従業員がだまされやすいフィッシングメールの件名 50
ストーリー by nagazou
罠 部門より
罠 部門より
headless 曰く、
Kaspersky の法人向けセキュリティ啓発プラットフォーム「Kaspersky Security Awaness Platform」のフィッシングシミュレーターが収集したデータによると、荷物が届けられなかったことを通知するフィッシングメールのクリック率が最も高かったそうだ (プレスリリース、 Ghacks の記事)。
フィッシングシミュレーションキャンペーンは 2021 年 1 月~ 2022 年 5 月に実施されたもので、企業の管理者がフィッシングのシナリオを選択し、事前の予告なく従業員に送信・結果を追跡する。収集されたデータは 100 か国の従業員 29,597 人分のものだという。
最もクリック率が高かった荷物の配達に関するフィッシングメールは 18.5 % がクリックしており、Google から電子メールが配信できなかったと知らせるフィッシングメールと、人事部からのアンケート調査を装ったフィッシングメールがそれぞれ 18 % で続く。このほか、会社からの新しい服装規定の通知 (17.5%) や避難訓練の通知 (16%)、予約確認や注文確認 (各11%) 、IKEA のコンテストのお知らせ (10%) のクリック率が高かったとのこと。
逆に受信者に対する脅迫や利益供与といったタイトルではクリック率が低い。たとえば、「あなたのコンピューターをハックして検索履歴を知っている」は 2 %、無料の Netflix や 1,000 ドルを提供するといったものは 1 % にとどまったとのことだ。
HTMLメールが (スコア:3)
HTMLメールが主流になっちゃってるのと、Webメーラでアクセスしたとき
レンダリングするのがデフォルトになっちゃってるせいで、
間違えてタップしたら生存確認されちゃって攻撃が激しくなるの
どうしようもないんですかねぇ
Re: (スコア:0)
攻撃が激しくなるのはどうしようもない。ホワイトリスト運用にしましょう。
間違えてタップするとすぐアクセスするのはメーラーの責任。違うメーラーに切り替えましょう。
Webメーラーならユーザースクリプトを使用してリンク先をクッションページに変更するなんてこともできるのではない?
そもそもリンクテキストとリンクアドレスが同じ保証はないのでデフォルト表示はテキストメールにしたほうがいい。
HTMLメール表示に切り替えるのなんてたいていワンアクションで済むし。
Re: (スコア:0)
>そもそもリンクテキストとリンクアドレスが同じ保証はないのでデフォルト表示はテキストメールにしたほうがいい。
>HTMLメール表示に切り替えるのなんてたいていワンアクションで済むし。
Nifty のWebメールはデフォルトで ↑ このお勧め設定になってるよ。
ちなみにそのHTMLメールをメール内だけでなくWebページとして開く機能もあったんだけど、
最近それが出来なくなって、HTMLファイルとしてダウンロードする事しか出来なくなったな。
Re: (スコア:0)
HTMLメールなんてセキュリティホールの温床だってのは
インターネット先史からの常識だと思っていましたが
どうも業界としてはそう考えていないみたいで
まあ、素人受けはいいですからねぇ あれ
顧客からのメール中に表とか書かれてるとちょっとげんなりしつつ
ブラウザで開き直してます
Re:HTMLメールが (スコア:1)
> 顧客からのメール中に表とか書かれてるとちょっとげんなり
こんな↓風なメールを書きやすいのが Shuriken。よく書いてました。これならげんなりしないかな?
┌────┬───┬─────┐
│ │ │ │
├────┼───┼─────┤
│ │ │ │
├────┼───┼─────┤
│ │ │ │
└────┴───┴─────┘
Shurikenが販売終了してしまって悲しいです。Thunderbirdに乗り換えたけど、なんか今ひとつ。
Re:HTMLメールが (スコア:1)
でもOutlookよりマシやろ?
いつになったらwinmail.dat送り付けてくるのをやめるんだ。いい加減にしろ。
Re: (スコア:0)
Outlookは確かにアレだけど、ノーツから送られたメールも相当なものらしいです。
Re: (スコア:0)
素人受けというよりも、まさにインターネット普及前・初期からのバックグラウンドの違いが如実に出てる気がする。
NotesやOffice365以前のExchangeを使用してきた経歴がある会社だと、逆にリッチテキストやHTMLメールのように色・強調・画像が入れられないとダメみたい。
Re: (スコア:0)
同じように一時期禁忌とされていたjavascriptが全盛極めてますし。
javascript無効の設定が今のブラウザにはなくなってる
Re: (スコア:0)
Chromium系はわからんが
Firefoxであればabout:config→javascript.enabledをfalseに
SafariであればDevelopメニューをPreferences…からオンにしてDisable JavaScript
一番わかりやすいのはツールバーに乗ってるアイコンからSecurity LevelをSafestにするだけでいいTorブラウザだな
この様に(マイナーなブラウザだけど)一応無効設定はあるわけだがもっとわかりやすくすべきってことかな?だとしたら確かに
ウェブサイトでもnoscriptタグ見なくなってるし
TwitterとかなんてJSなしでも全然問題ないと思うんだけどね
JS無効化されたらブラウザフィンガープリントすら殆どできなくなるから困るということだろうか
Re:HTMLメールが (スコア:2)
JSを無効化すると、HTMLの枠だけ配って中身のHTMLをJSで後埋めして遷移せずURL表示だけ書き換えることで表示を早く見せる最近のトレンドテクニックが動かなく、つまりはページが表示できなくなりますよ。そんなサイトが実在するのか、見たことがない、気にしたことがないって? 知らない人はそれは気づかないでしょう……
なるほど、つまりこうすればいいんだな! (スコア:2, おもしろおかしい)
GoogleからIKEAのコンテストに関する荷物の配達のお知らせです
Googleからの電子メールが配信できませんでした
お届けできなかったメールは、人事部からのIKEAのコンテストに関するアンケート調査です
また、新しい服装規定の通知と避難訓練の通知が含まれています
本メールの再送に関する予約確認はこちらをクリックしてください
お届け予定の注文確認はこちらをクリックしてください
お荷物のお届け可能日時の指定はこちらをクリックしてください
SONY
Re: (スコア:0)
Amazon騙って送信元が楽天.xyzみたいなシンプルにおかしい詐欺メール見た事あります
Re: (スコア:0)
結構ある。
どんな妙なことが書いてあるかという興味本位で結構開いて読んでいる(もちろん個人のメールだけ)。
隣国発のメールも、昔ほどへんちくりんな日本語じゃないことが多くて、それはそれで面白い。
重要なのはそこじゃない (スコア:1)
「信じてクリックして良いメールがある」というセキュティポリシがあかん
・メーラーのプレビューでお漏らしや感染
その腐ったメーラーをアップデートするかまともな設定にするべき
ダメそうなら代替メーラーを探す
・メールからクリック
基本的に禁止というか設定で無反応にするかエラー返すようにすべき
サイトに飛ぶ際はブラウザーでオフィシャルサイトに行って同様の通知が出ているか確認
その上で内容に沿った手続きをオフィシャルサイトで行う
・ワンタイムURLでクリックが必須
その仕組自体が脆弱なので別サービスを要検討
無理な場合はドメイン以下のURL文字列をコピーし
ブラウザで開いたオフィシャルサイトのドメインに加えて貼り付けて対処
# すげー面倒だが商用業務ならそのくらいのポリシ徹底しないとあかんよね
スラドからのフィッシングメール (スコア:0)
いつもお世話になっているあの人にアボカドのお中元を
というのだったら押しそう
Re: (スコア:0)
少しくらいのTypoがあっても「スラドならこんなもんか」と思ってしまう罠
Re:スラドからのフィッシングメール (スコア:1)
どうせリンクアドレスにもtypoがあってエラーで終了
Re: (スコア:0)
そこは「電車の中でCD-Rを拾いましたのでご連絡差し上げました。」で
ってそれの中を見るかどうかってのもセキュリティの問題あるよなあ
メーラーダエモンさん (スコア:0)
確かに彼からのメールだったら見ちゃうかも
Re: (スコア:0)
一般社員が本物の彼からのメールを読んでくれなくて困ってるのですが。
社員「なんかメール送れない」
情シ「送れない理由が書いてあるメールが返ってきてるはずなんですが」
社員「そういやなんか届いてた。英語だったし読んでない。迷惑メールかとおもたwwww」
Re:メーラーダエモンさん (スコア:1)
英語というのもあるんでしょうけど、MIMEをそのままってのは、どうなんでしょうね。
base64ならまだしも、quoted-printableは、迷惑メールにしか見えない…。
って書いてから、一応、Unknown Userなメールを送って確かめてみたのですが、今どきのPostfixさんは、添付形式で、しかもヘッダーだけになっている。
でも、本文の最初が
This is the mail system at host 見慣れないランダムな文字を含むドメインが一般的ではないFQDN
から始まっているのは、如何にも怪しいメールではある。
これは、ESMTPSを使用するために、ワイルドカード証明書を使っているからなんですが、一般ユーザには、わからないよなぁと思った次第。
もしかして、お金持ちな会社さんは、ESMTPS用の証明書もご購入していたりするんでしょうか?
Re: (スコア:0)
> もしかして、お金持ちな会社さん
Let's Encryptでええやん。
Re: (スコア:0)
未だ普通にContent-Transfer-Encoding: quoted-printableなメールを出してくる会社もあったりする。
# アナデバとか、アナデバとか、アナデバとか…
Re: (スコア:0)
> 社員「そういやなんか届いてた。英語だったし読んでない。迷惑メールかとおもたwwww」
大昔、「ボクはね、最新の研究を取り入れるために、英語の論文を週に2-3本は読むんだ」と言ってた教授が、
同じようなことを言ってました。
英語の論文は読むけど、英語のメールを送ってくれるお友達はいないんだなぁと思ったのでした。
# ゆーざーあんのーん、ということでAC
spam に対抗 (スコア:0)
最近見たんだけど、どこでみたんだっけか・・・、住所修正依頼みたいなのが来て天安門とかの文字列を入れる対抗策を見て、オレもやってみようと思いました。フィッシングと知って、相手の嫌がることをしてみるのは面白いなと。
Re: (スコア:0)
万バズってたこれですね
そもそも判別なんて無理 (スコア:0)
フィッシングメールかどうかをユーザが判断して対応しましょうとか
どうも明後日の方向で対応してる連中が多いよな
偉い人が「ああ、うちも従業員教育が必要だな」と思うか、「フィッシング踏んでも大丈夫な体制作らなきゃ」と思うか。
Re:そもそも判別なんて無理 (スコア:2, 参考になる)
「フィッシングを踏んでも大丈夫な体制」のコストがバカ高いので、偉い人がなかなか首を縦に振らないのよね。
ちゃんとしたEDR/XDRなんて構築しようもんなら分類上は大企業、心持ちは中小企業な会社でおなじみの一人情シスはあり得ないし、(3交代だと最低8人かな?)
バックアップも基本クライアント・サーバー併せて全量取得・他所保存併用になるから、セキュリティ込みで考えると頭が痛いという。
そうなると必然的に「従業員教育が安い」になっちゃうのよね、残念ながら。
Re: (スコア:0)
偉い人「メールを廃止しやう!」
# 次はSMSでひかっかるまで読んだ
クリックするなよ (スコア:0)
と書けばある程度の人がクリックしたりして
Re: (スコア:0)
するなにしろしろにしろ、シンプルな指示は意外に無視できなかったりしますね。
メール出した記憶のない会社からRe:が来る (スコア:0)
内容はともかく、自分が出したわけでもないメールに返信が来た時点で、迷惑フォルダー行きだね。
先週 (スコア:0)
複数の銀行からカードの不正利用の疑いで確認のメールが来たんだがその文章が銀行名以外はほぼ一緒だった。
Gmailで配送通知が (スコア:0)
Omni(セブンイレブンの通販)とか、時々「このメールは危ないからクリックとかしたらダメ」的メッセージが挿入されて届く。リンク先とか間違ってはいないのだが、迷惑メールになるわけでもなく、どういうこと?そんな状態が何か月か続いているけど、何で誰も対処しないの?
Re: (スコア:0)
犯罪者向けの情報 (スコア:0)
攻撃者にだけ寄与する情報公開してどうすんの?
管理者や従業員としてはどんな件名だろうと警戒しなきゃならないのでクリック率とか知ったこっちゃないのだが
Re: (スコア:0)
その結果がストーリー本文なんだから、従業員の警戒だけでは駄目ってことだよ。で、対策はメール内容によって異なる。
荷物の配達に関しては一元管理するとか、人事部からのアンケートにはメールを利用しないでアンケートシステムを用意するとか。
そもそも警戒しなきゃならない時点でおかしい。すべてのメールをクリックしなければ良いだけの話なので。
臨時賞与のお知らせ (スコア:0)
訓練メールの定番ですが思いついた人は人の心が無いと思う
Re: (スコア:0)
罰ゲーム告白 -> ホントにカップル成立!
みたいに、ウソカラデタマコトデホントに貰えればいいのにね
# ナイナイ
Re: (スコア:0)
訓練メールの定番ですが思いついた人は人の心が無いと思う
臨時賞罰のお知らせなら嘘はない
# そういういみじゃねぇ
こんなのまだまし (スコア:0)
もう随分と昔になるけど「I LOVE YOU」メールに引っかかる連中よりはまだ理解できるだけマシ。
(いや、全然良くはないのだけど、思わず押してしまうというのは理解できなくもない)
それに比べて「I LOVE YOU」系メールを開いちゃう人は本当に理解できない。
お前さん、外国人から英語でラブレター貰う心当たりが本当にあるのかと小一時間問い詰めたい。
普通はまったく知らない人からラブレター貰っても怖いだけだろ。そっと削除するのが当たり前じゃないのか?
当時いた会社では、上から下までこれに引っかかる奴大発生してエライ目にあった……信じられるかい? これ誰でも知ってる有名企業での話なんだぜ……。
Re: (スコア:0)
I LOVE YOU は、たしかメール本文のバッファーオーバーランを突いたやつだったっけ?
漫然と次の未読メールを表示する操作(Thunderbirdなら N キー)を連打していたら引っかかりそう。
(さすがに今どきのメーラーで本文を表示しただけで突かれる脆弱性は無いけど)
Re: (スコア:0)
(#4284703)です。
記憶違いでした。
バッファーオーバーランとか高度なことはなくて、単に添付ファイルを実行する操作をしたお馬鹿さんが感染するというやつだったのですね。
Re: (スコア:0)
小一時間問い詰めたい。
一時間問い詰めるだけで済ませるとか優しいなぁ
この裸の写真、クラス1可愛かった○○じゃね (スコア:0)
絶対にクリックしたくなるwww
Re:この裸の写真、クラス1可愛かった○○じゃね (スコア:1)
# 同期160名中6名だったかな(忘れた)
Re: (スコア:0)
その可愛い人が女である必要性は無いのだが?
ほら、貴方の同級生のあの男子、可愛いかったでしょ?
# 究極、人でない可能性も
Re: (スコア:0)
男子校出身かも
#それはそれで
メールに書かれたURLは使用しない (スコア:0)
ドメインが大きく異なってたりするとさすがに警戒するが、
たとえばhttps://www.unilever.co.jp/がhttps://www.unirever.co.jp/になってたりしたら気づかんわ。
なので、メールに書かれたURLは信頼しないし、メールにURLを載せてくる企業はクソだと思ってる。