オンライン アカウントがサイバー犯罪者に乗っ取られる仕組み

最近、友人が子供の頃に家族と遊んだゲームの話をしてくれました。 ドライブ中、彼らは他の車に乗っている人たちがどこから来たのかを推測しようとしました。 彼らの推測は限られた情報、せいぜいナンバープレートやバンパーステッカーに書かれた州名に基づいたものだった。

対照的に、今日では、私たちの個人情報はデジタル資産全体で非常に簡単に見つけられるようになり、フィッシングやスミッシングなどのソーシャルエンジニアリングの戦術を通じて悪意のある人物がそれらにアクセスすることも容易になっています。

サイバー犯罪者の心理

サイバー犯罪は、ほとんどの犯罪と同様に、MOM (手段、機会、動機) という概念から始まります。 サイバー犯罪者の心理と、サイバー詐欺を犯す動機を理解することが重要です。

• 手段： 犯罪を犯す能力、道具、手段は豊富にあります。 今では、無料で利用できるツールやサービスが豊富にあるため、犯罪者はこれまで以上に詐欺を犯すのに高度な専門家である必要はありません。
• 機会： 潜在的なターゲットはたくさんあります。 application経済が急成長し、お金から個人の医療記録まであらゆるものがデジタル化されるようになったことで、サイバー犯罪者には詐欺を働く十分な機会と標的が生まれています。
• 動機： 通常、動機は金銭的なものですが、常にそうとは限りません。

攻撃を受けていると仮定する

一般的に、あなたが管理するすべての消費者向けapplicationとデジタル アカウントは遅かれ早かれ攻撃を受けると想定してください。 攻撃者はアプリのロジックを悪用して詐欺を働く技術を習得しているため、最も保護が厳重なアカウントでもこのようなことが起こります。

サイバー犯罪者に勝つにはチームワークが必要です。 チームには、個人のアカウント所有者、機関のapplication開発者、詐欺対策チーム、セキュリティ チームが含まれます。 適切なアプローチには、これらのapplicationsを使用する個人と、それらを構築する企業による共同の取り組みも必要であり、セキュリティ チームと詐欺対策チームが自動化されたapplicationの脅威に対する防御を統合して、上流でのボット攻撃を阻止し、下流での詐欺を防止することから始める必要があります。

ボットは諸刃の剣

自動化自体は良いことです。 ボットは反復的なタスクを自動化し、企業が顧客を引き付け、ブランド親和性を構築するのに役立ちます。 たとえば、顧客サービスチャットボットとやり取りして、質問に対するリアルタイムの回答を受け取ったことがあるかもしれません。

しかし、悪意のある人の手に渡ると、ボットや自動化は、アカウントの乗っ取りや詐欺行為を目的としたクレデンシャル スタッフィングなどの悪意のある攻撃を実行するために使用できる強力なツールとなります。

通常、クレデンシャル スタッフィング攻撃では、以前に盗まれた資格情報を活用し、多数のドメインにわたってテストします。 これらの攻撃は、ユーザー名とパスワードが多くのapplicationsで一般的に再利用されるという事実を利用します。

実際、最近のレポートによると、従業員は平均して 13 回パスワードを再利用します。 さらに、消費者が自分のアカウントが侵害されたことを通知されても、パスワードを変更するのは約 3 分の 1 にすぎません。

サイバー犯罪者はこれらの弱点を利用して、次のようなさまざまな種類の詐欺行為を実行します。

• 金融詐欺: 攻撃者は盗んだ個人情報を使用して、被害者の名前で口座を開設したりアクセスしたりして金銭を盗みます。 これらのアカウントはマネーロンダリングなどの他の犯罪行為をサポートする可能性もあります。
• 小売詐欺: 攻撃者は盗んだ個人情報を使用して、小売店や電子商取引サイトで購入したり、在庫を蓄えたり、残高のあるギフトカードを盗んだりします。
• 接客詐欺: この種の詐欺は、通常、旅行や顧客ロイヤルティプログラムをターゲットにしています。 攻撃者は不正な旅行サービスや接客サービスを利用して、ユーザーの資格情報や個人情報を他の目的で収集します。 また、以前に獲得したロイヤルティ ポイント、航空マイル、特典ポイントを、自分や他人のために旅行サービスを予約する目的で使用します。

認証情報攻撃の問題

ID ベースの認証情報攻撃は、詐欺につながる自動化された Web 攻撃の最大の原因です。 サイバー犯罪フォーラムでは、個人情報が簡単に購入できます。 リストはいくつかのソーシャル メディア プラットフォームで見つけたり購入したりできます。

過去 1 ～ 2 日以内に盗まれたような新しい認証情報は価値が高く、サイバー犯罪者にとって購入コストも高くなります。 古い資格情報は成功する可能性が非常に低いため、価値が低くなります。 貴重な認証情報や個人を特定できる情報は外部のアカウント侵害によって取得されるため、これらの攻撃を特定して阻止することは困難です。

例を見てみましょう。 資格情報が盗まれたり取得されたりすると、サイバー犯罪者はボットやその他の自動化ツールを使用してアカウントの作成やアクセスを試みます。 何千回（あるいは何百万回）もの試行が行われる可能性があります。 資格情報ベースの攻撃の成功率は 0.2% ～ 2% の範囲です。 これらの割合は小さいように思えるかもしれませんが、何十億もの認証情報が無料またはわずかなコストで入手できるため、認証情報攻撃には高い成功率は必要ありません。

100 万のアカウントにアクセスし、成功率が 2,000 ～ 20,000 になると想像してください。 それは驚くべき数字です！

アカウント乗っ取りと詐欺の防止

これらの犯罪行為はそれぞれ一連の出来事のつながりであるということを理解することが重要です。 「産業化された攻撃サイクル」（下図参照）は、エコシステムの重要な要素を示しています。 残念ながら、これは大規模で回復力のあるエコシステムであるため、個人や組織は自分自身、顧客、ビジネス パートナーを保護するために警戒を怠らないことが不可欠です。

私たち個人は、潜在的に損害を与えるフィッシング攻撃を識別し、非常に強力なパスワードを使用し、異なるアカウント間でのパスワードの再利用を制限することを学ぶ必要があります。

同時に、セキュリティ チームと詐欺対策チームが協力して、産業化された攻撃ライフサイクルを共同で阻止する必要があります。

F5 が組織をサイバー詐欺から守るためにどのように役立つかについては、以下のビデオをご覧ください。
 

API とそれがセキュリティ上の問題となる理由について検討する、サイバーセキュリティ啓発月間の 4 部構成のブログ シリーズの最終投稿をお楽しみに。 また、以前のブログ投稿もぜひお読みください。 最新のアプリの構築と展開方法 そして 悪意のある人物が攻撃でapplicationsを悪用する方法。