一意のパスワードを簡単に生成でき、同時にパスワードマネージャーのボールトに安全に暗号化して保存できます。
それで、これから何を得ることができますか?ビジネスを運営していて、企業のメールドメインがある場合は、Abuse.chが提供するフィッシング詐欺監視サービスにサインアップすることをお勧めします。登録すると、セキュリティ担当者は、社内の潜在的なセキュリティ違反を通知する「I Got Phished」通知を受け取ることができます。フィッシング攻撃は依然として世界中の企業にとって大きな問題であるため、このサービスは潜在的な被害を軽減するはずです。最後に、フィッシング攻撃によってサイバー犯罪者があなたのビジネスに到達するのを阻止できる基本的なセキュリティ対策を忘れないでください。強力なパスワードを使用してサービスを保護し、多要素認証を今すぐ導入してください。