フィッシングの新たな傾向が発見されました。セキュリティ アドバイザーの新しい調査によると、サイバー犯罪者はユーザーの認知バイアスを悪用したパーソナライズされたソーシャル エンジニアリング攻撃を作成**しています**。この研究で得られるもう 1 つの最も興味深いデータは、より多くのトレーニングを受けている人ほど、こうした攻撃に陥りやすいということです。
まず、認知バイアスとは、人間が意思決定を行う前に、情報を処理および解釈する際に無意識に行う精神的な近道を指すことを知っておく必要があります。 SecurityAdvisor の CEO、Sai Venkataraman 氏はVentureBeatに対し、この傾向により、サイバー犯罪者は受信者の思考や行動を操作して、リンクをクリックしたり、Web サイト上で機密情報を入力したりするなど、危険な行動をとるよう仕向けていると語った。
訓練を受けている人は騙されやすい
これらのより高度な攻撃を特定できるようにしたい場合に留意すべき点は、攻撃が以前のユーザーの行動に基づいている可能性があるということです。このレポートでは、マルウェア、フィッシング、電子メール セキュリティ、その他の現実世界の攻撃に関するデータを調査し、より多くのトレーニングを受けている人の方が、ほとんどまたはまったくトレーニングを受けていない人よりも悪意のあるリンクに頻繁にアクセスできることが判明しました。
これに関して、 1 回のトレーニング セッションを受けたユーザーの 11% がフィッシング リンクをクリックしたことが判明しました。同時に、5 つのトレーニング セッションを受けたユーザーの 14% がリンクをクリックしました。
どうしてそんなことが可能になるのでしょうか?理由はいくつかあります。サイバーセキュリティのトレーニングを積んだ人々を罠に陥れるために使用される認知バイアスには、5 つの形態があります。
認知バイアスを利用した5種類の攻撃
ユーザーが信頼しているブランド名や企業名を利用したハロー効果がある一方で、大学の上級管理職向けカンファレンスに偽り招待するなどの罠も仕掛けています。
2 つ目は、いわゆる「双曲割引」で、人々にはすぐに結果が得られる報酬を選択する傾向があることが判明しました。ここでは、リンクにアクセスすることでお金が入った小切手やコンピュータ デバイスの割引を得ることができると約束する典型的なフィッシング攻撃が示されています。専門家によると、この行為は長い間存在していましたが、今も被害者を集め続けています。
一方で、好奇心の影響もあります。フィッシング攻撃の 17% で見つかっています。このタイプの攻撃では、幹部が名前のないイベントへの排他的アクセスに関する情報を受け取る可能性があり、そのイベントについてもっと知りたいという欲求により、幹部が罠に陥る可能性があります。
一方、最新効果として知られる効果は、多くのメール サーバーに見られる、最近の出来事を覚えている傾向を利用したものです。たとえば、ユーザーを悪意のあるリンクにアクセスさせるために使用される可能性がある、新型コロナウイルス感染症 (COVID-19) ワクチンに関する情報です。
最後に、権威バイアスは、人々が権威者の意見を喜んで信頼することに基づいています。このバイアスを利用する攻撃者は、企業の上級管理者や CEO になりすます可能性があります。
SecurityAdvisor の調査によると、経営幹部は非上級従業員の 50 倍の頻度で標的にされており、次に IT セキュリティ チームのメンバーが一般従業員の 43.5 倍の頻度で標的にされています。使用される偏見も異なります。
サイバー犯罪者は、経営幹部をターゲットにするためにハロー効果または好奇心バイアスを利用する傾向がありますが、IT セキュリティ チームをターゲットにしたほとんどの詐欺は好奇心バイアスを利用しています。