個人情報を利用した電子メールのフィッシングスキーム

新しい調査によると、電子メールフィッシング詐欺には、応答を誘発する形で提示された個人情報が含まれています。

この種の最初の研究で、バッファロー大学の研究者は、電子メールスキームの信じられないほどの広がりが被害者に訴える能力の結果であるという証拠を発見しました。

「個人のフィッシング被害へのプレゼンスの影響を調査する」という研究は、ハワイ大学で開催された第48回ハワイ国際システム科学会議で発表されました。

バッファロー大学のコミュニケーション教授であり、この調査の共同執筆者であるアルンヴィシュワナート氏は、「情報が豊富な」メールには、グラフィックス、ロゴ、および信頼性を伝えるその他のブランドマーカーが含まれていると述べています。

「それに加えて」彼は言います、「テキストは注意深く組み立てられて、個人的に聞こえ、注意を逮捕し、恐怖を引き起こします。多くの場合、受信者がなりすましの「応答」Webサイトへのリンクを使用する必要がある応答の期限が含まれます。フィッシング詐欺師によって設定されたこのようなサイトは、ユーザー名、パスワード、アドレス帳、クレジットカード情報のために被害者のコンピューターをデータマイニングするスパイウェアをインストールできます。

「これらの情報が豊富なルアーは、被害者に社会的存在感を引き起こすことができるため、成功していることがわかりました。これは、実在の人物と対応しているという感覚です」とVishwanathは言います。

「「プレゼンス」はメッセージをより個人的に感じさせ、不信感を減らし、ヒューリスティックな処理を引き起こします。メッセージの評価と対応の注意が減ります」と彼は言います。 「このような状況では、メッセージが個人情報を要求する場合、人々は、多くの場合非常に迅速にそれを引き渡す可能性が高いことがわかりました。

「この調査では、このような情報が豊富なフィッシングメッセージにより、参加者の被害率は68％になりました。

「これらは、電子メールの豊富さと存在の手がかりによってもたらされる脅威について個人を教育するフィッシング対策介入を開発することの重要性を示す重要な発見です」と彼は説明します。

研究者は、研究で使用するために準備されたGmailアカウントから実験的なフィッシングメールを送信された125人の大学生を調査しました。メッセージには返信先アドレスと送信者のアドレスが使用され、どちらにも大学の名前が含まれていました。

メールは緊急性を強調し、恐怖を呼び起こすように構成されました。受信者の学生のメールアカウント設定にエラーがあり、同封のリンクを使用してアカウント設定にアクセスし、問題を解決する必要があるとのことです。

彼らは短時間のうちにそうしなければならなかった、と彼らは言われました、さもなければ彼らはもはやアカウントにアクセスできなくなりました。実際のフィッシング遠征では、同封されたリンクにより、回答者の個人情報を収集する外部のアカウント/フィッシングサイトに誘導されます。

ビシュワナート氏によると、49人の参加者がフィッシング要求にすぐに返信し、別の36人がリマインダー後に返信しました。

次に、回答者は、電子メールの処理方法を決定する際の体系的（批判的思考）およびヒューリスティックな情報処理の使用を測定する5段階のスケールを完了しました。他のいくつかの変数が考慮されたとき、フィッシング攻撃の全体的な成功率は68％でした。

「電子メールが世界中の主要なコミュニケーション手段となっているため、テクノロジーが高度化し、フィッシング詐欺師が被害者にアピールする新しい方法を見つけるにつれて、フィッシングの傾向が高まることが予想されます。

「これらの犯罪者を簡単に止めることはできないかもしれませんが、これらの攻撃に対して私たちをより攻撃しやすくするものを理解することは、世界中のインターネットユーザーを保護する上で極めて重要な進歩です。」

ソース：バッファロー大学