ハッカーがあなたの最新のInstagram投稿を使ってあなたを攻撃する6つの方法
コーリー・ナクライナー著
ソーシャルメディア利用者の大多数は、ハッカーが観察力だけで攻撃を仕掛けられることに気づいていません。人々はソーシャルメディアプラットフォームで個人的な写真を頻繁に共有しています。強力なパスワードを設定し、最高のセキュリティ設定を使っているかもしれません。見知らぬ人からの友達リクエストを承認することさえためらうかもしれません。しかし、サイバー犯罪者は写真内の一見無関係に見える要素やキャプション内の単語を分析し、あなたの個人情報をつなぎ合わせて、説得力のある攻撃や詐欺を仕掛けることができることをご存知ですか?
下のInstagramの投稿を見てください。一見無害に思えるかもしれませんが、よく見ると、詐欺師が攻撃をより魅力的に、あるいは合法的に見せるために悪用できる6つの些細な情報が隠されています。
ブラックハットをかぶってハッカーのように考えてみましょう。
キャプション
この写真は、被写体がゲームをしているところを女性が「目撃」した後、女性のインスタグラムにアップロードされたようです。女性が趣味で写真を撮っているところを撮影したこの男性は、女性をよく知っている可能性が高いと考えられます。他のソーシャルメディアサイトで少し調べてみれば、男性の名前が見つかるかもしれません。彼についてさらに情報を入手したら、男性から送信されたように見せかけた、説得力のあるフィッシングメールを女性に送ることができます。説得力のあるフィッシングメールは、受信者を信頼できるウェブサイトの悪意のあるコピー(ログイン認証情報を盗むため)に誘導したり、エクスプロイトキットを使ってマルウェアをインストールさせたりする可能性があります。写真の被写体が特定できたら、撮影者に関する情報を活用してフィッシングを試み、成功率を高めることもできます。
封筒
机の上の封筒には氏名と住所が記載されており、写真に写っている男性を簡単に特定できます。この住所情報は、犯罪者が彼の個人情報を盗んだり、パスワード再設定用の質問を推測したりするのに役立つ可能性があります。さらに、それぞれの手紙の差出人がはっきりと分かります(2つの異なる銀行です)。この男性がこれらの銀行と関係を持っていると推測でき、攻撃の標的を絞り込むことができます。アカウント再設定用の質問への回答候補を特定できれば、対象者のオンラインバンキングアカウントへのアクセスを試みることができます。
カップ
机の上のカップにはアリゾナ大学のロゴが描かれているので、この男性は卒業生か熱狂的なファンだと推測してもおかしくありません。「どこの大学に通っていましたか?」は、パスワード回復の際によく聞かれる質問です。攻撃者は、大学の公開記録を検索したり、入学事務局に電話をかけてソーシャルエンジニアリングを仕掛けたりすることで、男性と大学との関係を確認することができます。また、フィッシングメールを偽装して、あたかも大学から送信されたように見せかけるという方法もあります。このフィッシングメールには、最新の成績証明書や請求書のように見える添付ファイルが含まれている場合があります。もちろん、実際には、ランサムウェアドロッパーが隠された罠のかかった文書です。
コンサートチケット
素晴らしいコンサートに行った記念に、コンサートチケットを保管している人は少なくありません。「好きなバンドは何ですか?」も、パスワード復旧でよくある質問です。ここでも、チケットの情報が、彼のアカウントのパスワードをリセットするために必要なセキュリティ質問の答えになるかもしれません。また、賢い犯罪者なら、そのバンドの偽のファンサイトを作成し、そのサイトへのリンクを彼に送信し、実際にはマルウェア配信エクスプロイトキットを仕込むことも可能です。
付箋
モニターに貼られた手書きの付箋は、男性の同僚の電話番号のように見えます。この番号から、彼の勤務先を簡単に特定できます。また、多くの企業は、勤務先のメールアドレスに姓名またはイニシャルという、予測可能な形式を採用しています。このことから、この付箋から対象者の勤務先のメールアドレスも特定できる可能性があります。これで、フィッシングメールの具体的なターゲットが明確になります。
写真のEXIF情報
ほとんどの写真には、EXIF(Exchangeable Image File Format)データと呼ばれるデータが含まれています。これには、撮影日時、使用したカメラの種類、カメラとレンズの設定など、写真に関する多くの追加情報が含まれています。さらに、一部のカメラはGPS座標を記録し、写真が撮影された場所を示します。写真の内容に基づいて、GPSデータは男性または女性の自宅住所を特定するのに役立つ可能性があります。明らかに、この情報は、より説得力のあるフィッシングメールやソーシャルエンジニアリング攻撃を作成するのに役立ちます。さらに、ターゲットが近くに住んでいる場合は、Wardriveを使用してワイヤレスネットワークの情報を「スニッフィング」する場所がわかります。これらの詳細が入手できれば、悪魔の双子攻撃から中間者攻撃まで、あらゆる種類のワイヤレス攻撃を仕掛けることができます。
これは、単純な観察の威力を要約したものです。細部にまで注意を払えば、犯罪者はたった一枚の公開画像からあなたについて多くのことを知ることができます。あなたがオンラインアカウントに何枚写真を投稿しているか考えてみてください。公開画像を精査するだけで、ハッカーは標的の重要な個人情報、重要な日付、友人や同僚の情報、ペットの名前など、非常に正確な情報を集めることができます。攻撃者は、こうしたあらゆる情報を何らかの方法であなたに対して利用することができます。
教訓は?ソーシャルメディアアカウントに何かを投稿するときは、常に常識を働かせましょう。フィルターの設定と絵文字の選択が終わったら、投稿前に1分ほど時間をかけて、写真やキャプションに自分について過度に明かすような内容がないか確認しましょう。また、フォローを許可する人やオンラインで自分の写真を閲覧できる人を選ぶことも重要です。手間はかかりますが、公開投稿する写真からEXIFデータを削除することも重要です。そのための無料ツールがいくつかあります。簡単に言えば、投稿する前によく考えるということです。写真、ファイル、あるいは単なるテキストであっても、公開される可能性のある場所に投稿する前に、自分が何を共有することになるのかをしっかりと考えましょう。
