メール:偽メールの内容と本物の見分け方は?Eメールを偽装する方法はたくさんあり、サイバー犯罪者はますます巧妙になっています。
例えば、上司や重要なクライアントからメールを受け取った場合、それを開く前にあまり長い時間は考えませんよね?そこで登場するのが、偽メールを作成するハッカーの能力だ。
なりすましは、ユーザーを騙してメッセージを開かせるために広く使われているID偽装のテクニックです。
これは、「差出人」フィールドを変更し、送信者が誰かや企業のふりをする偽のものであるようにするものです。
悪意のあるメッセージを見分ける方法を知っておくことは非常に重要です。以下のヒントに注意してください!
目次
偽メールとは何か?
送信者のドメインを確認する
前述したように、なりすましはドメインの一文字を変えることで送信者を変え、偽のメールをほとんど気づかれないようにする。
例えば、[email protected]、正しくは[email protected]。
また、.govの拡張子など、次のような方法で電子メールをマスクすることもできる。
[email protected]。これは実在するドメインだが、役所の実在するドメインではない。
これは、銀行、協会、請求書発行会社、医療プランなどからのメールにも当てはまります。この種のメールにはスパム対策フィルターが有効ですが、用心に越したことはありません。
一般的に、偽ドメインのメールはスパムフォルダに送られます。
これは、バルクメールの送信者が本物の送信者であることを識別する認証を持っているためです。
これらの認証は、ドメイン自身が設定します。それらは以下の通りです:
- SPF:Sender Policy Framework(送信者ポリシー・フレームワーク)。この認証は、そのドメインからのメール送信が許可されているすべてのIPSをリストアップします。
- DKIM:DomainKeys Identified Mail。この認証は、ドメインが送信するすべてのメッセージに対して、そのドメインの暗号化された署名として機能する。
- DMARC:Domain-based Message Authentication Reporting and Conformance:SFPとDKIMの設定をチェックした後、サーバーが知る必要のあるすべての情報がここにある、
言い換えれば、SPFやDKIMのフォールトがあるメッセージを受信したときに、サーバーが従うべき指示です。隔離しますか?拒否するか?それは各送信者のDMARCポリシーが決めることだ。
大げさなプロモーション
過大な収益を約束するオファーには注意してください。この種の広告には通常、ユーザーにリンクをクリックさせようとする悪意が隠されています。
これは、銀行やクレジットカードのパスワード、さらにはあなたのEメールアドレスを収集するために設計されたソフトウェアです。
だから、怪しいリンクはクリックしないこと。知らない送信元からのメール内容も開かないのが理想的です。
データ送信
電子メールや携帯電話のメッセージなどで個人情報を送らないこと。この種の請求は企業の常套手段ではないので要注意です。
犯罪者は、登録を更新するよう求めるEメールでユーザーを騙そうとします。騙されないようにしてください!
電子メールや携帯電話のメッセージなどで個人情報を送らないこと。この種の請求は企業の常套手段ではないので要注意です。
犯罪者は、登録を更新するよう求めるEメールでユーザーを騙そうとします。騙されないようにしてください!
アタッチメントから目を離さない
添付ファイルは、ウイルスや、パスワードの収集などの悪意ある意図の保管場所となる可能性がある。一般的に、オンラインショッピングの利用者は、ショッピングサイト上でboletoを閲覧し、すぐに文書をダウンロードする。
偽の請求書は簡単に作成できる。そのため、(本人の同意なしに)何らかの請求書やその他の書類が添付されたものを受け取ったら、用心してください!
圧力
リンクやボタンを素早くクリックしないと、「チャンスはもうない」と言わんばかりのライトニング・ディールをご存知だろうか?気をつけよう!
自分の身を守るには
- 電子メールのパスワードを頻繁に変更することは、偽メールの侵入を困難にする防御策である。
- また、ウイルス対策ソフトを使って定期的にコンピュータのウイルススキャンを行うこともお勧めします。この場合、すでに偽メールによって被害を受けた機器を保護するのに役立ちます。
メール内容:企業にとって有害なもの
私たちは皆、偽メールの被害を受けやすいが、組織はさらに、企業や第三者のデータをハッキングする可能性のある、偽の企業メールの侵入による被害を受けやすい。
一般データ保護法(General Data Protection Act – LGPD)では、企業は自社の情報だけでなく、自社のアーカイブを通過する顧客やサプライヤーのデータのセキュリティにも責任を負うと定めています。
つまり、ハッカー攻撃やデータ盗難が発生した場合、情報を保有する企業はオンライン・セキュリティの欠如について国家データ保護局(ANPD)に対して責任を負うことになる。
問題を回避するために、企業は情報セキュリティの専門家をスタッフに置くべきです。
貴社の代理店は一般データ保護法を遵守していますか?
このテーマに関するウェビナーをご覧ください!
データの盗難は、偽メールによって引き起こされる多くの被害の一つに過ぎない。
偽メールとは何か?
マーケティング担当者を悩ませる偽メールのもう一つのタイプは、使い捨てメールとも呼ばれる一時的なメールです。
ウェブ上には、数時間しか使用できない使い捨てメールを作成できるサイトがいくつかあります。
これは、例えば電子書籍のダウンロードのような迅速なサービスに、ユーザーがアクセスできるようにするためです。
ユーザーがフォームに一時的な電子メールを登録すると、偽のアドレスがリストに載り、拠点の持ち主に大きな損害を与える。
このような損害を防ぐために、SafetyMailsリアルタイム検証APIは、使い捨て電子メールが登録フォームに入るのを防ぎます。
このようにして、フォームのインストールを必要とするウェブサイト、ランディングページ、アプリケーション、その他のウェブサービスは、悪質な電子メールから保護されます。
偽メールとは:結論
偽メールはこれまでも存在してきたし、これからも存在し続けるだろう。したがって、最善の防御策は、不審な挙動に目を光らせることである。
不審な電子メールを開かない、その結果、電子メールに接触しないという単純な事実が、すでに攻撃を未然に防いでいるのである。このようにして、ユーザーも企業も専門家も被害を受けることはない。
よくあるご質問
差出人を変えてメールの「差出人」欄を乗っ取り、送信者になりすます偽造テクニックだ。
メールのドメインを改ざんするスプーフィングに加え、メッセージに使用される通信も懸念材料だ。注意しなければならないのは、アプローチの種類である。大げさな宣伝、データ更新の要求、迅速な行動の扇動などは、犯罪者が最もよく使う手法の一つである。
改ざんされた電子メールにはデータ収集用のマルウェアが仕込まれている可能性がある。その結果、企業は自社のデータだけでなく、第三者のデータも盗まれる可能性があり、導光板を遵守していないとして国家データ保護局に回答しなければならない。
偽メールが登録フォームに入ると、メーリングリストが汚染され、ISPによってブロックされることになります。このような被害を避けるには、SafetyMailsリアルタイム検証APIをインストールする必要があります。