昨年、私の「銀行」から、私の口座で不審な行為があったことを警告する電子メールを受け取りました。レイアウトとロゴは私が銀行から受け取った他の公式通信と一致していたので、当然のことながら心配になりました。
しかし、いくつかの点が合わなかったのです。私の名前ではなく、「大切なお客様」と呼びかけられました。その後、口座の詳細を確認することになっていましたが、これは銀行のセキュリティに関するアドバイスに反しているように思えました。ただし、最も危険信号は、電子メール アドレスが銀行のドメインと一致しなかったことです。
![→今すぐダウンロード:Eメールマーケティングの初心者向けガイド[無料の電子ブック]](https://zephyrnet.com/wp-content/uploads/2024/02/4-phishing-email-examples-even-i-could-fall-for-how-to-spot-them.png)
詐欺師は非常に賢くなっています。生成 AI などのツールにより、正規の企業のブランディング、口調、さらには文章のスタイルさえも簡単に模倣できるようになりました。
しかし、フィッシングの試みを特定するのに役立つ明らかな兆候はまだあります。ここでは、これらの兆候について説明し、誰でも騙される可能性のあるフィッシングメールの例を紹介します。
フィッシングメールとは何ですか?
フィッシングメールは、受信者をだましてログイン資格情報、クレジットカード番号、個人識別情報などの機密情報を提供させるオンライン詐欺の一種です。
たとえば、次のようなメールがあります デビー・モラン、マーケティングマネージャー、 RecurPost、 受け取った:
サイバー犯罪者は、銀行、公的機関、または有名企業などの正当な送信元から送信されたかのようにこれらの電子メールを設計し、緊急性や恐怖感を生み出し、即時の行動を促します。
その後、詐欺師は盗んだ情報を使って詐欺や個人情報の盗難を行ったり、被害者の金融口座にアクセスしたり、不正な購入をしたり、さらには他人に対してさらなるフィッシング攻撃を仕掛けたりします。
さまざまな種類のフィッシングメール
フィッシングメールにはあらゆる形式とサイズがあり、それぞれが特定の脆弱性やシナリオを悪用するように設計されています。
それぞれのタイプのフィッシングメールは、信頼、恐怖、好奇心などの人間の特定の特性を悪用します。ここでは、一般的なタイプとフィッシングメールの例をいくつか示します。
スピアフィッシング
スピア フィッシングは、高度にパーソナライズされた電子メールを通じて、特定の個人または組織をターゲットにします。攻撃者は、ソーシャル メディアやその他のソースから収集した情報を使用して、メッセージが正当であるかのように見せかけます。
たとえば、次のようなメールがあります ファン・シー・クオン, の親ブランドである Awesome Motive の PR スペシャリストです。 WPBeginner、 受け取った。同社の従業員がこれを受け取った当時、彼らは別の会社で従業員保険に加入していた。
デザインは人々をだますのに十分プロフェッショナルでしたが、良かったのは、会社が抑制と均衡を持っていたことです。
「何か奇妙なことが起こったときは、常に社内チャネルで連絡を取り、同じ内容を受け取っている人がいるかどうかを確認するか、担当者 (この場合は人事マネージャーでした) に直接連絡して、それが当社からのものであることを確認します。」 クオン氏は言う。
クオン氏によれば、何かが起こるとチームは常にヘッズアップを受け取ります。 「以前連絡していた保険についても説明を受けており、メールに記載されている内容が正しくないことは認めました。」 クオン氏は言う。
捕鯨
捕鯨攻撃は、CEO、CFO、その他の上級幹部などの注目を集めるターゲットに焦点を当てたスピア フィッシング攻撃です。通常、目的は会社から機密情報を盗むこと、または不正な金融取引を開始することです。
たとえば、サイバーセキュリティ会社の経理部門 Heimdalの この一連のメールを受け取りました。
攻撃者は 2 つの電子メール アドレスを作成し、それらの間で複数の電子メールを送信し、それらを会社の経理部門に転送しました。支払いのために転送する一連のメールを作成するのは素晴らしいトリックです。
バレンティン・ルスヘイムダルの研究責任者は、特に捕鯨が「既存のセキュリティシステムが文法上の欠陥、不審な電子メール、不審なリンク、意図に基づいて機能しているため、非常に危険な傾向である」と付け加えた。
電子メールにそのような問題がない場合、Heimdal のようなサイバーセキュリティ会社は、データから学習して電子メールの動作に適応する、個人向けにカスタマイズされたニューラル ネットワークを顧客に提供します。
ルス氏が例を挙げます。インシデント対応マネージャーとして、多数の悪意のある URL や添付ファイルを受け取るのは普通のことだと Rusu 氏は言います。しかし、これは財務部門にとって通常の行動ではありません。
「これは、あらゆるシナリオで機能する電子メール製品を作成することはできないことを意味するため、カスタム ニューラル ネットワークを構築しました。このパーソナル AI は会社の電子メールから学習し、パターンに合わない行動を検出します。」 ルスは言う。
ファーミング
ファーミングは、DNS ハイジャックまたはポイズニングを介して正規の Web サイトから詐欺的な Web サイトにユーザーをリダイレクトし、個人情報や財務情報を収集します。この攻撃は電子メールベースではありませんが、フィッシングメールと組み合わせて行われることがよくあります。
例: 「銀行」からの電子メールでは、提供されたリンクを介してアカウントにログインするよう求められ、本物と同じように見える偽の銀行サイトに誘導されます。
クローンフィッシング
クローン フィッシングでは、以前に送信された電子メールとほぼ同一のコピーが作成されますが、悪意のあるリンクや添付ファイルが含まれています。攻撃者は、配信試行の失敗またはコンテンツの更新により電子メールを再送信していると主張する可能性があります。
たとえば、FedEx の配達通知メールを模倣したメールを次に示します。
Vishing(ボイスフィッシング)
ビッシング (ボイス フィッシング) では、電子メールの代わりに電話を使用して被害者を騙します。これは電子メールフィッシングを補完することが多いため、言及する価値があります。
たとえば、銀行からの着信を装ったボイスメールや直接電話があり、アカウント上で不審な行為があったことを告げ、提供された番号を使って掛け直すよう求めますが、これは詐欺師につながります。
スミッシング(SMSフィッシング)
スミッシングはフィッシングに似ていますが、SMS テキストを使用します。ユーザーを悪意のある Web サイトに誘導したり、テキストで個人情報の提供を求めたりします。
たとえば、これはカナダ歳入庁からのメールと思われるメールで、400 ドルを約束してクリックするよう誘惑しています。
フィッシングメールを見分ける方法
特に ChatGPT のような GenAI ツールを使用すると、パーソナライズされたフィッシング メールを数秒で簡単に作成できるようになってから、フィッシング メールは非常に洗練されています。
実際、これは Valentin が同じ目的で ChatGPT を使用した例です。
怖いですね。によると Proofpoint の 2023 年のフィッシング状況 レポートによると、約 45% の人は、馴染みのある企業ブランドが電子メールの安全性を高めるわけではないことを知りません。
このような電子メールから保護される可能性を高めるには、次の 6 つの兆候に注意してください。
1. 不審なメールアドレス
あなたの知っている会社からのものと思われるメールを受け取りました。
ただし、送信者の電子メール アドレスをよく見て、文字がごちゃ混ぜであったり、微妙なスペル ミス (「amaz0n.com」など) が含まれている場合は、危険信号です。合法的な企業は、ドメイン名と一致する電子メール アドレスを持っています。
合法的な企業は、@gmail.com、@outlook.com、@yahoo.com などのパブリック ドメインやその他の無料メール サービスを公式のコミュニケーションに使用しません。
信頼できる企業から送信されたと主張する電子メールを受信した場合でも、その送信元がこれらのパブリック ドメインのいずれかである場合は、注意してください。
この詳細は、本物の電子メールと潜在的なフィッシングの試みを区別するための重要な指標となります。
2. 文法とスペルの間違い
メールを開いて、タイプミスを 1 つや 2 つ見つけたことがありますか?確かに、誰もが間違いを犯すことはありますが、文法上の間違いやスペルミスだらけのメッセージは、重大な問題を示しています。
タイプミス、奇妙な文法、正しく聞こえない文章に注意してください。また、「大切なお客様各位、以下をクリックして本人確認をしてください。」など、ぎこちない表現や一般的な用語の誤用にも注意してください。
実際の企業は、間違いが最良の印象を与えないことを知っているため、メールの校正ツールやスペルチェック ツールを備えています。
3. 慣れない挨拶や挨拶
電子メールがあなたの名前の代わりに「お客様各位」またはその他の一般的な用語で始まっている場合、それは詐欺である可能性があります。奇妙な承認や過度に形式的な承認についても同様です。堅苦しいように見えるかもしれませんが、送信者が実際にはあなたのことを知らないという兆候でもあります。
あなたが取引している合法的な会社のデータベースにはあなたの名前が登録されています。承認についても同様です。カジュアルなはずのサービスプロバイダーからの正式な「よろしくお願いします」や、詳細なフォローアップなしの突然の「ありがとう」など、堅苦しい承認は危険信号です。
4. 不審なリンクまたは添付ファイル
フィッシングメールへの対処で最も注意が必要な部分の 1 つは、大ざっぱなリンクと添付ファイルです。誤ってクリックしてしまうと、コンピュータにマルウェアが侵入する可能性があります。
クリックする前に必ず URL を確認してください。メールには銀行からのものと書かれているが、リンクがどこか奇妙な場所(ランダムな文字の組み合わせや銀行の実際の URL と一致しないサイトなど)を指している場合、それは手を引く合図です。
また、よくある手口は、請求書、領収書、または「必見」のオファーであると主張する文書を送信することです。しかし、それを開いた瞬間に、マルウェアやウイルスがシステムを通過する可能性があります。
キー?リンクの上にカーソルを置くと、実際のリンク先が表示されます (クリックせずに)。また、予期しない添付ファイルがあった場合は、別のチャネルを通じて送信者に連絡して、それが正当なものであることを確認してください。
5. 個人情報の開示請求について
評判の良い企業は、電子メールで機密情報を要求することはありません。電子メールがどれほど公式に見えても、これを覚えておいてください。本物の組織は、パスワード、クレジット カード番号、社会保障番号などの機密情報を電子メールで要求しません。
たとえば、電子メールには「あなたのアカウントで不審なアクティビティが検出されました。アカウントを保護するためにパスワードを確認してください。」それは罠だ。実際の銀行や企業には、このような状況に対処するための安全なプロセスがあり、機密情報を電子メールの隙間に送信する必要はありません。
あなたがすべきことは次のとおりです。個人情報を返信するのは絶対にやめてください。少しでも心配な場合は、ソースに直接アクセスしてください。公式ウェブサイトからアカウントにログインするか、公式連絡先番号に電話してください。
6. 緊急または脅迫的な言葉遣い
ドキドキするメールを受け取ったことがありますか?
「早急な対応が必要です!」または「あなたのアカウントは侵害されました!」 — かなり緊急だと思いますよね?しかし、それはまさにフィッシング詐欺師が望んでいることです。彼らは緊急の言葉や脅迫的な言葉を使って、あなたを何も考えずに反応させます。
たとえば、「アカウントのパスワードの有効期限が切れています。アカウントにアクセスできなくなる前に今すぐ更新してください。」や「荷物の配達に失敗しました。」などの文言が表示されることがあります。 24 時間以内に情報を更新してください。」
合法的な組織は通常、あなたを怖がらせて行動を起こさせることはなく、安心させてくれます。
代わりに、電子メールではなく、公式チャネルを通じて見つけた連絡先情報を使用して、会社に直接連絡してください。誰かがあなたに早く行動するよう強く押し付けているとき、それはおそらく、あなたが何をしているのかについてあまり考えたり、他の人に相談したりすることを望まないからです。
騙されてしまうかもしれないフィッシングメール (そして最終的に騙されなかった理由)
私は、いくつかの重大な危険信号がなければ、私を騙していた可能性がある、説得力のあるフィッシングメールの例をいくつか見てきました。ここでは、それらの危機一髪のいくつかを共有し、私が最終的にそれらに引っかからなかった理由を説明します。
PayPal
この電子メールは、一目で信頼性を示唆する配色とロゴで PayPal のブランドを釘付けにしています。しかし、詳しく調べてみると、「リンクをたどって」、「成功しました」、「移動中」など、多数のスペルミスが見つかりました。
挨拶も個人的なものではなく (「こんにちは、お客様」)、PayPal の標準的なコミュニケーション スタイルから逸脱しています。さらに、サインオフ (「PayPal サービス」) には、会社に期待されるプロフェッショナリズムが欠けています。
Netflix
このメールの件名には、「お支払いが失敗したため、メンバーシップがキャンセルされました」と記載されており、すぐに私の注意を引きました。
しかし、メールの内容はこのメッセージとは矛盾し、「ご要望どおり、アカウントをロックしました」と主張していました。この矛盾は明らかな警告サインでした。
これとは別に、「Netflix の友人たち」という結びの言葉は、Netflix の公式コミュニケーションとしては珍しく非公式に見えました。
しかし、フィッシングの試みの最も顕著な兆候は、送信者の電子メール アドレス no-reply@talents-connect.fr でした。これは、Netflix とは明らかに無関係なドメインです。これらの兆候により、このメールがフィッシング攻撃であることは明らかでした。
Apple
Apple からのものとよく似た電子メールを受け取りました。ロゴもすべて正しいものでした。この挨拶は最初の危険信号でした。宛先は私の名前ではなく「親愛なるお客様」でした。
そのメールには私のアカウント情報の不一致が記載されており、24時間以内に解決しない場合はiCloudへのアクセスをブロックすると脅迫されていました。フィッシング攻撃はこの緊急性を利用して、人々をだまして迅速かつ慎重に対応させようとします。
Apple に何も連絡していなかったにもかかわらず、ケース番号を教えてくれたので、関係ありませんでした。さらに、件名には私の AppleID がロックされていることが書かれており、オンタリオ州からの変更についても触れられていましたが、これはメールの残りの部分と一致しませんでした。
奇妙な挨拶、アカウントの修正を急ぐこと、どこからともなくケース番号を突きつけられること、件名が一致しないことなど、これらのことは意味がありませんでした。彼らは皆、この電子メールは実際には Apple からのものではないと指摘した。
Amazon
最近、Amazon から一見すると同社からのもののように見える電子メールを受け取りました。ブランドは正確で、Amazon の配色とロゴと一致しているように見えました。ただし、いくつかの矛盾がありました。
送信者の電子メール アドレスは、文字と数字の意味のない組み合わせでした。また、電子メールの違法性を裏付ける、ランダムで意味のない名前の添付ファイル (これはすでに危険信号です) もありました。
この電子メールは、私の名前ではなく電子メール アドレスを使用してメッセージをパーソナライズしようとしました。
さらに、大文字を適切に使用せずに「amazon」を使用したこと、文脈から外れているように見える「マイ アカウント」というラベルが付いた行動喚起、そして「当社と取引していただきありがとうございます!」という気まずい締めくくりの言葉がすべて、このメールがフィッシングの試みであることに気づきました。
フィッシングはもうやめよう
詐欺師は賢く、本物らしく説得力のある電子メールを作成するために多くのツールを使用します。しかし、これらのツールや試みは常に人間の想像力に基づいています。
彼らは恐怖、切迫感、好奇心などの感情を利用して、素早い、思慮のない行動を促します。緊急の言葉、個人情報の要求、想定される送信者の Web サイトと完全に一致しないリンクなどのパターンを認識することが、防御の第一線となります。
最後に、個人情報が悪者の手に渡らないように、スパム フィルター、ウイルス対策ソフトウェア、電子メール検証などのツールについて知識を深め、知識を補ってください。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://blog.hubspot.com/marketing/phishing-email-examples
