このフィッシング詐欺は、偽のボイスメールを使用してMicrosoft 365アカウントをハイジャックする恐れがあります
Microsoft 365は、2018年に1億5500万人以上のビジネスユーザーを抱え、その人気が継続的に高まっているため、ハッカーがこのようなサービスのユーザーを攻撃する価値があると考えるのも不思議ではありません。 McAfee Labsのスペシャリストによると、Microsoft 365ユーザーを標的としたフィッシング詐欺を発見したハッカーは、偽のボイスメールメッセージを使用して、被害者をだましてMicrosoft 365アカウントのログイン認証情報を漏らしているようです。サイバー犯罪者がボイスメールサービスを使用してユーザーを攻撃するのは初めてではありません。少し前まで、ハッカーはボイスメールサービスにデフォルトのパスワードを使用していたWhatsAppユーザーのアカウントを乗っ取ろうとしました。今回は、ハッカーがボイスメールにアクセスする必要がないため、シナリオは少し異なります。記事全体を読むと、この詐欺のしくみと、サイバー犯罪者がハッキングに苦労することを確実にするためにMicrosoft 365アカウントを保護する方法について詳しく知ることができます。
ボイスメール詐欺はどのように機能しますか?
標的にされているユーザーは、特定の電話番号からの電話に出られなかったことを知らせるフィッシングメールを受信する必要があります。メッセージを注意深く確認しないと、電子メールはまったく疑わしく見えない場合があります。 Microsoftロゴと不在着信に関する情報を含める必要があります。奇妙に思えるかもしれませんが、電子メールには次のようなメモが含まれている場合があります。 」文法的な間違いがあるだけでなく、ユーザーに何かをするよう促します。これは常に赤旗を立てるはずです。システムは、メッセージが重要であること、またはすぐに注意する必要があることをどのように知ることができますか
ユーザーが嘘をついてフィッシングメールに添付されたHTMLファイルを開くと、フィッシングWebサイトにリダイレクトされる可能性があります。偽のボイスメールサイトのテキストには、「 マイクロソフトがサーバーからボイスメッセージを取得するまでお待ちください。すぐに、被害者は詐欺師によって記録された偽のボイスメールメッセージの一部を聞くかもしれません。もちろん、完全な記録を聞くために、ユーザーはMicrosoft 365アカウントにログインするように求められる場合があります。そのため、フィッシングWebサイトでは、被害者を偽のログインWebサイトにリダイレクトする必要があります。偽のログインWebサイトでは、Microsoftのデザインと会社のロゴが使用されている可能性があります。その結果、ユーザーは正当なMicrosoft 365ログインサイトにいると考えるかもしれません。
被害者がMicrosoft 365ログイン資格情報を送信した後、ログインに成功したというメッセージが表示されるはずです。それを見てまもなく、ユーザーは合法的なoffice.com Webサイトにリダイレクトされるはずです。そのため、ボイスメールメッセージがなく、送信されたアカウントのログイン資格情報がサイバー犯罪者によって記録されたことを認識するまでに時間がかかる場合があります。
Microsoft 365アカウントを保護する方法は?
最新のフィッシング詐欺についてパニックに陥るのではなく、Microsoft 365アカウントをセキュリティで保護し、あなたや従業員のアカウントがハッキングされることを恐れずにこれらのサービスを使用し続ける方法を学ぶことをお勧めします。そのためには、以下のヒントを使用することをお勧めします。
二要素認証を有効にする
2要素認証は、任意のアカウントにセキュリティレイヤーを追加する優れた方法です。有効にした後、ユーザーはアカウントのログイン資格情報だけでなく、電子メールまたは電話で受け取った確認コードも提供するように求められます。このような場合、サイバー犯罪者がアカウントのユーザー名とパスワードを見つけたとしても、必要なコードを提供しないとログインできません。ただし、他のすべてのセキュリティ対策と同様に、 Two-Factor Authenticationは絶対的な保護を保証できないため 、できるだけ多くの安全対策を講じることが最も賢明です。
強力なパスワードを設定する
2要素認証を有効にしても、覚えやすくて弱いパスワードを使用できるというわけではありません。 Microsoft 365アカウントが可能な限り安全であることを確認するには、強力なパスワードを設定することをお勧めします。専門家は、安全なパスコードの組み合わせを作成するために、小文字と大文字、数字、記号の両方を含む10〜12文字を使用することをお勧めします。このようなパスワードを思い付くことができない、または暗記できない場合は、 Cyclonis Password Managerのような専用のツールを使用することをお勧めします。
安全な管理アカウント
Microsoft 365サービスの管理アカウントはさまざまな特権を提供する可能性があるため、サイバー犯罪者はそれらをより頻繁に標的にする可能性があります。そのため、専門家は、そのようなアカウントが一意のパスワードと2要素認証で保護されるようにすることをお勧めします。また、必要な場合にのみこのようなアカウントを使用し、アクセスする前に不要なブラウザタブを閉じることをお勧めします。
Microsoft 365サービスを使用する従業員を教育する
複数の安全対策を使用してMicrosoft 365アカウントを保護しても、人為的エラーによりハッキングされる可能性があります。これを防止したい企業は、従業員にサイバーセキュリティと最新のサイバー脅威について教育する必要があります。たとえば、Microsoft 365ユーザーを標的とする詐欺メールが時間内に発見されるようにするには、従業員にフィッシングメールとWebサイトを認識する方法を教える必要があります。また、従業員は自分の仕事で使用するプログラムとサービスについてすべて知っておく必要があります。そうすれば、従業員は自分に何を期待し、使用するソフトウェアからどのような動作や要求が疑わしいかを知ることができます。
全体として、Microsoft 365ユーザーを対象とした最新の詐欺は、フィッシングメールをまだ忘れてはならないことを示しています。残念なことに、詐欺されたくない私たちにとっては、メールを精査することが依然として必要です。また、サイバーセキュリティのニュースをフォローして、そのような攻撃を時間内に知ることも同様に重要です。このブログ投稿が、このフィッシング詐欺についての認識を広めるのを助け、ユーザーがMicrosoft 365アカウントを保護して、ハッキングされないようにすることを願っています。これらのフィッシングメールを時間内に学習しておらず、ログイン資格情報をサイバー犯罪者に明かした可能性がある人のために、Microsoftが提供するガイドを使用することをお勧めします。