ソーシャル・エンジニアリングは、人々を操作して、共有してはならない情報の共有、ダウンロードしてはならないソフトウェアのダウンロード、アクセスしてはならないWebサイトへのアクセス、犯罪者への送金を仕向けたり、個人や組織の資産やセキュリティーを危険にさらすその他の間違いを犯すよう誘導します。
信頼できるベンダーがクレジット・カード情報の更新を要求しているように見える電子メールや、IRSからのものであると主張する脅迫的なボイスメール、外国の有力者からの富の提供の申し入れ申し入れ、などは、ソーシャル・エンジニアリングのほんの一例です。
ソーシャル・エンジニアリングは、技術やデジタルのシステム上の脆弱性ではなく、人間の弱点を悪用するため、「人間のハッキング」と呼ばれることもあります。
多くの場合、サイバー犯罪者はソーシャル・エンジニアリングの戦術を使用して、ログイン資格情報、クレジットカード番号、銀行口座番号、社会保障番号などの個人データを取得します。こうした情報はID盗用に使用できますので、他人のお金やクレジットを使った買い物や、他人の名前でのローン申請、他人の失業手当の申請が可能になります。 しかし、ソーシャル・エンジニアリング攻撃は、大規模なサイバー攻撃の最初の段階にもなり得ます。 たとえば、サイバー犯罪者が被害者をだましてユーザー名とパスワードを共有させ、それらの資格情報を使用して被害者の雇用主のネットワークにランサムウェアを仕掛ける可能性があります。
ソーシャル・エンジニアリングは、ファイアウォールやウイルス対策ソフトウェア、その他のサイバーセキュリティー上の制御をハッキングするという難しい技術的作業を行わずに、デジタル・ネットワーク、デバイス、アカウントにアクセスできるため、サイバー犯罪者にとって魅力的です。 ISACAの「2021年セキュリティーの状況」レポートによれば、これがソーシャル・エンジニアリングが今日のネットワーク侵害の主な原因である理由の1つです。 また、これは最もコストのかかるものの1つです。IBMの「2021年データ障害によるコスト」レポートによれば、ソーシャル・エンジニアリング攻撃によって引き起こされたデータ侵害は、企業に平均で447万米ドルの費用を発生させています。
ソーシャル・エンジニアリングの戦術と技術は、人間の動機付けの科学に基づいています。 彼らは犠牲となる人の感情や本能を、人が自己の最善の利益ではない行動をとるよう駆り立てられると実証されている方法を使って操作します。
ほとんどのソーシャル・エンジニアリング攻撃は、次の1つ以上の戦術を採用しています。
フィッシング攻撃は、受信者を操作して機密情報を共有したり、悪意のあるソフトウェアをダウンロードしたり、お金や資産を間違った人に転送したり、その他の有害な行動をとろうとするデジタルや音声のメッセージのことです。 詐欺師は、フィッシング・メッセージを作成して、信頼できる、信用に足る組織や個人(場合によっては、受信者が個人的に知っている個人も使われます)から送信されたように見せたり、聞こえたりするようにします。
フィッシング詐欺には多くの種類があります。
IBMの「2021年データ障害によるコスト」レポートによれば、フィッシングは最も一般的なマルウェア配信方法であり、データ侵害の2番目に一般的な原因です。
ベイティング(餌付け)は、貴重なオファーや貴重なオブジェクトで誘って、被害者を(しゃれを意図せずに)誘惑して、機密情報を故意または無意識に放棄したり、悪意のあるコードをダウンロードしたりするようにします。
ナイジェリアの王子の詐欺は、おそらくこのソーシャル・エンジニアリング手法の最も有名な例です。 より最近の例としては、無料だがマルウェアに感染したゲーム、音楽、またはソフトウェアのダウンロードなどがあります。 しかし、餌のいくつかの形態はほとんど巧妙ではありません。 たとえば、一部の詐欺師は、マルウェアに感染したUSBドライブを、人々が見つけられる場所に置いておくだけです。「おお、タダのUSBドライブだ」という理由で、それらを入手して使用するからです。
テールゲーティングは、「ピギーバッキング」(ただ乗り)とも呼ばれ、許可されていない人物が、許可された人物が機密情報や貴重な資産を含むエリアに入るのを詳しく追跡します。 テールゲーティングは、ロックされていないドアから従業員を追跡する場合など、物理的なものに行うこともできます。 ただし、個人アカウントまたはネットワークにログインしたまま、人がコンピューターを放置しておく場合など、テールゲーティングはデジタルで行うこともできます。
プリテキスティング(口実作り)では、詐欺師は被害者に偽の状況を作り出し、それを解決するのにふさわしい人物を装います。 非常に多くの場合(そして最も皮肉なことに)、詐欺師は被害者がセキュリティー違反の影響を受けたと主張し、被害者が重要なアカウント情報を提供したら問題を修正したり、被害者のコンピューターやデバイスを制御することを提案します。 (技術的に言えば、ほとんどすべてのソーシャル・エンジニアリング攻撃にはある程度の口実が含まれます。)
クイド・プロ・クォー(代償型)の詐欺では、ハッカーは、被害者の機密情報と引き換えに、望ましい商品やサービスをちらつかせます。 偽のコンテストの賞金や一見無邪気な忠実に対するリワード(「お支払いありがとうございます。あなたに贈り物があります」)は、クイド・プロ・クォーの策略の例です。
また、マルウェアの一種と見なされているスケアウェアもあります。これは、恐怖を利用して人々を操作して機密情報を共有したり、マルウェアをダウンロードしたりするソフトウェアです。 スケアウェアは、多くの場合、ユーザーを犯罪であると非難する偽の法執行通知、またはユーザーにデバイス上のマルウェアを警告する偽のテクニカル・サポート・メッセージの形式をとります。
「誰かが水飲み場を毒殺した」というフレーズに由来するもので、ハッカーは、ターゲットとなる人が頻繁に訪れる正当なWebページに悪意のあるコードを挿入します。 水飲み場型攻撃は、盗まれた資格情報から無意識のドライブ・バイ・ランサムウェアのダウンロードまで、すべての原因となります。
ソーシャル・エンジニアリング攻撃は、技術的な経路ではなく人間の心理に依存しているため、防止が難しいことで有名です。 攻撃対象領域も重要です。大規模な組織では、1人の従業員のミスだけでも、企業ネットワーク全体の整合性を損なうことがあります。 ソーシャル・エンジニアリング詐欺のリスクと成功を軽減するために専門家が推奨する手順には、次のものがあります。