Kaspersky Labは2022年12月6日(現地時間)、「Main phishing and scamming trends and techniques」において、2022年におけるフィッシングおよびスキャミングの主なトレンド、手法、テクニックを紹介した。
データや金銭を盗むことを目的としたオンライン詐欺は、主にフィッシングとスキャミングの2種類に分けられる。フィッシングは主に認証情報や銀行のカード情報など、被害者から機密情報を聞き出そうとする詐欺。一方、スキャミングはソーシャルエンジニアリングを駆使して、ターゲットが自発的に送金するように説得する詐欺とされている。
フィッシングおよびスキャミングの多くは、偽のWebサイトへのリンクを含む大量の電子メールによるものとされてきたが、最近では別の攻撃経路としてメッセンジャーやソーシャルネットワーク、マーケットプレイスなどさまざまなコミュニケーションやデータ共有のプラットフォームがフィッシングリンクを配布するために悪用されているという。
詐欺を成功させるために技術的・心理的なトリックが幅広く利用され、発見されるリスクを最小限に抑えながら、できるだけ多くのユーザーをだます攻撃手法が採用されている。2022年に観測された主なフィッシングおよびスキャミングの攻撃手法としてスプーフィングと呼ばれるWebサイトのなりすましが取り上げられている。
スプーフィングには、主にドメインスプーフィングとコンテンツスプーフィングの2つのタイプがあるとされている。ドメインスプーフィングは攻撃者がWebサイトのドメインを偽装してユーザーを欺くなりすましとされており、コンテンツスプーフィングは正規のWebサイトの外観を模倣するなりすましと説明されている。
検知されないようにするため、詐欺師がさまざまなテクニックを駆使していることも確認されている。検知を回避する方法の一つが難読化とされており、ユーザーには見えないソースコードを難読化して詐欺を検知しにくくしている。また、詐欺サイトを検知から守るもう一つの方法として、画像やブラウザ通知、ポップアップウィンドウの使用による自動分析からページの内容を隠す手法も紹介されている。
多くのユーザーが現在のWebの脅威を認識しているため、攻撃者が被害者をだますことが難しくなってきており、より巧妙な手口が要求されてきている。そのため、フィッシングサイトや詐欺サイトも安直なものではなく、質の高い偽物が多くなってきている。引き続き詐欺について理解を深め、だまされないよう細心の注意を払うことが望まれる。