比較表
| 比較基準 | フィッシング | なりすまし |
|---|---|---|
| 基本 | フィッシング詐欺師は、標的からの信頼を得て情報を盗むために、信頼できる組織や人々を偽装します。 | なりすまし詐欺行為者は、必ずしも情報を盗もうとはしていませんが、他の悪意のある目的を達成しようとしている可能性があります。 |
| 関係 | フィッシング攻撃は戦略としてなりすましを使用することができます。 | なりすましは、必ずしもフィッシングではありません。 |
| プロセス | フィッシングは情報の盗用を伴います。 | なりすましは必ずしも情報の盗用を必要としません。 |
| 実行する | 検索 | 配達 |
フィッシングの定義
フィッシングとは、信頼できる組織からの電子通信を自動的に模倣することによって、不正利用者の機密情報を不正利用者が詐取しようとするソーシャルエンジニアリングの一種です。
たとえば、攻撃者は実際の銀行のWebサイトと同じように見える自分のWebサイトを作成します。 その後、攻撃者は銀行の正当な顧客に彼女をだますために電子メールを送信します。 このメールはアカウントのセキュリティに関する一種の警告であり、偽のWebサイトへのリンクとともにセキュリティ上の問題から銀行が新しいパスワードを発行したいと述べています。 顧客が電子メールに表示されているURLをクリックすると、その間に顧客は攻撃者のサイトにリダイレクトされます。 顧客は機密情報を入力するよう求められ、顧客は明らかに自分の機密情報を共有します。 その後、攻撃者は自分のアカウント情報を使用して、顧客の代わりに購入します。
フィッシング攻撃には3つのフィッシングステップがあります。
- まず、メーラはソーシャルネットワーキングサイトに不正な電子メール、SMS、VoIP、メッセージを送信して、ユーザを不正なWebサイトに誘導します。
- その後、不正なWebサイトが設定され、ユーザーに機密情報の提供を促します。
- 最後のステップで、機密情報を使用して支払いが行われます。
クローンフィッシング、 スピアフィッシング、 電話フィッシングなど、さまざまな種類のフィッシングがあります。
なりすましの定義
なりすましは、システムのセキュリティを侵害したりユーザーの情報を盗んだりするために、攻撃者が不正なユーザーの身元を盗み出し、悪意を持って別の個人または組織として偽装するフィッシングと似ています。 IPスプーフィング、 Eメールスプーフィング、URLスプーフィング、 MACスプーフィング 、 DNSスプーフィングなど、さまざまな種類のスプーフィング攻撃があります 。
フィッシングとは異なり、なりすまし攻撃は情報を盗むことなく損害を与える可能性があります。 たとえば、攻撃者Aは、ユーザーCのIDを使用して偽造電子メールをユーザーBに送信します。ユーザーBは、受信した電子メールがユーザーCからのものであると認識し、明らかに返信します。 なりすましの電子メールは悪意のある目的で送信された可能性があります。
フィッシングとなりすましの主な違い
- なりすましはフィッシングの一部になることがありますが、必ずしもフィッシングではありません。
- フィッシングでは、機密情報が攻撃者によって盗まれます。 対照的に、なりすましは必ずしも情報の盗用を伴うわけではありません。
- フィッシングは、正当なユーザーの機密情報を不正に取得します。 逆に、なりすましは悪意のあるファイルまたはメッセージの配信を行います。
結論
フィッシングとなりすましは、一般に、セキュリティを悪用したり、金銭的な利益のために機密情報を盗んだりすることを目的としています。 フィッシングは常に情報の盗難を伴いますが、なりすましの場合は必要ありません。 なりすましはフィッシングの一部になることがありますが、フィッシングではありません。
