ヒルトンホテルのロイヤルティプログラム「HHonors」は、フィッシングメールに酷似したメールを送信したため、同ホテルのIT部門はそれが詐欺であると告げられるに至った。
このメールは、顧客に自分のアカウントにログインして保存されている連絡先の詳細を修正し、連絡先の詳細を確認させようとするものでした。
あるユーザーはTwitterを通じてヒルトンHオナーズにこの明らかな詐欺行為を報告し、そのメールは悪質なフィッシング詐欺であるとアドバイスを受けた。
これは、正当なメール送信者がフィッシング詐欺師にチャンスを与えている一例だと、Hオナーズメールの校正刷りを公開したNCR社のセキュリティ担当者、レニー・ゼルツァー氏は語る。
「このメールはフィッシングメールに非常に似ていたので、ヒルトンのツイッターサポートチームでさえ詐欺だと考えた」とゼルツァー氏は言う。
「このメッセージの趣旨は、人々の受信箱に届く多数の詐欺メールの内容と全く同じです。
「顧客がこのような正当なメッセージを受け取ることを知ると、本物のメッセージと詐欺的なメッセージを区別する機会を失ってしまいます。」
ヒルトンは、フィッシングの特徴を含んだメールを作成する数多くの組織の一つに過ぎません。このようなメールは、世界で最も一般的かつ効果的な攻撃ベクトルを回避するためにユーザーが受け取るセキュリティアドバイスを弱めることに繋がります。
デルタ航空をはじめとする航空会社は、フライトポイントシステムにおいて、メール内のボタンから連絡先情報の変更を求めるという同様の措置を講じています。その情報には対象顧客のID番号が含まれており、ゼルツァー氏は、その組み合わせを記憶している人はほとんどいないため、簡単に捏造される可能性があると指摘しています。
フィッシング?いや、そうではない。だが、テクノロジーを騙したのだ。画像:Zeltser
PayPal は、顧客の氏名、確認済みの取引と日付への言及、Gmail などのメール クライアントが送信サーバーを認証できるようにする、あまり注目されていない DMARC プロトコルの使用など、最も極端なフィッシング メールを作成したことで評価を得ました。
「セキュリティ純粋主義者の観点から言えば」、顧客へのメールはホームページからのトップレベルリンクのみを使用し、DMARC を使用し、すべての埋め込みリンクに HTTPS を使用することで、悪意のある Wi-Fi ネットワーク経由のデータ傍受を回避する必要があると Zeltser 氏は言います。
また、オープンソースのフィッシング詐欺師がFacebookやTwitterから入手できないような特定の顧客情報も含まれているべきであり、顧客にクレジットカードやウェブサイトで調べる必要のある電話番号に電話をかけるように依頼すべきである。
「より進化したアプローチは、まず最小限のメッセージで高度なセキュリティを実現し、顧客からのフィードバックに基づいてセキュリティ属性を緩和していくことです」と、セキュリティ専門家は派手なボタンに固執する組織にアドバイスしています。「セキュリティ特性を緩めすぎないように注意してください。技術に詳しくないユーザーも、たとえ本人が気づいていなくても、保護が必要な場合があります。」®
